• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Manual de políticas de seguridad informática
 

Manual de políticas de seguridad informática

on

  • 19,735 views

Manual de políticas de seguridad informática - IAEN

Manual de políticas de seguridad informática - IAEN

Statistics

Views

Total Views
19,735
Views on SlideShare
19,735
Embed Views
0

Actions

Likes
3
Downloads
829
Comments
2

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

12 of 2 previous next

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • muy bien
    Are you sure you want to
    Your message goes here
    Processing…
  • muy buen manual
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Manual de políticas de seguridad informática Manual de políticas de seguridad informática Document Transcript

    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICAInstituto de Altos Estudios Nacionales 1
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN INFORMACIÓN GENERAL: Control de Cambios: Fecha de Versión Elabora Naturaleza del elaboración cambios o cambio revisiones 4 de agosto de 1.0 Gabriel Cevallos Primera Edición 2008 5 de agosto de 1.1 Ximena Garbay Revisión 2008 16 de mayo de 1.2 Soraya Carrasco Actualizaciones 2011 Indicadores de revisión: 1.x: 1: Edición del documento, documento original. X: Número de revisión efectuada en el documento Dirigido a: El presente documento está dirigido a todo el personal del IAEN.Instituto de Altos Estudios Nacionales 2
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN CONTENIDO:Antecedentes 4Marco Jurídico Administrativo 4Justificación 5Objetivo general 6Objetivos Específicos 6Alcance 6Sanciones 7Beneficios 7Vigencia 7Manual de Políticas de Seguridad Informática para el IAEN 7Generalidades 7Políticas y Normas de Seguridad Personal 8Políticas y Normas de Seguridad Física y Ambiental 8Políticas y Normas de Seguridad y Administración de Operaciones de cómputo 11Políticas y Normas de Controles de Acceso Lógico 15Políticas y Normas de Cumplimiento de Seguridad Informática 17Glosario de términos 18Instituto de Altos Estudios Nacionales 3
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENANTECEDENTESEl IAEN como Universidad de Postgrado se encuentra en una continua innovación académica ytecnológica a fin de ser un ente de investigación y desarrollo en el ámbito educativo. Parte delfortalecimiento a efectuarse en el instituto es la infraestructura tecnológica, la misma que espermanentemente actualizada con propósitos de brindar calidad de servicios a las nuevasexigencias que persigue la misión del IAEN.La infraestructura de comunicación a implementarse en el IAEN requiere un manual o conjuntode normas y políticas de uso y seguridad informática de los equipos y aplicaciones aimplementarse.MARCO JURÍDICO ADMINISTRATIVOEn el Registro Oficial Número 378, del martes 17 de Octubre del 2006, la Contraloría Generaldel Estado en resolución No. 025-CG acuerda expedir el Reglamento General Sustitutivo parael manejo y administración de bienes del Sector Público; el mismo que señala:Art. 1.- Ámbito de aplicación.- “Este reglamento se aplicará para la gestión de los bienes depropiedad de los organismos y entidades del sector público..… y para los bienes de tercerosque por cualquier causa estén en el sector público bajo custodia o manejo”.Art. 2.- De los sujetos.- “Este reglamento rige para los servidores públicos… Por tanto, nohabrá persona alguna que por razón de su cargo, función o jerarquía esté exenta delcumplimiento de las disposiciones del presente reglamento…”Art. 3.- Del procedimiento y cuidado.- “La conservación, buen uso y mantenimiento de losbienes, será responsabilidad directa del servidor que los ha recibido para el desempeño de susfunciones y labores oficiales”. “Para la correcta aplicación de este artículo, cada instituciónemitirá las disposiciones administrativas correspondientes…”Art. 5.- Empleo de los bienes.- “Los bienes de las entidades y organismos del sector públicosólo se emplearán para los fines propios del servicio público. Es prohibido el uso de dichosbienes para fines políticos, electorales, doctrinarios o religiosos o para actividades particularesy/o extrañas al servicio público.”La Ley de Propiedad Intelectual aprobada por el Congreso Nacional el 19 de mayo de 1998, ensu sección V, Disposiciones especiales sobre ciertas obras, escribe:Art. 28.- “Los programas de ordenador se consideran obras literarias y se protegen como tales.Dicha protección se otorga independientemente de que hayan sido incorporados en unordenador y cualquiera sea la forma en que estén expresados…..”.En concordancia con la Constitución Política del Ecuador, art. 163, Capítulo 3, la ley dePropiedad Intelectual tipifica dentro de la sección: De los Delitos y las Penas:Instituto de Altos Estudios Nacionales 4
