-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 1 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
MANUAL DE POLITICAS Y ESTANDARES EN SEGURIDAD INFORMATICA
INSTITUTO MUNICIPAL DEL DEPORTE Y LA
RECREACION DE TULU
OCTUBRE DE 2014
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 2 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
INTRODUCCION
La seguridad informtica ha tomado gran auge, debido a las
cambiantes condiciones
y nuevas plataformas tecnolgicas disponibles. La posibilidad de
interconectarse a
travs de redes, ha abierto nuevos horizontes a las empresas para
mejorar su
productividad y poder explorar ms all de las fronteras
nacionales, lo cual
lgicamente ha trado consigo, la aparicin de nuevas amenazas para
los sistemas
de informacin.
Con la definicin de las polticas y estndares de seguridad
informtica se busca
establecer en el interior de la Institucin una cultura de
calidad operando en una
forma confiable.
Esta misma, es un proceso donde se deben evaluar y administrar
los riesgos
apoyados en polticas y estndares que cubran las necesidades de
Instituto
Municipal del Deporte y la Recreacin de Tulu en materia de
seguridad.
Estos riesgos que se enfrentan ha llevado a que muchas
desarrollen documentos y
directrices que orientan en el uso adecuado de estas destrezas
tecnolgicas y
recomendaciones para obtener el mayor provecho de estas
ventajas, y evitar el uso
indebido de las mismas, lo cual puede ocasionar serios problemas
a los bienes,
servicios y operaciones del Instituto Municipal del deporte y la
Recreacin de tulu.
En este sentido, las polticas de seguridad informtica surgen
como una herramienta
organizacional para concientizar a los colaboradores de la
organizacin sobre la
importancia y sensibilidad de la informacin y servicios crticos
que permiten a la
empresa crecer y mantenerse competitiva.
Ante esta situacin, el proponer o identificar una poltica de
seguridad requiere un
alto compromiso con la organizacin, agudeza tcnica para
establecer fallas y
debilidades, y constancia para renovar y actualizar dicha
poltica en funcin del
dinmico ambiente que rodea las organizaciones modernas.
Para el desarrollo de este manual se busca estructurarlo en base
a ciertos criterios
tales como:
Seguridad Institucional
Seguridad fsica y del medio ambiente
Manejo y control Centro de Cmputo
Control de usuarios
Lineamientos legales
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 3 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
OBJETIVO
El objetivo de estas polticas de seguridad para el Instituto
Municipal del Deporte y la
Recreacin de Tulu, es establecer las pautas generales que
permitan la gestin de
la seguridad de la Informacin de manera integrada y coordinada
con los
requerimientos propios del Instituto, las leyes que en su caso
apliquen y la normativa
interna del Instituto Municipal del deporte y la Recreacin de
tulu.
Dado que una lista de buenas intenciones no tiene valor por s
sola, se hace
imprescindible distribuir y hacer llegar a todos y cada uno de
los empleados que
conforman nuestro Instituto, la Poltica de Seguridad de la
Informacin.
La Poltica de Seguridad puede ser complementada con normativas
especficas en
aquellos aspectos del Instituto Municipal del Deporte y la
Recreacin de Tulu en los
que sea necesario establecer unas normas concretas de
actuacin.
ALCANCE
El alcance de este Plan de Seguridad se encuentra enfocado
Instituto Municipal del
Deporte y la Recreacin de Tulu, y los servicios que presta a la
comunidad, en los
aspectos que consideramos ms relevantes del mbito fsico y
lgico.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 4 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Definicin del Instituto Municipal del Deporte y la Recreacin de
Tulu
Somos una institucin encargada de Generar y brindar a la
comunidad
oportunidades de participacin en procesos de iniciacin, formacin
y prctica del
deporte, la recreacin y el aprovechamiento del tiempo libre, la
educacin fsica y la
educacin extraescolar como contribucin al desarrollo integral
del individuo.
Encaminados a Promover el plan local de deporte y el
aprovechamiento del tiempo
libre, efectuando y participando en programas que proyecten una
imagen positiva a
nivel departamental, Nacional e Internacional, haciendo su
seguimiento y evolucin
con la participacin comunitaria.
1.- Desarrollo General de las polticas y estndares de seguridad
informtica
1.1 Aplicacin
Las polticas y estndares de seguridad informtica tienen por
objeto establecer
medidas y patrones tcnicos de administracin y organizacin de las
Tecnologas de
Informacin y Comunicaciones TICs de todo el personal
comprometido en el uso de
los servicios informticos proporcionados por el Instituto
Municipal del Deporte y la
Recreacin de Tulu, en cuanto a la mejora y al cumplimiento de
los objetivos
institucionales.
Tambin se convierte en una herramienta de difusin sobre las
polticas y estndares
de seguridad informtica a todo el personal de Instituto
Municipal del Deporte y la
Recreacin de Tulu. Facilitando una mayor integridad,
confidencialidad y
confiabilidad de la informacin generada por el Instituto
Municipal del Deporte y la
Recreacin de Tulu, al personal, al manejo de los datos, al uso
de los bienes
informticos tanto de hardware como de software disponible,
minimizando los riesgos
en el uso de las tecnologas de informacin.
1.2 Evaluacin de las Polticas
Las polticas tendrn una revisin peridica se recomienda que sea
semestral para
realizar actualizaciones, modificaciones y ajustes basados en
las recomendaciones y
sugerencias.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 5 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
1.3 Beneficios
Las polticas y estndares de seguridad informtica establecidas en
el presente
documento son la base fundamental para la proteccin de los
activos informticos y
de toda la informacin de las Tecnologas de Informacin y
Comunicaciones (TICs)
en el Instituto Municipal del Deporte y la Recreacin de
Tulu.
2.- Seguridad Institucional
Poltica: Toda persona que ingresa como usuario nuevo al
Instituto Municipal del
Deporte y la Recreacin de Tulu para manejar equipos de cmputo y
hacer uso de
servicios informticos debe aceptar las condiciones de
confidencialidad, de uso
adecuado de los bienes informticos y de la informacin, as como
cumplir y respetar
al pie de la letra las directrices impartidas en el Manual de
Polticas y Estndares de
Seguridad Informtica para Usuarios.
2.1 Usuarios Nuevos
Todo el personal nuevo de la Institucin, deber ser notificado en
el Instituto
Municipal del Deporte y la Recreacin de Tulu, para asignarle los
derechos
correspondientes (Equipo de Cmputo, Creacin de Usuario para la
Red interna o en
caso de retiro del funcionario, anular y cancelar los derechos
otorgados como usuario
informtico.
2.2 Obligaciones de los usuarios
Es responsabilidad de los usuarios de bienes y servicios
informticos cumplir las
Polticas y Estndares de Seguridad Informtica para Usuarios del
presente manual.
2.3 Capacitacin en seguridad informtica
Todo servidor o funcionario nuevo en Instituto Municipal del
Deporte y la Recreacin
de Tulu deber contar con la induccin sobre las Polticas y
Estndares de
Seguridad Informtica Manual de Usuarios, donde se den a conocer
las obligaciones
para los usuarios y las sanciones en que pueden incurrir en caso
de incumplimiento.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 6 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
2.4 Sanciones
Se consideran violaciones graves el robo, dao, divulgacin de
informacin
reservada o confidencial de esta dependencia, o de que se le
declare culpable de un
delito informtico.
3.- Seguridad fsica y del Medio Ambiente
Poltica: Para el acceso a los sitios y reas restringidas se debe
notificar al el Instituto
Municipal del Deporte y la Recreacin de Tulu para la autorizacin
correspondiente,
y as proteger la informacin y los bienes informticos.
3.1 Proteccin de la informacin y de los bienes informticos
3.1.1 El usuario o funcionario debern reportar de forma
inmediata el Instituto
Municipal del Deporte y la Recreacin de Tulu, cuando se detecte
riesgo alguno real
o potencial sobre equipos de cmputo o de comunicaciones, tales
como cadas de
agua, choques elctricos, cadas o golpes o peligro de
incendio.
3.1.2 El usuario o funcionario tienen la obligacin de proteger
las unidades de
almacenamiento que se encuentren bajo su responsabilidad, aun
cuando no se
utilicen y contengan informacin confidencial o importante.
3.1.3 Es responsabilidad del usuario o funcionario evitar en
todo momento la fuga
de informacin de la entidad que se encuentre almacenada en los
equipos de
cmputo personal que tenga asignados.
3.2 Controles de acceso fsico
3.2.1 Cualquier persona que tenga acceso a las instalaciones de
Instituto Municipal
del Deporte y la Recreacin de Tulu, deber registrar al momento
de su entrada, el
equipo de cmputo, equipo de comunicaciones, medios de
almacenamiento y
herramientas que no sean propiedad de la entidad, en el rea de
recepcin o
portera, el cual podrn retirar el mismo da. En caso contrario
deber tramitar la
autorizacin de salida correspondiente.