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENArt. 319.- Será reprimido con prisión de tres meses a tres años y multa de quinientas a cincomil Unidades de Valor Constante UVC, tomando en consideración el valor de los perjuiciosocasionados, quién en violación de los derechos de propiedad intelectual, almacene, fabrique,utilice con fines comerciales, oferte en venta, venda, importe o exporte:...f) Un producto o servicio que utilice una marca no registrada idéntica o similar a una marcanotoria o de alto renombre, registrada en el país o en el exterior;Del Reglamento a Ley de Transparencia y Acceso a la Información Pública del Registro Oficial507 del 19 de enero del 2005 se declara:Art. 2.- Ámbito .- “Las disposiciones de la Ley orgánica de Transparencia y de acceso a lainformación pública y este reglamento, se aplican a todos los organismos entidades einstituciones del sector público y privado que tengan participación del Estado…”.Art. 10.- Información reservada .- Las instituciones sujetas al ámbito de este reglamento,llevarán un listado ordenado de todos los archivos e información considerada reservada…”Art. 16.- “El Recurso de Acceso a la Información Pública…procede cuando: b) “La información sea considerada incompleta, alterada o supuestamente falsa,…”JUSTIFICACIÓNLa seguridad, en lo que se refiere a una infraestructura de información, es un conceptorelacionado con los componentes del sistema (el hardware), las aplicaciones utilizadas en lainstitución (software) y el manejo que se dé del conjunto (el conocimiento del usuario); poresta razón es un paso primordial el establecer normativas y estándares que permitan obteneruna base de manejo seguro de todo lo relacionado con la infraestructura de comunicación delIAEN.El presente documento busca establecer el ¿por qué?, el ¿qué? y el ¿cómo? proteger lainformación que fluye a través del sistema de comunicaciones del IAEN agrupando todas lasnormas y políticas relacionadas con este fin, tomándose en cuenta todos los niveles deseguridad considerados en recomendaciones internacionales.El sentar bases y normas de uso y seguridad informáticas dentro del IAEN respecto a lamanipulación y uso de aplicaciones y equipos computacionales permitirá optimizar losprocesos informáticos y elevará el nivel de seguridad de los mismos.OBJETIVO GENERAL Divulgar un manual de políticas de seguridad informática para el conocimiento y cumplimiento del mismo entre todo el personal del IAEN sobre los recursos informáticos asignados o utilizados.Instituto de Altos Estudios Nacionales 5
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENOBJETIVOS ESPECÍFICOS Elaborar un manual de políticas de seguridad informática para el personal del IAEN adaptado a las necesidades y activos tecnológicos del instituto así como a la naturaleza de la información que se maneja en el mismo. Utilizar un lenguaje claro de establecimiento de políticas y estándares de seguridad para la fácil aplicación de las mismas por parte del personal del IAEN. Establecer niveles de seguridad en base a recomendaciones internacionales permitiendo que el manual normativo de seguridad sea ordenado y esquemático lo que se traduce en un enfoque más objetivo de la situación de la institución.ALCANCEEl presente manual describe todas las normas, políticas y estándares que se aplicarán demanera obligatoria de parte del personal del IAEN respecto a seguridad informática paraprecautelar un correcto uso de equipos de cómputo y aplicaciones tecnológicas; para elpresente manual se ha considerado sugerencias y recomendaciones del estándar británicobritánicas BS7799.BS7799 hace énfasis en la integridad, confidencialidad y disponibilidad. Integridad se refiere ala necesidad de proteger la exactitud de la información, así como los métodos utilizados paraprocesarla. Confidencial se refiere a la garantía de que la información sólo puede ser visitadapor las personas que tienen la autorización para hacerlo. Y la disponibilidad se refiere a lagarantía de que aquellos que han sido autorizadas a hacer uso de la información tienen accesoa ella y todos los asociados activos cuando sea necesario.El manual incluye cinco capítulos, a saber: - SEGURIDAD PERSONAL - SEGURIDAD FÍSICA Y AMBIENTAL - SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO - CONTROL DE ACCESO LÓGICO - CUMPLIMIENTOCada capítulo incluye la política relacionada, así como el conjunto de normas respectivasconsideradas en cada caso.Instituto de Altos Estudios Nacionales 6
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENSANCIONESLas sanciones a aplicarse al personal que incumpla las normas descritas en este manual (queasumirá todas las consecuencias producidas por este incumplimiento) quedan bajo el criteriode las autoridades del IAEN.BENEFICIOSEl cumplimiento del presente manual de seguridad informática hará posible un mejormantenimiento de los bienes activos de la infraestructura tecnológica del IAEN así como unmanejo más confiable de toda la información del instituto.VIGENCIAEl presente manual entrará en vigencia, previa aprobación de las autoridades del IAENcorrespondientes y previéndose los medios de difusión entre todo el personal del IAEN. Todocambio referente a la infraestructura tecnológica, naturaleza de las aplicaciones u otroscausados por las exigencias del instituto hará necesario efectuar una revisión y actualizacionesdel presente documento, estas actualizaciones y revisiones están previstas dentro del controlde cambios adjunto al presente documento. MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENGENERALIDADESINSTRUCCIONES DE INTERPRETACIÓNEl presente manual ha sido desarrollado de manera esquematizada y sencilla, con lenguajeclaro para que pueda interpretarse por cualquier colaborador del IAEN cualquiera sea su cargoe independientemente de su nivel de conocimientos informáticos.La aplicación de las normas expuestas en el presente documento se han ideado de forma quesu cumplimiento pueda efectuarse de la forma más simple posible y evitando interferir con lasfunciones de los colaboradores del IAEN, sin embargo el personal deberá enmarcar susesfuerzos para que todas las normas y políticas concernientes a su entorno de trabajo yutilización de recursos informáticos se cumplan a cabalidad.POLÍTICAS Y NORMAS DE SEGURIDADPolíticas.- Las políticas de seguridad informática establecen la visión y actitud general aestablecerse dentro del personal de la organización con respecto a los recursos y serviciostecnológicos que se utilizan. Las políticas generan a su vez las normas y estándares a aplicarsedentro de la organización para su cumplimiento; en otras palabras las políticas establecen quese entiende por seguridad dentro de una determinada organización.Instituto de Altos Estudios Nacionales 7
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENNormas.- Las normas son el conjunto de estándares, recomendaciones y controles que buscancumplir los objetivos establecidos por las políticas de seguridad, las políticas establecen laconcepción de seguridad dentro de la organización, las normas estableces las accionesrelacionadas con ese concepto.POLÍTICAS Y NORMAS DE SEGURIDAD PERSONALPOLÍTICATodo empleado y colaborador del IAEN, que debido a sus funciones debe manipular y utilizarequipos y servicios tecnológicos de la infraestructura de comunicación del Instituto,independientemente de su jerarquía dentro de la institución, debe firmar un convenio en elque acepte: condiciones de confidencialidad y manejo de información digital generada en susfunciones, el manejo adecuado de los recursos informáticos del IAEN, así como el apego a lasnormas y políticas del presente manual.OBLIGACIONES DE LOS USUARIOSEs responsabilidad de los usuarios de equipos y servicios tecnológicos del IAEN cumplir laspolíticas y normas del Manual de Políticas de Seguridad Informática para el IAEN.ENTRENAMIENTO Y CAPACITACIÓNParte de los objetivos del manual es presentarse de fácil entendimiento para todo el personalcualquiera sea el nivel de conocimiento de tecnología e informática que tenga el usuario, sinembargo todo colaborador del IAEN de acceso reciente debe contar con la inducción referenteal Manual de Políticas de Seguridad Informática; esta tarea deberá desarrollarse por la Unidadde Bienestar Humano en conjunto con la Dirección de Desarrollo Tecnológico del IAEN, dentrode los puntos principales de la inducción se tratará a modo general las obligaciones del usuarioasí como las sanciones relacionadas en caso de incumplimiento.SANCIONESEn