3.2.2 Las computadoras personales, las computadoras porttiles, y
cualquier activo
de tecnologa de informacin, podr ser retirado de las
instalaciones de Instituto
Municipal del Deporte y la Recreacin de Tulu nicamente con la
autorizacin de
salida del rea de Inventarios, anexando el comunicado de
autorizacin del equipo
debidamente firmado por el Director del el Instituto Municipal
del Deporte y la
Recreacin de Tulu.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 7 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
3.3 Seguridad en reas de trabajo
Los Centros de Cmputo del Instituto Municipal del Deporte y la
Recreacin de Tulu
son reas restringidas, por lo que solo el personal autorizado
puede acceder a l.
3.4 Proteccin y ubicacin de los equipos
3.4.1 Los usuarios no deben mover o reubicar los equipos de
cmputo o de
comunicaciones, instalar o desinstalar dispositivos, ni retirar
sellos de los mismos sin
la autorizacin del el Instituto Municipal del Deporte y la
Recreacin de Tulu, en
caso de requerir este servicio deber solicitarlo.
3.4.2 El rea de Inventarios de activos ser la encargada de
generar el resguardo y
recabar la firma del usuario informtico como responsable de los
activos informticos
que se le asignen y de conservarlos en la ubicacin autorizada
por el Instituto
Municipal del Deporte y la Recreacin de Tulu.
3.4.3 El equipo de cmputo asignado, deber ser para uso exclusivo
de las
funciones de los funcionarios o servidores de Instituto
Municipal del Deporte y la
Recreacin de Tulu.
3.4.4 Ser responsabilidad del usuario solicitar la capacitacin
necesaria para el
manejo de las herramientas informticas que se utilizan en su
equipo, a fin de evitar
riesgos por mal uso y para aprovechar al mximo las mismas.
3.4.5 Es responsabilidad de los usuarios almacenar su informacin
nicamente en
la particin del disco duro diferente destinada para archivos de
programas y sistemas
operativos, generalmente c:\documentos\.
3.4.6 Mientras se opera el equipo de cmputo, no se debern
consumir alimentos o
ingerir lquidos.
3.4.7 Se debe evitar colocar objetos encima del equipo cmputo o
tapar las salidas
de ventilacin del monitor o de la CPU.
3.4.8 Se debe mantener el equipo informtico en un lugar limpio y
sin humedad.
3.4.9 El usuario debe asegurarse que los cables de conexin no
sean pisados al
colocar otros objetos encima o contra ellos en caso de que no se
cumpla solicitar un
reubicacin de cables.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 8 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
3.4.10 Cuando se requiera realizar cambios mltiples de los
equipo de cmputo
derivado de reubicacin de lugares fsicos de trabajo o cambios
locativos, stos
debern ser notificados con tres das de anticipacin al el
Instituto Municipal del
Deporte y la Recreacin de Tulu a travs de un plan detallado.
3.4.11 Queda terminantemente prohibido que el usuario o
funcionario distinto al
personal del el Instituto Municipal del Deporte y la Recreacin
de Tulu abra o
destape los equipos de cmputo.
3.5 Mantenimiento de equipos
3.5.1 nicamente el personal autorizado por el Instituto
Municipal del Deporte y la
Recreacin de Tulu, podr llevar a cabo los servicios y
reparaciones al equipo
informtico.
3.5.2 Los usuarios debern asegurarse de respaldar en copias de
respaldo o
backups la informacin que consideren relevante cuando el equipo
sea enviado a
reparacin y borrar aquella informacin sensible que se encuentre
en el equipo,
previendo as la prdida involuntaria de informacin, derivada del
proceso de
reparacin.
3.6 Prdida de Equipo
3.6.1 El servidor o funcionario que tengan bajo su
responsabilidad o asignados
algn equipo de cmputo, ser responsable de su uso y custodia; en
consecuencia,
responder por dicho bien de acuerdo a la normatividad vigente en
los casos de
robo, extravo o prdida del mismo.
3.6.2 El prstamo de laptops o porttiles tendr que solicitarse a
la Oficina del
Instituto Municipal del Deporte y la Recreacin de Tulu, con el
visto bueno del
Director de la Institucin.
3.6.3 El servidor o funcionario debern dar aviso inmediato al
Oficina el Instituto
Municipal del Deporte y la Recreacin de Tulu, y a la
Administracin de Inventarios
de Activos de la desaparicin, robo o extravo de equipos de
cmputo, perifricos o
accesorios bajo su responsabilidad.
3.7 Uso de dispositivos extrables
3.7.1 El Instituto Municipal del Deporte y la Recreacin de Tulu,
velar porque
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 9 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
todos los usuarios de los sistemas de Informacin estn
registrados en su Base de
Datos para la autorizacin de uso de dispositivos de
almacenamiento externo, como
Memorias USB, Discos porttiles, Unidades de Cd y DVD Externos,
para el manejo y
traslado de informacin o realizacin de copias de seguridad o
Backups.
3.7.2 Cada rea o dependencia debe reportar al Instituto
Municipal del Deporte y la
Recreacin de Tulu, el listado de funcionarios a su cargo que
manejan estos tipos
de dispositivos, especificando clase, tipo y uso
determinado.
3.7.1 El uso de los quemadores externos o grabadores de disco
compacto es
exclusivo para Backups o copias de seguridad de software y para
respaldos de
informacin que por su volumen as lo justifiquen.
3.7.2 El servidor o funcionario usuario que tengan asignados
estos tipos de
dispositivos sern responsable del buen uso de ellos.
3.7.3 Si algn rea o dependencia por requerimientos muy
especficos del tipo de
aplicacin o servicios de informacin tengan la necesidad de
contar con uno de ellos,
deber ser justificado y autorizado por el Instituto Municipal
del Deporte y la
Recreacin de Tulu con el respectivo visto bueno del Director del
instituto.
3.7.4 Todo funcionario o servidor de Instituto Municipal del
Deporte y la Recreacin
de Tulu deber reportar el uso de las memorias USB asignados para
su trabajo y de
carcter personal y responsabilizarse por el buen uso de
ellas.
3.8 Dao del equipo
3.8.1 El equipo de cmputo, perifrico o accesorio de tecnologa de
informacin que
sufra algn desperfecto, dao por maltrato, descuido o negligencia
por parte del
usuario responsable, se le levantara un reporte de
incumplimiento de polticas de
seguridad.
4. Administracin de Operaciones en los Centros de Cmputo
Poltica: Los usuarios y funcionarios debern proteger la
informacin utilizada
en la infraestructura tecnolgica del Instituto Municipal del
Deporte y la Recreacin
de Tulu. De igual forma, debern proteger la informacin reservada
o confidencial
que por necesidades institucionales deba ser guardada,
almacenada o transmitida,
ya sea dentro de la red interna institucional o redes externas
como internet.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 10 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
4.1.1 Los usuarios y funcionarios del Instituto Municipal del
Deporte y la Recreacin
de Tulu que hagan uso de equipos de cmputos, deben conocer y
aplicar las
medidas para la prevencin de cdigo malicioso como pueden ser
virus, caballos de
Troya o gusanos de red.
4.1.2 El Instituto Municipal del Deporte y la Recreacin de Tulu,
establece las
polticas y procedimientos administrativos para regular,
controlar y describir el
acceso de visitantes o funcionarios no autorizados a las
instalaciones de cmputo
restringidas.
4.1.3 Cuando un funcionario no autorizado o un visitante
requieran la necesidad de
ingresar a un equipo de computo, debe solicitar mediante
comunicado interno
debidamente firmada y autorizado por el director y para un
visitante se debe solicitar
la visita con anticipacin la cual debe traer el visto bueno del
director, y donde se
especifique tipo de actividad a realizar, y siempre contar con
la presencia de un
funcionario que le corresponda el equipo de computo.
4.1.4 El director del El Instituto Municipal del Deporte y la
Recreacin de Tulu
deber llevar un registro escrito de todas las visitas
autorizadas a los Equipos de
Cmputo restringidos.
4.1.5 Todo equipo informtico ingresado a los Centros de Cmputo
restringidos
deber ser registrado en el libro de visitas.
4.1.6 Cuando se vaya a realizar un mantenimiento en algunos de
los equipos del
Centro de Cmputo, se debe dar aviso con anticipacin a los
usuarios para evitar
traumatismos.
4.1.7 El director deber solicitar la proteccin para las
instalaciones contra
incendios, inundaciones, sistema elctrico de respaldo, UPS.
4.2 Uso de medios de almacenamiento
4.2.1 Los usuarios de Instituto Municipal del Deporte y la
Recreacin de Tulu deben
conservar los registros o la informacin que se encuentra activa
y aquella que ha
sido clasificada como reservada o confidencial.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 11 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
4.2.2 Las actividades que realicen los usuarios y funcionarios
en la infraestructura
Tecnologa de Informacin y Comunicaciones (TICs) de Instituto
Municipal del
Deporte y la Recreacin de Tulu sern registradas y podrn ser
objeto de auditora.
4.3 Adquisicin de software.
4.3.1 Los usuarios y funcionarios que requieran la instalacin de
software que o sea
propiedad del Instituto Municipal del Deporte y la Recreacin de
Tulu, debern
justificar su uso y solicitar su autorizacin por El Instituto
Municipal del Deporte y la
Recreacin de Tulu, con el visto bueno del Director, indicando el
equipo de cmputo
donde se instalar el software y el perodo de tiempo que ser
usado.