caso de que la Dirección de Desarrollo Tecnológico del IAEN identifique el incumplimientode las normas y políticas descritas en el presente manual, deberá emitir el reporte o informecorrespondiente a la Unidad Administrativa para que se ejecuten las medidascorrespondientes.Se consideran violaciones graves el robo y daño de equipos voluntario; además el uso de lainfraestructura de comunicación del IAEN para hackeo o envío de correos tipo spam.POLÍTICAS Y NORMAS DE SEGURIDAD FÍSICA Y AMBIENTALPOLÍTICALos mecanismos de control de acceso físico deben asegurar que las áreas restringidas del IAENden acceso solamente a personas autorizadas para salvaguardar la seguridad de equipos eInstituto de Altos Estudios Nacionales 8
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENinformación del IAEN, dentro de estas áreas restringidas se consideran en especialmente lasoficinas de coordinación y el Centro de Datos del instituto. Para las estaciones de trabajoabiertas (modulares) se consideran mecanismos de seguridad lógica que limiten el acceso a losequipos computacionales y la información almacenada en los mismos.MANEJO DE LA INFORMACIÓNTodos los usuarios deberán reportar de forma inmediata los riesgos reales o potenciales quepresente el área física en que desempeñan sus funciones para los equipos de cómputo o decomunicación de los que hacen uso, como por ejemplo fugas de agua, conato de incendio, etc.Todos los medios de almacenamiento de información de tipo extraíble (diskettes o cintasmagnéticos, CD, DVD o memorias tipo USB) asignados por el IAEN en función de las tareas delusuario son responsabilidad del mismo, junto con la información contenida en los mismos, aúncuando no se utilicen.La información almacenada en los ordenadores asignados a los funcionarios del IAEN sonresponsabilidad de los mismos, el evitar fugas o pérdidas de información dentro de los equiposes obligación del usuario.CONTROL DE INGRESO DE EQUIPOSCualquier persona que acceda a las instalaciones del IAEN deberá registrar al momento de suingreso: equipos de cómputo, equipos de comunicaciones (excepto por teléfonos móviles ocelulares) y herramientas que no sean propiedad del IAEN de manera que se mantenga controlsobre el tráfico de los equipos computacionales y de computación que entran y salen delInstituto. En el caso de los cursantes se podrá declarar con anterioridad los equiposcomputacionales que piensa utilizar el cursante en el transcurso de la cátedra respectiva.Las computadoras personales o portátiles asignadas o cualquier otro activo de comunicación einformación podrán salir de las instalaciones del IAEN previa autorización de la autoridadrespectiva.SEGURIDAD DEL CENTRO DE DATOSEl centro de datos se considera área restringida dentro del IAEN y sólo el personal autorizadopor la Dirección de Desarrollo Tecnológico tiene acceso al mismo.TRASLADO, PROTECCIÓN Y UBICACIÓN DE EQUIPOSLa reubicación o movimiento de equipos de computación y comunicación, la instalación ydesinstalación de dispositivos, el retiro de sellos tanto de garantía como de licenciamiento desistema operativo o de programas de herramientas ofimáticas son atributos del personal de laDirección de Desarrollo Tecnológico del IAEN, este tipo de tareas se realizarán previaautorización de la Dirección Administrativa y con apoyo de la misma.Instituto de Altos Estudios Nacionales 9
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENTodo usuario es responsable de los equipos tecnológicos computacionales y de comunicaciónasignados en la ubicación autorizada por la Dirección Administrativa, y el uso de los equiposserá de uso exclusivo de las funciones del IAEN.En caso de necesitarlo, es responsabilidad del usuario solicitar capacitación necesaria para elmanejo de herramientas informáticas relacionadas con su labor de forma que se reduzca elriesgo de daño o malfuncionamiento de los equipos y herramientas por mal uso odesconocimiento, optimizando al mismo tiempo el uso de las herramientas informáticas.Toda la información obtenida y desarrollada en base a las funciones de los usuarios seguardará en la carpeta Mis Documentos, de manera que los datos puedan identificarse demanera rápida y en una sola ubicación lógica para facilitar el proceso de recuperación orespaldo de archivos.La ingesta de alimentos y/o bebidas mientras se operan los equipos de computación ycomunicación está prohibida.La colocación de cualquier objeto sobre los equipos computacionales o la ubicación deobstáculos o cosas que obstruyan los orificios de ventilación (ubicados en la fuente y partelateral de los CPU y monitores de los computadores) están prohibidas.La estación de trabajo debe estar limpia de polvo y libre de humedad para disminuir daños enlos equipos por estos agentes.Los cables de conexión de los equipos computacionales a la red eléctrica, a la red de datos y elcable de conexión telefónica deben protegerse, el usuario cuidará que estos cables no seanpisados, aplastados o pinchados por personas u objetos.Cuando se requiera cambiar la ubicación de varios equipos de cómputo (reestructuración,remodelación, cambio de lugar de unidades, etc) se deberá notificar a la Dirección deDesarrollo Tecnológico este particular con un mínimo de 48 horas de anticipación para preverlas medidas a aplicarse para realizar el cambio de la manera más rápida y eficaz, todos estosmovimientos y reubicaciones deben estar autorizados por la Dirección Administrativa.Está prohibido que los usuarios abran o desarmen los equipos de computación y decomunicación asignados por el IAEN.MANTENIMIENTO DE EQUIPOSLos servicios de mantenimiento y reparación se llevarán a cabo solamente por el personal de laDirección de Desarrollo Tecnológico del IAEN o personal autorizado por la misma unidad, esresponsabilidad del usuario solicitar información e identificación de la persona o personasdesignadas antes de permitir el acceso al equipo asignado.En caso de ser necesario el traslado del equipo para diagnóstico y reparación, los usuariosdeberán hacer respaldos de la información que consideren crítica o relevante para susInstituto de Altos Estudios Nacionales 10
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENfunciones; de esta manera se asegura que la pérdida involuntaria de información que podríasuceder como efecto de la reparación pueda subsanarse.PÉRDIDA DE EQUIPOEl usuario es responsable del equipo computacional y de comunicaciones asignado, en caso derobo, extravío o pérdida responderá por el bien de acuerdo a la normativa vigente para estoscasos.Los equipos de computación portátiles asignados tienen carácter intransferible y son deresponsabilidad del personal respectivo, por tanto no se pueden realizar préstamos de estosequipos.La pérdida de cualquier equipo computacional o de comunicación (y accesorios relacionados)debe comunicarse de inmediato a la Unidad Administrativa, a la Dirección de DesarrolloTecnológico y al órgano de Control de Bienes del IAEN.PERIFÉRICOS Y DISPOSITIVOS ESPECIALESLos usuarios cuyos equipos computacionales están equipados con grabadores para CD, DVD oambos utilizarán estos dispositivos exclusivamente para archivos de respaldo de documentosoriginales y copias de software autorizadas al IAEN vía contrato.El uso indebido de estos dispositivos para copias no autorizadas por el autor (“piratas”) decualquier programa de ordenador o software es responsabilidad del usuario bajo cuyoresguardo esté el equipo computacional.DAÑO DEL EQUIPOEl daño por negligencia, maltrato o descuido del usuario en los equipos de computación ycomunicación asignados será cubierto por el responsable previa verificación de ladescompostura por parte de la Dirección de Desarrollo Tecnológico del IAEN; en función deldaño se podrá solicitar el valor de la reparación o reposición del equipo o dispositivo.POLÍTICAS Y NORMAS DE SEGURIDAD Y ADMINISTRACIÓN DEOPERACIONES DE CÓMPUTOPOLÍTICALos funcionarios del IAEN que utilizan equipos de computación y comunicación deben ocuparmecanismos tecnológicos para la protección y privacidad de la información que manejan ygeneran.La protección de la información también compete a la prevención de código maliciosos alcomputador asignado, ya sea este virus, gusano, caballo de troya u otros.Instituto de Altos Estudios Nacionales 11