4.3.2 Se considera una falta grave el que los usuarios o
funcionarios instalen
cualquier tipo de programa (software) en sus computadoras,
estaciones de trabajo,
servidores, o cualquier equipo conectado a la red de Instituto
Municipal del
Deporte y la Recreacin de Tulu, que no est autorizado.
4.3.3 Instituto Municipal del Deporte y la Recreacin de Tulu,
garantiza la
legalidad de los programas adquiridos, debidamente
certificndolos con las facturas
de compra de cada uno.
4.3.5 El control de manejo para las licencias y el inventario de
los Medios, paquete
de CDs ser responsabilidad de la Instituto Municipal del Deporte
y la Recreacin de
Tulu en cabeza del Director, o su delegado, en caso de
ausencia.
4.3.6 El Grupo de Apoyo (Tcnicos) del Instituto Municipal del
Deporte y la
Recreacin de Tulu tiene la responsabilidad de velar por el buen
uso de los
equipos de cmputo y del cumplimiento de las polticas de
seguridad. A su vez
debern ofrecer mantenimiento preventivo a las computadoras de la
Institucin.
4.3.7 En el proceso de reinstalar un programa el tcnico debe
borrar completamente
la versin instalada para luego proceder a instalar la nueva
versin que desea, esto
siempre y cuando no sea una actualizacin del mismo.
4.3.8 Deben mantener un inventario de equipos fsicos y de los
programas
instalados y pueden borrar o instalar programas o software
autorizados y legalmente
licenciados.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 12 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Finalmente se procede a actualizar el inventario de licencias de
Software. Y se
almacenar en Archivos que puedan ser cerrados con llave.
Todas las reas del Instituto Municipal del Deporte y la
Recreacin de Tulu en
coordinacin con la Secretara General, ofrecern capacitaciones al
personal
administrativo en el manejo y uso de las Tecnologas de
Informtica y Computacin
(TICs), para de esta manera convertir estos en herramientas
efectivas de trabajo, y
que apoyen el quehacer en el Interior de la Institucin. La
capacitacin de nuestro
personal estimula en gran medida la utilizacin de los programas
adquiridos
legalmente, evitando la prctica indebida de utilizar y la
proliferacin software no
autorizado (pirata).
4.4 Licenciamiento de Software
4.4.1 Para el Control de Licenciamiento de Software: el
Instituto Municipal del
Deporte y la Recreacin de Tulu, adems como poltica de seguridad
se tiene
establecido en el Reglamento de Uso de equipos de computo, la
prohibicin de
instalar software y programas no autorizados y sin licencia. El
Grupo de usuarios,
realiza mensualmente un inventario fsico de los programas y
software instalados en
cada uno de los computadores de la Institucin.
4.5 Identificacin del incidente
4.5.1 El usuario o funcionario que detecte o tenga conocimiento
de la posible
ocurrencia de un incidente de seguridad informtica deber
reportarlo al
Instituto Municipal del Deporte y la Recreacin de Tulu lo antes
posible, indicando
claramente los datos por los cuales lo considera un incidente de
seguridad
informtica.
4.5.2 Cuando exista la sospecha o el conocimiento de que
informacin confidencial
o reservada ha sido revelada, modificada, alterada o borrada sin
la autorizacin de
las Directivas Administrativas competentes, el usuario o
funcionario deber notificar
al Instituto Municipal del Deporte y la Recreacin de Tulu.
4.5.3 Cualquier incidente generado durante la utilizacin u
operacin de los activos
de tecnologa de informacin de Instituto Municipal del Deporte y
la Recreacin de
Tulu debe ser reportado a la Oficina de sistemas.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 13 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
4.6 Administracin de la Red
4.6.1 Los usuarios de las reas de Instituto Municipal del
Deporte y la Recreacin
de Tulu no deben establecer redes de rea local, conexiones
remotas a redes
internas o externas, intercambio de informacin con otros equipos
de cmputo
utilizando el protocolo de transferencia de archivos (FTP), u
otro tipo de protocolo
para la transferencia de informacin empleando la infraestructura
de red de la
entidad, sin la autorizacin del rea de Computo y del
administrador de la contrasea
de la red.
4.7 Seguridad para la red
4.7.1 Ser considerado como un ataque a la seguridad informtica y
una falta grave,
cualquier actividad no autorizada por rea de Computo, en la cual
los
usuarios o funcionarios realicen la exploracin de los recursos
informticos en la red
de del Instituto Municipal de deporte y la Recreacin de Tulu, as
como de las
aplicaciones que sobre dicha red operan, con fines de detectar y
explotar una posible
vulnerabilidad.
4.8 Uso del Correo electrnico
4.8.1 Los usuarios y funcionarios no deben usar cuentas de
correo electrnico
asignadas a otras personas, ni recibir mensajes en cuentas de
otros. Si fuera
necesario leer el correo de alguien ms (mientras esta persona se
encuentre fuera o
de vacaciones) el usuario ausente debe re-direccionar el correo
a otra cuenta de
correo interno, quedando prohibido hacerlo a una direccin de
correo electrnico
externa a Instituto Municipal del Deporte y la Recreacin de
Tulu, a menos que
cuente con la autorizacin de la rea de Computo.
4.8.2 Los usuarios y funcionarios deben tratar los mensajes de
correo electrnico y
archivos adjuntos como informacin de propiedad de Instituto
Municipal del Deporte y
la Recreacin de Tulu. Los mensajes de correo electrnico deben
ser manejados
como una comunicacin privada y directa entre emisor y
receptor.
4.8.3 Los usuarios podrn enviar informacin reservada y/o
confidencial va
correo electrnico siempre y cuando vayan de manera encriptado y
destinada
exclusivamente a personas autorizadas y en el ejercicio estricto
de sus funciones y
responsabilidades.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 14 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
4.8.4 Queda prohibido falsificar, esconder, suprimir o sustituir
la identidad de un
usuario de correo electrnico.
4.8.5 Queda prohibido interceptar, revelar o ayudar a terceros a
interceptar o revelar
las comunicaciones electrnicas.
4.9 Controles contra virus o software malicioso
4.9.1 Para revisar si el antivirus se actualiza correctamente,
seleccione el icono de
su programa antivirus que se encuentra en la barra de
herramientas y presione
actualizar y analizar.
Escogen la opcin Abrir y en el cuadro que se despliega, al lado
del smbolo de
pregunta se le da clic a la flechita y luego en la opcin Buscar
actualizaciones, el
proceso conectado a Internet realiza la actualizacin en forma
automtica.
Puede que este proceso ponga un poco ms lenta a la mquina, pero
por ningn
motivo interrumpa la actualizacin. Una vez terminada la
actualizacin el programa le
indicar que la base de firmas queda actualizada.
4.9.2 En el caso de un equipo de cmputo sin conexin a Internet
se hara el proceso
de manera manual: Para ello nos ubicamos en un computador con
conexin a
Internet, y all seleccionamos por fecha actual el archivo y se
descarga al disco duro,
luego lo trasladamos a una Memoria USB y se copia en el pc sin
conexin a Internet
y se ejecuta.
4.9.3 Para prevenir infecciones por virus informtico, los
usuarios de Instituto
Municipal del Deporte y la Recreacin de Tulu no deben hacer uso
de software que
no haya sido proporcionado y validado por el rea de Cmputo.
4.9.4 Los usuarios de Instituto Municipal del Deporte y la
Recreacin de Tulu
deben verificar que la informacin y los medios de
almacenamiento, estn libres de
cualquier tipo de cdigo malicioso, para lo cual deben ejecutar
el software antivirus
autorizado por el rea de Cmputo.
4.9.5 Todos los archivos de computadoras que sean proporcionados
por personal
externo o interno considerando al menos programas de software,
bases de datos,
documentos y hojas de clculo que tengan que ser descomprimidos,
el usuario debe
verificar que estn libres de virus utilizando el software
antivirus autorizado antes de
ejecutarse.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 15 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
4.9.6 Ningn usuario, funcionario, empleado o personal externo,
podr bajar o
descargar software de sistemas, boletines electrnicos, sistemas
de correo
electrnico, de mensajera instantnea y redes de comunicaciones
externas, sin la
debida autorizacin del rea de Cmputo.
4.9.7 Cualquier usuario que sospeche de alguna infeccin por
virus de computadora,
deber dejar de usar inmediatamente el equipo y notificar al rea
de Cmputo para la
revisin y erradicacin del virus.
El icono del antivirus debe permanecer siempre en color verde,
si usted observa
dicho icono en otro color, favor avisar inmediatamente a el rea
de Computo, para
que se haga la revisin correspondiente.
4.9.8 Los usuarios no debern alterar o eliminar, las
configuraciones de seguridad
para detectar y/o prevenir la propagacin de virus que sean
implantadas por la el
rea de Cmputo en: Antivirus, Outlook, office, Navegadores u
otros programas.
4.9.9 Debido a que algunos virus son extremadamente
complejos,
ningn usuario o funcionario de Instituto Municipal del Deporte y
la Recreacin de
Tulu, distinto al personal del rea de Cmputo deber intentar
erradicarlos de las
computadoras.