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENUSO DE MEDIOS DE ALMACENAMIENTONo se admite el uso de archivos compartidos entre los equipos asignados, el envío y recepciónde documentos internos se hará vía correo electrónico para que quede constancia del envío yde las partes relacionadas; de esta manera se asegura control sobre el flujo de comunicacionesinterno del Instituto.Todas las actividades que realizan los usuarios de la infraestructura de datos y comunicacionesdel IAEN son susceptibles de auditoría y revisión.INSTALACIÓN DE SOFTWARETodos los usuarios que debido a sus actividades requieran el uso de software propietario,deberán justificar el uso del mismo y solicitar la Autorización a la Dirección de DesarrolloTecnológico a través de un oficio firmado por el Director de la unidad del usuario, indicando enque equipo o equipos (de existir varias licencias adquiridas) deberá instalarse el programa encuestión y el período de tiempo estimado de uso.La instalación de cualquier tipo de programa en computadores, servidores o cualquier otroequipo conectado a la red del IAEN sin la autorización de la Dirección de DesarrolloTecnológico está prohibida.IDENTIFICACIÓN DEL INCIDENTEEn el caso que un usuario sospeche o tenga conocimiento pleno sobre un incidente deseguridad informática deberá reportarlo de inmediato a la Dirección de DesarrolloTecnológico, justificando con claridad porque lo ocurrido se considera como incidente deseguridad informática.De existir la sospecha de que información ha sido revelada, modificada, alterada o borrada sinautorización del usuario se deberá también notificar el incidente al Director de la Unidadrespectiva.Cualquier incidente relacionado con la utilización de equipos computacionales y decomunicación deben reportarse a la Dirección de Desarrollo Tecnológico.ADMINISTRACIÓN DE LA CONFIGURACIÓNEstá prohibido el alterar la configuración del equipo asignado por cualquier motivo, elestablecer redes de área local, conexiones remotas internas o externas, el intercambio deinformación a través del protocolo FTP o cualquier otro protocolo de transferencia de datostampoco está permitido sin la autorización previa de la Dirección de Desarrollo TecnológicoSEGURIDAD PARA LA REDEl uso del equipo computacional asignado para exploración de los recursos compartidos de lainfraestructura tecnológica del IAEN y las aplicaciones que la misma presta con el objetivo deInstituto de Altos Estudios Nacionales 12
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENhallar vulnerabilidades, sin autorización previa de la Dirección de Desarrollo Tecnológico seconsidera un ataque a la seguridad de la red.USO DEL CORREO ELECTRÓNICOEl correo electrónico institucional es personal e intransferible, cada usuario mantiene su propiacuenta y está prohibido el utilizar cuentas asignadas a otras personas para enviar o recibirmensajes de correo.El uso de cuentas de correos en servidores externos (Hotmail, gmail, etc) para comunicacionesinstitucionales está prohibido a menos que exista autorización de la Dirección de DesarrolloTecnológico.Tanto los mensajes enviados y recibidos así como los archivos adjuntos que salen y entran a losbuzones institucionales se consideran propiedad del IAEN.Los mensajes enviados por correo electrónico se consideran como una comunicación privada ydirecta entre el emisor y el receptor.El IAEN se reserva el derecho al acceso y análisis de todos los mensajes y archivos adjuntosenviados a través del correo institucional, al existir sospecha de envío de información quecomprometa la seguridad de la red, o cualquier otra acción no autorizada.El usuario debe utilizar el correo electrónico exclusivamente para desempeñar las funcionesque le fueron asignadas por su cargo, empleo o comisión; cualquier otro uso del correoelectrónico está prohibido.Queda prohibido suplantar, falsear o suprimir la identidad de un usuario de correo electrónico.Queda prohibido el interceptar, revelar o ayudar a interceptar o revelar a terceros lascomunicaciones por correo electrónico.El empleo del correo electrónico considera el uso de lenguaje apropiado, evitando palabrasofensivas o altisonantes que afecten la honra y estima de terceros.CONTROLES CONTRA CÓDIGO MALICIOSOPara evitar la inducción de código malicioso dentro de los equipos computacionales, elpersonal hará uso sólo del software o programas de ordenador instalados y validados por laDirección de Desarrollo Tecnológico del IAEN.Los usuarios de la infraestructura tecnológica del IAEN deben verificar que toda informacióncontenida en medios de almacenamiento extraíbles como diskettes, CD, DVD o memorias USBesté libre de códigos maliciosos, esto a través del software antivirus autorizado e instalado encada equipo computacional por la Dirección de Desarrollo Tecnológico.Instituto de Altos Estudios Nacionales 13