4.10 Controles para la Generacin y Restauracin de Copias de
Respaldo
4.10.1 Procedimiento de generacin y restauracin de copias de
respaldo para
salvaguardar la informacin crtica de los procesos significativos
de la entidad. Se
debern considerar como mnimo los siguientes aspectos:
4.10.1.1 Establecer como medida de seguridad informtica la
necesidad de
realizar copias de respaldo o backups peridicamente en los
equipos de cmputo
administrativos.
4.10.1.2 Cada funcionario es responsable directo de la generacin
de los
backups o copias de respaldo, asegurndose de validar la copia.
Tambin puede
solicitar asistencia tcnica para la restauracin de un
backups.
4.10.1.3 Conocer y manejar la generacin y/o restauracin de
copias de
respaldo, registrando el contenido y su prioridad. Rotacin de
las copias de respaldo,
debidamente marcadas. Almacenamiento interno o externo de las
copias de
respaldo, o verificar si se cuenta con custodia para ello.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 16 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Se utilizar el programa asistente de grabacin, para la Copia de
Seguridad o
Backup:
Aplicacin PC, Copiar Disco
Opcin Datos: se escoge CD o DVD
Se aaden los archivos o carpetas
Clic en cerrar
Clic en siguiente
Se introduce un CD o DVD en blanco en la unidad quemador de CD o
DVD
Colocar nombre al disco (16 caracteres)
Clic en grabar
Marcar el CD o DVD colocndole la fecha de la copia y entregar a
su Jefe
inmediato para su almacenamiento y custodia.
4.10.1.4 Las copias de seguridad o Back ups se deben realizar al
menos una vez al
mes y el ltimo da hbil del mes. Un funcionario del rea de
cmputo, revisar una
vez por mes el cumplimiento de este procedimiento y registrar en
el formato de
Copias de Seguridad.
4.11 Planes de Contingencia ante Desastre
Definicin: Se entiende por PLAN DE CONTINGENCIA los
procedimientos
alternativos a la operacin normal en una organizacin, cuyo
objetivo principal es
permitir el continuo funcionamiento y desarrollo normal de sus
operaciones,
preparndose para superar cualquier eventualidad ante accidentes
de origen interno
o externo, que ocasionen prdidas importantes de informacin.
Estos deben
prepararse de cara a futuros sucesos. (Ver manual de
contingencias)
4.11.1 Con el fin de asegurar, recuperar o restablecer la
disponibilidad de las
aplicaciones que soportan los procesos de misin crtica y las
operaciones
informticas que soportan los servicios crticos de la Institucin,
ante el evento de un
incidente o catstrofe parcial y/o total.
4.11.2 El rea de Cmputo debe tener en existencia la documentacin
de roles
detallados y tareas para cada una de las personas involucradas
en la ejecucin del
plan de recuperacin ante desastre.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 17 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Manual de Roles:
El rea de computo de Instituto Municipal del Deporte y la
Recreacin de Tulu tiene
como principal responsabilidad la administracin y coordinacin
del proceso de
Seguridad Informtica del a institucin.
Tiene como responsabilidad asegurar el buen funcionamiento del
proceso de
seguridad Informtica de la institucin.
Debe ser el punto de referencia para todos los procesos de
seguridad y ser capaz de
guiar y aconsejar a los usuarios de la institucin sobre cmo
desarrollar
procedimientos para la proteccin de los recursos.
Una tarea clave, es guiar al cuerpo directivo y a la
administracin de la institucin
ante incidentes de seguridad mediante un Plan de Respuesta a
Incidentes, con el fin
de atender rpidamente este tipo de eventualidades.
Es responsable de proponer y coordinar la realizacin de un
anlisis de riesgos
formal en seguridad de la informacin que abarque toda la
institucin.
Es deber del Instituto Municipal del Deporte y la Recreacin de
Tulu, el desarrollo
de procedimientos de seguridad detallados que fortalezcan la
poltica de seguridad
informtica institucional.
Es responsabilidad del Instituto Municipal del Deporte y la
Recreacin de Tulu,
promover la creacin y actualizacin de las polticas de seguridad
informtica, debido
al comportamiento cambiante de la tecnologa que trae consigo
nuevos riesgos y
amenazas.
Es responsabilidad del Gestor de Seguridad el desarrollo de un
Plan de Seguridad de
la Informacin.
Las personas encargadas deben atender y responder inmediatamente
las
notificaciones de sospecha de un incidente de seguridad o de
incidentes reales.
Es responsabilidad del director del Instituto Municipal del
Deporte y la Recreacin de
Tulu, coordinar la realizacin peridica de auditoras a las
prcticas de seguridad
informtica.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 18 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Es responsable de mantenerse al da de las actualizaciones y
nuevas
vulnerabilidades encontradas en el software del Instituto
Municipal del deporte y la
Recreacin de tulu.
4.11.3 Disponibilidad de plataformas computacionales,
comunicaciones e
informacin, necesarias para soportar las operaciones definidas
como de misin
crtica de negocio en los tiempos esperados y acordados.
Plan de respuesta a Incidentes
Es de vital importancia para Instituto Municipal del Deporte y
la Recreacin de Tulu
definir los procedimientos y planes de accin para el caso de una
posible falla,
siniestro o desastre que afecten la infraestructura tecnolgica
del Instituto Municipal
del deporte y la Recreacin de tulu, sus instalaciones e incluso
el personal que
labora en la organizacin.
Cuando ocurra una contingencia, bien sea porque se halla
materializado un riesgo,
es esencial que se conozca al detalle el motivo que la origin y
el dao producido, lo
que permitir recuperar y poner en marcha, en el menor tiempo
posible el proceso
perdido.
Los procedimientos debern ser de ejecucin obligatoria y bajo la
responsabilidad de
los encargados de la realizacin de los mismos, debiendo haber
procesos de
verificacin de su cumplimiento. Estos procedimientos estarn a
cargo del Instituto
Municipal del Deporte y la Recreacin de Tulu
Este plan de respuesta a incidentes define las pautas de lo que
se debe de realizar
en caso de incidente de seguridad en algunas de las oficinas del
Instituto Municipal
del Deporte y la Recreacin de Tulu, las fases de respuesta a
incidentes en un
momento dado.
Este documento muestra como minimizar los daos, evaluar el
incidente, que hacer
cuando se presente un incidente y como responder a ello.
Propsito
Este documento se implementa con el objetivo de que hacer al
momento de
presentarse en el Instituto Municipal del Deporte y la Recreacin
de Tulu, en la
oficina actual o algunas de las futuras oficinas.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 19 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Objetivos de la Respuesta a Incidentes
Asegurarse de que el incidente si se ha producido en la
entidad.
Mitigar el impacto del incidente.
Prevenir futuros ataques o incidentes.
Mejorar la seguridad y respuesta a incidentes del Instituto
Municipal del
deporte y la Recreacin de tulu
Mantenerse informado de la gestin de la situacin y la respuesta
a la entidad.
Definicin del Incidente de Seguridad
Un problema en el Instituto Municipal del Deporte y la Recreacin
de Tulu, puede
causar ciertos tipos de incidentes de seguridad informtica tales
como:
1. Perdida de informacin confidencial del Instituto Municipal
del Deporte y la
Recreacin de Tulu, afectando la confidencialidad, integridad y
disponibilidad de la
misma.
2. Si la informacin del Instituto Municipal del Deporte y la
Recreacin de Tulu no
cuenta con aplicaciones, software o servicios de seguridad
nuestra informacin
podra ser modificada por alguien no autorizado de la
entidad.
3. Robo de activos fsicos informticos tales como computadoras,
dispositivos de
almacenamiento, impresoras, y dems equipo informtico propio del
instituto.
4. Daos a los activos fsicos informticos incluyendo
computadoras, dispositivos de
almacenamiento, impresoras, y dems equipo informtico propio del
instituto.
5. Denegacin de servicios dentro del mismo instituto.
6. Uso indebido de los servicios, informacin o activos del
instituto por parte de los
empleados de l.
7. Infeccin de los sistemas por software no autorizado.
8. Intento de acceso no autorizado a los Sistema de informacin
del Instituto
Municipal del Deporte y la Recreacin de Tulu.
9. Cambios no autorizados a la organizacin de hardware,
software, o la
configuracin de los mismos.
10. Respuesta a las alarmas de deteccin de intrusos.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 20 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Planificacin de Incidentes de seguridad informtica
En caso de tener uno o varios incidentes de seguridad informtica
en el Instituto
Municipal del Deporte y la Recreacin de Tulu, algunas de sus
oficinas con equipo
informtico de cualquier categora, se llevara a cabo las
siguientes actividades
1. Definir y aclarar las listas de respuestas a incidentes y sus
responsabilidades.
2. Establecer los procedimientos detallados de las medidas a
tomar durante el
incidente de seguridad informtica.
a. Detallar las acciones basadas en el tipo de incidente tales
como virus, intrusiones
de hackers, robo de datos, sistema de destruccin.
b. Evaluar los procedimientos adecuados para identificar los
aspectos crticos que
han ocurrido en la entidad.
c. Examinar si el incidente est en curso o se ha presentado de
una manera rpida y
critica.
d. Si es posible recuperar informacin importante de la entidad
que haya sido
perjudicada por cualquier tipo de incidente de seguridad
informtica
Ciclo de Vida a la Respuesta a Incidentes
Preparacin para incidentes
1. Polticas y Procedimientos
a. establecer las polticas de Seguridad.
b. Seguir los procedimientos de Respuesta a Incidentes.
c. Seguir los procedimientos de Recuperacin y Backup.
2. Implementar polticas con herramientas de seguridad que
incluyen firewalls,
sistemas de deteccin de intrusos, adems de otros elementos
necesarios para la
seguridad informtica.
3. Colocar avisos de advertencia contra el uso no autorizado en
los puntos de acceso
del sistema.
4. Establecer directrices de respuesta considerando y
discutiendo posibles
escenarios.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 21 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
5. Capacitacin de los usuarios sobre la seguridad y entrenar a
personal del Instituto
Municipal del Deporte y la Recreacin de Tulu, el manejo de
situaciones de
seguridad y el reconocimiento de intrusiones e incidentes de
seguridad informtica.
Descubrimiento del incidente de seguridad informtica
Es el momento en el que algn empleado del Instituto Municipal
del Deporte y la
Recreacin de Tulu descubre que se ha presentado un incidente de
seguridad
informtico con algn bien informtico. Dicho incidente de
seguridad informtico
normalmente para este tipo de instituto podra venir de algunas
de las siguientes
fuentes que la detecten y lo informen:
1. De cada rea o usuario respectivamente.
2. Un administrador de red de la entidad
3. Personal administrativo de la entidad
4. El rea de Cmputo o una persona de seguridad.
Notificacin del incidente de Seguridad Informtica
En caso de que ocurra algn incidente de seguridad informtica en
algunas de las
reas del Instituto Municipal del Deporte y la Recreacin de Tulu
se deber informar
a un superior o persona encargada en el rea acerca del mismo
para que este
realice la previa notificacin al encargado general de rea de
computo que toma las
decisiones con respecto a ello.
Anlisis y Evaluacin del incidente de seguridad.
Son muchos los factores que determinaran la respuesta adecuada,
lo cual incluye:
1. Real: Seguir los procedimientos respectivos para eliminar el
incidente.
Percibido: verificar y analizar si es real para tomar medidas
contra l.
2. Buscar medidas mientras se encuentra la solucin para
detenerla intrusin.
3. En el Instituto Municipal del Deporte y la Recreacin de Tulu
se vern afectados
equipos de cmputo en los datos como la base de datos ya que se
puede afectar la
informacin de la entidad y seria critico para ella.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 22 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
4. Aunque el Instituto Municipal del Deporte y la Recreacin de
Tulu cuenta con
informacin importante, el impacto del incidente de seguridad
informtica depender
del atacante, debido a que as como puede ser grave para el
instituto, tambin puede
no ser tan crtico.
5. Los atacantes se enfocaran en atacar la parte del instituto
donde mayor
informacin importante hay, as afectando a la entidad en las
reas.
Estrategia de respuesta
1. La respuesta a un caso de intrusin debe ser rpida o por lo
menos ver la forma
de que brinde el tiempo para mitigar el incidente de seguridad
informtica.
2. Si el incidente de seguridad informtica lo detecta alguno de
los sistemas, una
alerta de seguridad que nos avisara, la cual ser enviada al
correo electrnico del
encargado del rea de cmputo.
3. Si se genera alguna alerta se debe considerar el anlisis del
atacante y si merece
o no y merece una prevencin.
Contencin del incidente de seguridad informtica
Adoptar medidas para prevenir nueva intrusin o dao y eliminar la
causa del
problema. Puede necesitar:
1. Desconectar el sistema al cual se le fue detectada la
intrusin
2. Cambiar las contraseas o generar polticas para que la
contrasea sea de
carcter fuerte.
3. Bloquear algunos puertos o cambiarlos y bloquear algunas
conexiones.
Prevencin de la re-infeccin
Se debe determinar la forma en que ocurri la intrusin.
Determinar la fuente de la
intrusin: es decir, si se realizo va email, ataque a travs de un
puerto, un ataque a
travs de algunos de los servicios, o si es debido al ataque por
falta de actualizacin
de los sistemas o aplicaciones antivirus maliciosos.
Se deben tomar medidas inmediatas para evitar una nueva
infeccin:
1. Cerrar los puertos de los servidores que no se est
utilizando.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 23 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
2. Revisar el sistema que fue afectado para poder tomar medidas
frente la intrusin.
3. Volver a instalar el sistema, utilizar las copias de respaldo
y asegurarnos que las
copias se hayan realizado antes de la intrusin.
4. Informacin a los empleados y usuarios del Instituto Municipal
del deporte y la
Recreacin de tulu.
5. Desactivar los servicios sin utilizar en el sistema afectado
del Instituto Municipal
del deporte y la Recreacin de tulu.
Restaurar los sistemas afectados
Para restaurar los sistemas afectados hay que conservar las
pruebas en contra de la
intrusin, asegurarse de tener los respaldos del sistema y que
sean del sistema
afectado. Puede incluir lo siguiente:
Volver a instalar el sistema afectado (s) a partir de cero y la
restauracin de datos
de copias de seguridad si es necesario. Asegurarse de conservar
las pruebas en
contra de la intrusin de copias de seguridad de los registros o,
posiblemente,
todo el sistema.
Los usuarios deben cambiar las contraseas, si las contraseas han
sido
interceptadas e informales que deben ser fuertes y no
divulgarlas.
Asegurarse de que el sistema est completamente actualizado con
su software
correspondiente.
Asegurarse de que la proteccin antivirus en tiempo real y
deteccin de intrusos
se est ejecutando.
Documentacin del incidente de Seguridad Informtica
Se debe elaborar un documento sobre lo que se descubri del
incidente de seguridad
informtica, incluyendo la forma en que se produjo la intrusin,
cuando se produjo el
ataque y si hay respuesta y si es efectiva.
Preservacin de pruebas
Se deben hacer copias de los registros de intrusin y mantener
las listas de testigos
del incidente de seguridad.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 24 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Evaluar los daos y el costo
Evaluar si los daos a la entidad y estimacin de costos.
Revisin y actualizacin de polticas de respuesta
Considerar si implementar una poltica podra haber evitado la
intrusin al
sistema.
Considerar si una poltica o procedimiento no se sigui, lo que
permitir la
intrusin y mejorarla.
Estudiar si la respuesta al incidente fue la apropiada o no y
ver cmo podemos
mejorarla
Informar a las partes interesadas.
Revisar que todos sistemas estn actualizados y protegidos, que
se estn
cumpliendo las polticas para el cambio de contraseas y que los
antivirus estn
actualizados.
Se debern crear polticas de seguridad cada vez que el
administrador lo crea
necesario para evitar una intrusin al sistema.
Dao de Activos
Se informara al rea de cmputo para la revisin del activo para
determinar la
gravedad del dao. En caso que el dao sea grave se debe contactar
a la persona
encargada de manejar los proveedores para iniciar la reposicin
del activo. En caso
que no sea grave se proceder a repararlo en el menor tiempo para
restablecer el
servicio. Finalmente la persona del departamento encargado del
activo deber
establecer las configuraciones para que el activo quede en su
funcionamiento
normal.
Cambios no autorizados a la organizacin de hardware, software, o
la
configuracin de los Sistemas
En caso de cambio del hardware se debe identificar por cual fue
cambiado y los
riesgo que puede generar dicho cambio, despus de verificar esto
se debe enviar un
informe al rea encargada con todas las especificaciones del
hardware por el cual
fue reemplazado y una restauracin del mismo. En caso de cambio
del software
identificar software instalado y su propsito, realizar un
informe con el tipo de
software y su funcionamiento y enviarlo al departamento
encargado de sistemas.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 25 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
De ser necesario se retirara el software instalado. En caso de
que el software sea
desinstalado se notificara al rea de computo y solicitar la
reinstalacin del software.
En cuanto la configuracin se debe identificar los cambios de
configuracin, verificar
los efectos de esos cambios en el sistema; en el caso de
encontrar anomalas en el
sistema se enviara un informe al rea encargada el cual asumir la
restauracin de
las configuraciones.
4.11.4 Tener en existencia equipos informticos de respaldo o
evidencia de los
proveedores, de la disponibilidad de equipos y tiempos
necesarios para su
instalacin, en prstamo, arriendo o sustitucin.
4.11.5 Existencia de documentacin de los procedimientos manuales
a seguir por las
distintas reas usuarias durante el periodo de la contingencia y
entrenamiento a los
usuarios en estos procedimientos.
Manual de Procedimientos
Poltica de Seguridad: Todo el personal nuevo del Instituto
Municipal del deporte y la Recreacin de tulu, sea contratado por
contrato de nombramiento o contratista, deber ser notificado al
Director del instituto, encargado de asignarle los derechos
correspondientes (Equipo de Cmputo, Creacin de Usuario para la
Red), o en caso de retiro de algn empleado, anular y cancelar los
derechos otorgados como usuario informtico.