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENDebe verificarse la presencia o no de código malicioso en todos los archivos adjuntoscomprimidos (en formato .zip o .rar) enviados por personal externo o interno ejecutándose elprograma antivirus autorizado antes de ejecutarse la descompresión.El usuario que genere, compile, escriba, copie, propague o ejecute programas o aplicacionesen cualquier código o lenguaje de computadora que estén diseñados para auto-replicarse,dañar o borrar datos o impedir el funcionamiento de aplicaciones y programas autorizados ocomponentes del equipo computacional como memorias o periféricos será sancionado por laautoridad competente como ataque contra la seguridad informática del IAEN.Cualquier usuario que sospeche la infección de su equipo computacional de virus, troyano ocualquier otro código malicioso deberá dejar de usar inmediatamente el equipo y anunciar elparticular a la Dirección de Desarrollo Tecnológico para que se tomen las acciones respectivasde re-establecimiento del equipo y eliminación del código malicioso.Los usuarios a quienes se han asignado equipos portátiles están en el deber de solicitarperiódicamente a la Dirección de Desarrollo Tecnológico la actualización del software antivirus.Los usuarios no deben cambiar o eliminar las configuraciones de las consolas de antivirusinstaladas en cada equipo computacional para prevenir la propagación de código malicioso.Los códigos maliciosos son cada vez más complejos, por lo que ningún usuario debe intentarerradicarlos por sí mismo.USO DEL INTERNETEl acceso a Internet provisto para el personal del IAEN a través de equipos computacionales esexclusivo para el desarrollo de las actividades relacionadas con las necesidades del puesto yfunción que desempeña.Todos los accesos de Internet deben ser provistos a través de los canales previstos para elefecto, de necesitarse una conexión a Internet especial de características diferenciadas estadebe ser notificada y autorizada por la Dirección de Desarrollo Tecnológico.Los usuarios de internet que sospechen la ocurrencia de un incidente de seguridad informáticadeben reportarlo inmediatamente a la Dirección de Desarrollo Tecnológico con losjustificativos respectivos sobre las sospechas para la verificación del incidente.Todo usuario de Internet en el IAEN, al aceptar el servicio está aceptando que: - Las actividades realizadas en Internet serán sujeto de monitoreo. - Conocen la prohibición al acceso de páginas no autorizadas - Conocen la prohibición de descarga de software y archivos de música o video sin la autorización de la Dirección de Desarrollo Tecnológico.Instituto de Altos Estudios Nacionales 14
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN - La utilización del Internet es para el desempeño de su función y cargo en el IAEN y no para propósitos personales.POLÍTICAS Y NORMAS DE CONTROLES DE ACCESO LÓGICOPOLÍTICACada usuario se responsabilizará por el mecanismo de acceso lógico asignado, esto es suidentificador de usuario y password necesarios para acceder a la información e infraestructurade comunicación del IAEN, es responsabilidad de cada usuario la confidencialidad de losmismos.El acceso a la información que fluye dentro de la infraestructura tecnológica del IAEN se otorgaen base a las funciones del usuario, se deberán otorgar los permisos mínimos necesarios parael desempeño del cargo o rol.CONTROLES DE ACCESO LÓGICOTodos los usuarios de equipos computacionales son responsables de la confidencialidad delidentificador de usuario y el password de su equipo, así como de aplicaciones especiales querequieran el mismo control de acceso lógico.Todos los usuarios deberán autenticarse con los mecanismos de control de acceso lógico antesde tener acceso a los recursos de la Infraestructura tecnológica del IAEN.No está permitido a los usuarios el proporcionar información a personal externo sobre losmecanismos de control de acceso a los recursos e infraestructura tecnológica del IAEN, salvo elcaso de autorización expresa del generador de la información y la Dirección de DesarrolloTecnológico.El identificador de usuario dentro de la red es único y personalizado, no está permitido el usodel mismo identificador de usuario por varios miembros del personal.El usuario es responsable de todas las actividades realizadas con su identificador de usuario,por tanto no debe divulgar ni permitir que terceros utilicen su identificador, al igual que estáprohibido usar el identificador de usuario de otros.ADMINISTRACIÓN DE PRIVILEGIOSTodo cambio en roles, funciones o cargo que requiera asignar al usuario atributos para accesoa diferentes prestaciones de la infraestructura tecnológica del IAEN debe ser notificado a laDirección de Desarrollo Tecnológico por el Director correspondiente a la unidad o la autoridadque ordena el cambio.Instituto de Altos Estudios Nacionales 15