Responsable: Director del instituto y el encargado de recursos
humanos del Instituto
Municipal del deporte y la Recreacin de tulu
Procedimiento 1: Alta o baja de un empleado del Instituto
Municipal del deporte y la
Recreacin de tulu
Actividad 1: Se presenta la vacante dentro del Instituto
Municipal del deporte y la
Recreacin de tulu.
Actividad 2: Se solicita al jefe de personal del Instituto
Municipal del deporte y la
Recreacin de tulu o al Director; la bsqueda del nuevo
empleado
para que se haga cargo de la vacante que ha quedado.
Actividad 3: El jefe de personal del Instituto Municipal del
deporte y la Recreacin
de tulu realiza la publicacin necesaria para la llegada de
las
propuestas o licitaciones para la vacante.
Actividad 4:
La convocatoria se realiza y todas las propuestas analizadas
de
manera que se midan su rendimiento para las funciones que se
requieren en el instituto y de esta manera se pueda evaluar si
darn
buen desempeo dentro de la misma.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 26 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Actividad 5: Una vez realizados los estudios previos, es el
mismo jefe de personal
la persona encargada de seleccionar el aspirante ganador.
Actividad 6:
Una vez aceptada debe ser registrada dentro del Instituto
Municipal
del deporte y la Recreacin de tulu con sus funciones,
obligaciones
y privilegios dentro de las instalaciones fsicas del Instituto
Municipal
del deporte y la Recreacin de tulu y los sistemas lgicos de
los
mismos.
Actividad 7: En caso de ser la baja de un empleado este deber
cumplir con un
contrato de confidencialidad por la informacin que consigo se
lleva.
Actividad 8:
Una vez hecho esto, se procede a quitar los privilegios y
derechos de
la persona dentro de la organizacin por lo que la baja del
empleado
se realiza en todas las reas de Instituto Municipal del deporte
y la
Recreacin de tulu y todos los sistemas de informacin que all
se
manejan.
Poltica de Seguridad: El empleado de Instituto Municipal del
deporte y la Recreacin de tulu deber reportar de forma inmediata al
director de seguridad cuando se detecte riesgo alguno real o
potencial sobre equipos de cmputo o de comunicaciones, tales como
cadas de agua, choques elctricos, cadas o golpes o peligro de
incendio.
Responsable: Empleado de Instituto Municipal del deporte y la
Recreacin de tulu
Procedimiento 2: Informar acerca de riesgo potencial sobre los
bienes del Instituto
Municipal del deporte y la Recreacin de tulu
Actividad 1: El empleado detecta que existe un posible riesgo
que se puede llegar
a materializar provocando vulnerabilidades de seguridad en
la
empresa con posibles daos a los activos informticos de la
misma.
Actividad 2:
El empleado toma nota acerca del incidente o riesgos, teniendo
en
cuenta factores como fuente de aviso (por intuiciones, por
antivirus),
hora e impacto y de esta manera puede acercarse a realizar el
previo
aviso del incidente.
Actividad 3: El empleado solicita reunin con el rea de computo y
el encargado
de seguridad informtica de Instituto Municipal del deporte y
la
Recreacin de tulu
Actividad 4: Una vez el directo de seguridad es avisado del
riesgo potencia, toma
responsabilidad por el posible incidente y junto con su equipo
se
hace cargo de la situacin.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 27 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Actividad 5: El equipo de seguridad informtica toma las medidas
respectivas
para erradicar el riesgo y de esta manera consiguen eliminar
o
minimizar el riesgo potencial a presentarse.
Actividad 6: El bien informtico involucrado en el riesgo
potencia es evaluado y de
esta forma se realizan las actividades necesarias para que no
se
vuelva a presentar un peligro sobre este mismo bien.
Actividad 7: Se debe restablecer la normalidad de las labores
con el bien
informtico involucrado.
Actividad 8: El empleado que da aviso acerca del incidente es
asesorado acerca
de las posibles acciones que puede tomar en caso de volverse
a
presentar otro incidente de seguridad como tal.
Poltica de Seguridad: Cualquier persona que tenga acceso a las
instalaciones de
Instituto Municipal del deporte y la Recreacin de tulu, deber
registrar al momento
de su entrada, el equipo de cmputo que usara, equipo de
comunicaciones, medios
de almacenamiento y herramientas que no sean propiedad del
Instituto Municipal del
deporte y la Recreacin de tulu, con la secretaria, con quien
podrn retirar el mismo
da. En caso contrario deber tramitar la autorizacin de salida
correspondiente.
Responsable: Empleado encargado de la recepcin en la empresa. la
secretaria.
Procedimiento 3: Registrar el ingreso de personas autorizadas
por la direccin del
Instituto Municipal del deporte y la Recreacin de tulu, as como
equipo de cmputo
ajeno a la organizacin.
Actividad 1:
La persona interesada en ingresar a las instalaciones de
Instituto
Municipal del deporte y la Recreacin de tulu realiza el previo
aviso
de su entrada al instituto, de esta manera se somete a estudio
su
aprobacin y se informa de las normas una vez se encuentre
dentro
del Instituto Municipal del deporte y la Recreacin de tulu.
Actividad 2: El director del Instituto Municipal del deporte y
la Recreacin de tulu
es informado de la solicitud de entrada en trmite, de esta
manera
este la evala, y autoriza o desautoriza la entrada de dicha
persona.
Actividad 3: El director analiza los posibles equipos de cmputo
a ingresar por la
persona.
Actividad 4: La persona interesada en el ingreso al instituto se
presente en la
organizacin y es buscado en una lista de ingresos del da
autorizados a la empresa.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 28 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Actividad 5:
La secretaria realiza el ingreso de la persona y en caso de que
esta
persona traiga equipo informtico no autorizado este debe ser
entregado a la misma para ser almacenado en un sitio donde
permanecer.
Actividad 6:
En caso de que el visitante solicite el uso de alguno de los
equipos
de computo del Instituto Municipal del deporte y la Recreacin
de
tulu, la secretaria realiza la previa asignacin de dicho equipo
e
informa al visitante acerca de las restricciones tales como uso
de
memorias, abrir el equipo, etc.
Actividad 7: El visitante realiza sus actividades y reuniones
con las personas que
pretende reunirse y termina su visita
Actividad 8: En caso de tener equipo informtico guardado dicha
persona debe
realizar la solicitud para retiro del mismo.
Actividad 9: La persona se retira del Instituto Municipal del
deporte y la
Recreacin de tulu y se realiza el evalo de las actividades
que
realizo estando dentro de la misma.
Poltica de Seguridad: Es responsabilidad de los usuarios
almacenar su
informacin nicamente en la particin del disco duro diferente
destinada para
archivos de programas y sistemas operativos, para el caso
Instituto Municipal del
deporte y la Recreacin de tulu maneja la unidad D:\ como
resguardo.
Responsable: Empleado de Instituto Municipal del deporte y la
Recreacin de tulu
Procedimiento 4: Almacenar la informacin importante en la
particin del disco
designada por Instituto Municipal del deporte y la Recreacin de
tulu para
almacenamiento de la informacin relevante
Actividad 1: El empleado del Instituto Municipal del deporte y
la Recreacin de
tulu realiza sus labores diarias como documentos, cartas,
pagos,
transacciones, etc.
Actividad 2: En el momento en el que el empleado desee realizar
el resguardo de
la informacin que est trabajando debe dirigirse a la
particin
designada para esta informacin.
Actividad 3: Normalmente la empresa para ellos denomina a la
particin D:\, para
que as el empleado tenga la facilidad de guardar la
informacin.
Actividad 4: El empleado realiza en resguardo de la informacin
en la particin
designada y esta es compartida de manera inmediata con los
altos
cargos que necesiten dicha informacin.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 29 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Actividad 5: Una vez almacenada la informacin en el resguardo el
empleado no
debe almacenar la informacin en otra particin.
Actividad 6: El empleado se asegura de no dejar la informacin a
merced de un
posible atacante o interesado en la informacin mismo que est
manejando.
Poltica de Seguridad: Cuando se requiera realizar cambios
mltiples de los
equipo de cmputo derivado de reubicacin de lugares fsicos de
trabajo o cambios
locativos, stos debern ser notificados con anticipacin al rea de
computo del
Instituto Municipal del deporte y la Recreacin de tulu.
Responsable: rea de Computo del Instituto Municipal del deporte
y la Recreacin
de tulu.
Procedimiento 5: Realizar movilizacin de equipo informtico fsico
de una oficina
a otra.
Actividad 1: El empleado detecta la falencia en la ubicacin de
cierto equipo
informtico lo que le impide realizar de manera correcta o ms
eficiente sus labores diarias.
Actividad 2:
El empleado realiza la solicitud con la oficina de seguridad
informtica del Instituto Municipal del deporte y la Recreacin
de
tulu con el fin de realizar el traslado de un equipo de cmputo
bien
sea a su conveniencia, o por necesidad de reubicacin para un
mejor desempeo.
Actividad 3: El rea de Computo del Instituto Municipal del
deporte y la
Recreacin de tulu se hace cargo de la situacin y analiza la
solicitud evaluando el posible traslado del material de
cmputo.
Actividad 4: Una vez el rea de Computo del Instituto Municipal
del deporte y la
Recreacin de tulu decide aprobar el traslado, este documento
es
entregado al empleado.
Actividad 5:
El empleado se dirige a el rea de Computo con el fin de que se
le
designe un personal con conocimientos para el traslado de
los
equipos debido a que este puede no tener el conocimientos
necesario para realizarlo, y en caso de tenerlo, esta no es su
labor
dentro de la organizacin.
Actividad 6: El personal encargado del traslado del equipo
moviliza los equipos
de tal manera que el empleado responsable de dicho equipo no
interviene en la movilizacin.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 30 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Actividad 7: Una vez instalado, se verifica el normal
funcionamiento del equipo
informtico y el empleado llena una forma en la cual se informa
de la
reinstalacin exitosa del equipo.
Actividad 8: El empleado vuelve a sus labores matutinas.
Poltica de Seguridad: Los empleados debern asegurarse de
respaldar en copias
de respaldo o backups la informacin que consideren relevante
cuando el equipo
sea enviado a reparacin y borrar aquella informacin sensible que
se encuentre en
el equipo, previendo as la prdida involuntaria de informacin,
derivada del proceso
de reparacin.
Responsable: Empleado de Instituto Municipal del deporte y la
Recreacin de tulu
Procedimiento 6: Realizar el mantenimiento de los equipos de
cmputos
responsabilidad de los empleados.
Actividad 1: El empleado es informado del mantenimiento del
equipo por lo que
debe proceder a salvar la informacin relevante que tenga en
dicha
computadora.
Actividad 2: El personal de mantenimiento realiza un informe de
los equipos a
realizar el mantenimiento y all informan el almacn donde
debern
salvar toda esta informacin relevante de cada equipo.
Actividad 3: Una vez salvada la informacin los equipos son
llevados a oficina de
nuevas tecnologas donde son previstos para el mantenimiento.
Actividad 4: El personal previsto para el mantenimiento, realiza
el mantenimiento
preventivo de los equipos y una vez terminado, procede a la
entrega
de los equipos a cada responsable.
Actividad 5: Una vez reubicado nuevamente el equipo en su
sitio
correspondiente el empleado salva la informacin que tena en
dicho
equipo.
Actividad 6: Salvada la informacin de cada equipo se restablece
el normal
funcionamiento de los equipos.
Actividad 7: Se pasa informe de los equipos que entraron en
mantenimiento por
alguna anormalidad en los prximos das.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 31 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Poltica de Seguridad: El empleado deber dar aviso inmediato al
director del
Instituto Municipal del deporte y la Recreacin de tulu, y a la
oficina que realice el
manejo de inventario la perdida, robo o extravo de equipos de
cmputo, perifricos
o accesorios bajo su responsabilidad.
Responsable: Empleado de Instituto Municipal del deporte y la
Recreacin de tulu
Procedimiento 7: Informar acerca perdida, robo o extravo de
equipo de computo
Actividad 1: El empleado detecta la prdida de un equipo de
cmputo asignado a
su responsabilidad.
Actividad 2: El empleado informa al director, acerca del suceso
para que este
realice el comienzo de la investigacin.
Actividad 3:
Se realiza un estudio de la situacin, y un anlisis de
posibles
traslados de equipos, mantenimiento y dems para ubicar el
equipo
informtico extraviado.
Actividad 4: Se realiza evaluacin de la raz del extravo de
equipo, que puede
ser perdida o robo.
Actividad 5: En caso de presentarse una prdida de equipo se hace
responsable
la persona encargada de vigilar dicho equipo informtico.
Actividad 6: En caso de robo tambin se responsabilizara del robo
a la persona
encargada del equipo, en cuyo caso se inicia una investigacin
con
todo el personal cercano a dicha rea.
Actividad 7: Se notifica a autoridades de seguridad pblica en
caso de que el
robo o prdida sea de un equipo de alto coste o alta
importancia
para el instituto.
Actividad 8: Se contina con el normal funcionamiento hasta que
se encuentra el
culpable y se levan a cabo las sanciones correspondientes.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 32 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Poltica de Seguridad: Instituto Municipal del deporte y la
Recreacin de tulu
velar porque todos los usuarios de los sistemas de Informacin
estn registrados
en su Base de Datos para la autorizacin de uso de dispositivos
de almacenamiento
externo Memorias USB, Discos porttiles, Unidades de Cd y DVD
Externos, para el
manejo y traslado de informacin o realizacin de copias de
seguridad o Backups.
No est permitido realizarse sin autorizacin.
Responsable: Empleado de Instituto Municipal del deporte y la
Recreacin de tulu
Procedimiento 8: Solicitar el uso de medio de almacenamiento
alternativo para
traslado de informacin.
Actividad 1:
En caso de un dao en un equipo en un momento de altas
transacciones de informacin el empleado debe solicitar
autorizacin para uso de medio de almacenamientos alternos
para
movilizar informacin.
Actividad 2: El director del Instituto Municipal del deporte y
la Recreacin de
tulu analiza la situacin y por ello autoriza el uso de USB, cds,
etc.
Actividad 3: El empleado procede a movilizar la informacin.
Actividad 4: Esta informacin es salvada en otro equipo y la
informacin
permaneciente en el medio extrable.
Actividad 5: El empleado realiza las transacciones con la
informacin salvada y
de esta manera, continua con sus labores.
Actividad 6:
Una vez recuperado el equipo de cmputo con fallo, ser el
mismo
equipo de mantenimiento del Instituto Municipal del deporte y
la
Recreacin de tulu quien esta vez devuelva toda la informacin
al
equipo.
Poltica de Seguridad: El empleado que requiera la instalacin o
actualizacin de software que sea propiedad de Instituto Municipal
del deporte y la Recreacin de tulu, debern justificar su uso y
solicitar su autorizacin por el director del Instituto Municipal
del deporte y la Recreacin de tulu con el visto bueno de inmediato,
indicando el equipo de cmputo donde se instalar el software y el
perodo de tiempo que ser usado.
Responsable: Empleado de Instituto Municipal del deporte y la
Recreacin de tulu
Procedimiento 9: Utilizacin de software licenciado por la
empresa.
Actividad 1:
Cuando un empleado considera la necesidad de la utilizacin
de
dicho software informa al director de seguridad del
Instituto
Municipal del deporte y la Recreacin de tulu dicho
acontecimiento.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 33 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Actividad 2: El director del Instituto Municipal del deporte y
la Recreacin de
tulu aprueba la instalacin de dicho software para este
empleado.
Actividad 3:
El empleado debe indicar por medio de una carta el equipo al
cual
desea se le instalen los programas, as como la lista de
programas
que desea le sean instalados para poder agilizar sus
labores.
Actividad 4:
El rea de Computo del Instituto Municipal del deporte y la
Recreacin de tulu, ser el encargado de realizar la instalacin
de
estos programas y verificar el exitoso funcionamiento de cada
uno
de ellos en los equipos de cmputo.
Actividad 5:
El empleado llena una forma en la que comprueba la exitosa
instalacin de los programas y el normal funcionamiento de
cada
uno de ellos.
4.11.6 Existencia de documentacin de los procedimientos
detallados para restaurar
equipos, aplicativos, sistemas operativos, bases de datos,
archivos de informacin,
entre otros.
4.11.7 Existencia de documentacin de pruebas peridicas de la
implementacin del
plan de recuperacin ante desastre para verificar tiempos de
respuesta, capitalizando
los resultados de la pruebas para el afinamiento del plan.
4.11.8 Actualizacin peridica del plan de recuperacin ante
desastre de acuerdo con
los cambios en plataformas tecnolgicas (hardware, software y
comunicaciones),
para reflejar permanentemente la realidad operativa y tecnolgica
de la compaa.
4.11.9 Disponibilidad de copias de respaldo para restablecer las
operaciones en las
reas de misin crtica definidas.
4.12 Internet
4.12.1 El acceso a Internet provisto a los usuarios y
funcionarios del Instituto
Municipal del Deporte y la Recreacin de Tulu es exclusivamente
para las
actividades relacionadas con las necesidades del cargo y
funciones desempeadas.
4.12.2 Todos los accesos a Internet tienen que ser realizados a
travs de los canales
de acceso provistos por Instituto Municipal del Deporte y la
Recreacin de Tulu, en
caso de necesitar una conexin a Internet alterna o especial, sta
debe ser notificada
y aprobada por el rea de Cmputo.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 34 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
4.12.3 Los usuarios de Internet del Instituto Municipal del
Deporte y la Recreacin de
Tulu tienen que reportar todos los incidentes de seguridad
informtica a el rea de
Cmputo inmediatamente despus de su identificacin, indicando
claramente que se
trata de un incidente de seguridad informtica.
4.12.4 Los usuarios del servicio de navegacin en Internet, al
aceptar el servicio
estn aceptando que:
Sern sujetos de monitoreo de las actividades que realiza en
Internet, saben que
existe la prohibicin al acceso de pginas no autorizadas, saben
que existe la
prohibicin de transmisin de archivos reservados o confidenciales
no autorizados.
Saben que existe la prohibicin de descarga de software sin la
autorizacin del rea
de cmputo.
La utilizacin de Internet es para el desempeo de sus funciones y
cargo en el
Instituto Municipal del Deporte y la Recreacin de Tulu y no para
propsitos
personales.
5. Acceso Lgico
Poltica: Cada usuario y funcionario son responsables de los
mecanismos de control
de acceso que les sean proporcionado; esto es, de su Cuenta de
usuario
Administrador y contrasea necesarios para acceder al equipo de
computo y a la
infraestructura tecnolgica del Instituto Municipal del Deporte y
la Recreacin de
Tulu, por lo que se deber mantener de forma confidencial. Solo
el encargado de
rea de computo las debe saber.
El permiso de acceso a la informacin que se encuentra en la
infraestructura
tecnolgica del Instituto Municipal del Deporte y la Recreacin de
Tulu debe ser
proporcionado por el dueo de la informacin, con base en el
principio de Derechos
de Autor el cual establece que nicamente se debern otorgar los
permisos mnimos
necesarios para el desempeo de sus funciones.
5.1 Controles de acceso lgico
5.1.1 Todos los usuarios de servicios de informacin son
responsables por el de
usuario y contrasea que recibe para el uso y acceso de los
recursos.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 35 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
5.1.2 Todos los usuarios debern autenticarse por los mecanismos
de control de
acceso provistos por el rea de Cmputo antes de poder usar la
infraestructura
tecnolgica de la Instituto Municipal del Deporte y la Recreacin
de Tulu.
5.1.3 Los usuarios no deben proporcionar informacin a personal
externo, de los
mecanismos de control de acceso a las instalaciones e
infraestructura tecnolgica de
Instituto Municipal del Deporte y la Recreacin de Tulu, a menos
que se tenga el
visto bueno del dueo de la informacin y de el rea de Cmputo y la
autorizacin
del Secretario General o de su Jefe inmediato.
5.1.4 Cada usuario que acceda a la infraestructura tecnolgica de
Instituto Municipal
del Deporte y la Recreacin de Tulu debe contar con un
identificador de usuario (ID)
nico y personalizado. Por lo cual no est permitido el uso de un
mismo ID por varios
usuarios.
5.1.5 Los usuarios y funcionarios son responsables de todas las
actividades
realizadas con su usuario (ID). Los usuarios no deben divulgar
ni permitir que otros
utilicen sus identificadores de usuario, al igual que tiene
prohibido utilizar el ID de
otros usuarios.
MANUAL DE ACCESO LGICO
POLTICA: Cada usuario se responsabilizar por el mecanismo de
acceso lgico
asignado, esto es su identificador de usuario y contrasea
necesarios para acceder a
la informacin e infraestructura de Instituto Municipal del
Deporte y la Recreacin de
Tulu, es responsabilidad de cada usuario la confidencialidad de
los mismos.
El acceso a la informacin que fluye dentro de la infraestructura
tecnolgica del
Instituto Municipal del Deporte y la Recreacin de Tulu se otorga
en base a las
funciones del usuario, se debern otorgar los permisos mnimos
necesarios para el
desempeo del cargo o rol.
CONTROLES DE ACCESO LGICO: Todos los usuarios de equipos
computacionales son responsables de la confidencialidad del
identificador de usuario
(ID) y el password o contrasea de su equipo, as como de
aplicaciones especiales
que requieran el mismo control de acceso lgico.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 36 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
Todos los usuarios debern autenticarse con los mecanismos de
control de acceso
lgico antes de tener acceso a los recursos de la Infraestructura
tecnolgica en
Instituto Municipal del Deporte y la Recreacin de Tulu. No est
permitido a los
usuarios proporcionar informacin a personal externo sobre los
mecanismos de
control de acceso a los recursos e infraestructura tecnolgica de
la Institucin, salvo
el caso de autorizacin expresa por el Director.
El identificador de usuario dentro de la red es nico y
personalizado, no est
permitido el uso del mismo identificador de usuario por varios
miembros del personal.
El usuario es responsable de todas las actividades realizadas
con su identificador de
usuario, por tanto no debe divulgar ni Permitir que terceros
utilicen su identificador, al
igual que est prohibido usar el identificador de usuario de
otros.
ADMINISTRACIN DE PRIVILEGIOS: Todo cambio en roles, funciones o
cargo que
requiera asignar al usuario atributos para acceso a diferentes
prestaciones de la
infraestructura tecnolgica en Instituto Municipal del Deporte y
la Recreacin de
Tulu debe ser notificado a el rea de Cmputo o el Jefe inmediato
correspondiente
al rea.
5.2 Administracin de privilegios
5.2.1 Cualquier cambio en los roles y responsabilidades de los
usuarios debern ser
notificados a el rea de Cmputo, para el cambio de
privilegios.
Funciones especficas Manual de Roles
Para todo el personal integrante del Instituto Municipal del
Deporte y la Recreacin
de Tulu:
1. Administrar y evaluar los requerimientos de informacin de las
distintas reas del
Instituto Municipal del Deporte y la Recreacin de Tulu.
2. Coordinar con el Equipo con el Apoyo del rea de Cmputo en la
definicin,
factibilidad, especificacin y validacin de requerimientos.
3. Vigilar la correcta aplicacin de los estndares y metodologas
de desarrollo de
sistemas de informacin, as como sugerir las mejoras que sean
necesarias.
4. Coordinar con los lderes usuarios de las distintas areas para
la definicin de
requerimientos funcionales y no funcionales de los sistemas de
informacin.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 37 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
5. Revisar, aprobar y mantener actualizados los manuales de los
sistemas, de
operacin y de usuario, concerniente a los sistemas de informacin
y tecnologas
(TICS).
6. Elaborar reportes de avance y estrategias de ejecucin de los
proyectos de
desarrollo de sistemas de informacin.
7. Desarrollar e implementar los sistemas de informacin que
requieran las
dependencias, de acuerdo a las prioridades establecidas en el
plan de
necesidades.
8. Efectuar el mantenimiento y actualizacin de los sistemas de
informacin,
analizando los problemas o planteamientos de modificacin,
garantizando su
correcta sincronizacin.
9. Participar en los procesos de adquisicin y pruebas de las
soluciones informticas
de terceros. As mismo, supervisar las actividades realizadas por
terceros en el
desarrollo e implementacin de soluciones informticas.
10. Apoyar en la capacitacin al usuario final y al personal
designado de la Seccin
Soporte a Usuarios, en el adecuado uso de los sistemas de
informacin,
proporcionando material de soporte y los medios necesarios para
tales fines.
11. Administrar en forma eficiente los recursos asignados a las
reas, velando por la
seguridad de accesos y operatividad, y protegiendo la informacin
de ingreso, salida
y almacenamiento.
12. Participar en la elaboracin de la propuesta del Plan de
Actividades de la
Oficina, en los planes de contingencia y en la implementacin de
acciones que
minimicen el riesgo de Tecnologas de Informacin.
13. Verificar que el rea de computo, atienda oportuna y
eficientemente los
requerimientos de las dems reas, supervisando el cumplimiento de
las
metodologas..
14. Cumplir y hacer cumplir las medidas correctivas recomendadas
por los entes
de vigilancia y control tanto externo como interno.
15. Atender asuntos relativos al servicio de soporte tcnico de
primer nivel para la
solucin de problemas referidos a hardware, Software y servicios
de computacin
personal, efectuados por el personal de la Oficina y por todas
las dependencias
institucionales.
17. Atender consultas tcnicas, operativas y funcionales a los
usuarios,
incentivndolos en el mejor uso y operacin de las tecnologas de
informacin.
18. Ejecutar, instalar y configurar, los equipos de cmputo y
perifricos en las
oficinas Administrativas cumpliendo con los procedimientos
aprobados.
-
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 38 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email:
[email protected]
23. Determinar y gestionar de inmediato las actividades a
realizar para generar
una solucin y puesta en marcha en el menor tiempo posible de
todos los sistemas
de informacin colapsados en el desastre.
24. Administrador de la Red: Actualmente vivimos en una sociedad
que depende
de los Sistemas de Informacin (Tics), que se encuentran tanto en
la parte interna
como externa de toda organizacin, sin embargo para poder acceder
a esta
informacin es necesario que estos sistemas se encuentren
interconectados por
medio de un recurso llamado red. Red, recurso constituido por
equipos, de medios
de comunicacin, adicionalmente, las redes internas se conectan a
otras redes
(corporativas, Internet), lo que hace que se vuelvan ms
complejas y robustas. Es
por ello, que se hace necesario el uso de herramientas para dar
el soporte adecuado
y ptimo. La ISO International Standards Organization, cre un
modelo de
administracin, donde se definen claramente las funciones de los
administradores de
redes.
5.3 Equipo desatendido
5.3.1 Los usuarios debern mantener sus equipos de cmputo con
controles de
acceso como contraseas previamente instalados y autorizados por
el rea de
Cmputo cuando no se encuentren en su lugar de trabajo.
5.4 Administracin y uso de contraseas
5.4.1 La asignacin de contraseas debe ser realizada de forma
individual, por lo que
el uso de contraseas compartidas est prohibido,
MANUAL USO DE CONTRASEAS.
El uso de contrasea es un aspecto fundamental de la seguridad de
los recursos
informticos; una contrasea mal ele