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENEQUIPO DESANTENDIDOEl usuario que deja su lugar de trabajo por cualquier razón debe dejar bloqueado su terminal oequipo computacional precautelando la seguridad de la información a través del mecanismode control de acceso lógico.ADMINISTRACIÓN Y USO DE PASSWORDSEs obligación del usuario cambiar la clave por defecto asignada por la Dirección de DesarrolloTecnológico.Los passwords son individuales, está prohibido que varios usuarios compartan un password.Cuando un usuario olvide, bloquee o extravíe su password deberá solicitar a la Dirección deDesarrollo Tecnológico para que se le realice la acción que le permita ingresar un nuevopassword, y el momento de recibirlo deberá personalizar uno nuevo.Está prohibido mantener ayudas escritas o impresas referentes al password en lugares dondepersonas no autorizadas pueden descubrirlos.La revelación del password o contraseña a terceros responsabiliza al usuario que prestó supassword de todas las acciones que se realicen con el mismo.Los usuarios deberán observar las siguientes guías para la construcción de su contraseña: - La contraseña estará compuesta de caracteres alfanuméricos de mínimo siete (7) caracteres y máximo 12 (doce). - Deben ser difíciles de adivinar, es decir no deben estar relacionados con nombre del empleado, fechas de nacimiento, lugar o cargo o estado dentro del trabajo.La contraseña no caduca, pero bajo sospecha de que el password es conocido por otra personadebe cambiarse inmediatamente.Los cambios o desbloqueo de password solicitados por el usuario a la Dirección de DesarrolloTecnológico serán notificados posteriormente al solicitante y al superior inmediato de maneraque se pueda detectar cualquier cambio no solicitado.CONTROL DE ACCESOS REMOTOSEl uso de las extensiones telefónicas para acceso al Internet de tipo Dial-Up está prohibido, seconsidera excepción previa autorización de la Dirección de Desarrollo Tecnológico del IAEN.La administración remota de equipos conectados a Internet no está permitida, salvo que secuente con la autorización y un mecanismo de control de acceso seguro autorizado por eldueño de la información y la Dirección de Desarrollo Tecnológico.Instituto de Altos Estudios Nacionales 16
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENPOLÍTICAS Y NORMAS DE CUMPLIMIENTO DE SEGURIDAD INFORMÁTICAPOLÍTICALa Dirección de Desarrollo Tecnológico del IAEN emitirá y revisará el cumplimiento de laspolíticas y normas de seguridad informática que permitan realizar acciones correctivas ypreventivas para el cuidado y mantenimiento de los equipos que forman parte de lainfraestructura tecnológica del Instituto.DERECHOS DE PROPIEDAD INTELECTUALLas leyes de propiedad intelectual prohíben la reproducción de programas de ordenador osoftware sin autorización escrita del autor, ya sea este adquirido o desarrollado en el Instituto.Los sistemas desarrollados por personal interno o externo bajo la supervisión de la Direcciónde Desarrollo Tecnológico son propiedad del IAEN.REVISIONES DE CUMPLIMIENTOLa Dirección de Desarrollo Tecnológico realizará acciones de verificación del cumplimiento demanual de políticas de seguridad informática, lo que incluye mecanismos de revisión detendencias en el uso de recursos informáticos y la naturaleza de los archivos procesados.El mal uso de los recursos informáticos detectado por la Dirección de Desarrollo Tecnológicoserá reportado conforme a lo indicado en la política de Seguridad de Personal.VIOLACIONES DE SEGURIDAD INFORMÁTICASe prohíbe el uso de herramientas de hardware o software que alteren o eviten los controlesde seguridad informática, a menos que exista autorización expresa de la Dirección deDesarrollo Tecnológico.Está prohibido realizar pruebas a los controles efectuados por la Dirección de DesarrolloTecnológico, ninguna persona puede probar o intentar comprometer los controles internos amenos que cuente con la aprobación de la Dirección de Desarrollo Tecnológico o sea unórgano interno de control.La búsqueda de orificios o fallas de seguridad informática está reservada para la Dirección deDesarrollo Tecnológico, está prohibida la realización de pruebas de este tipo para cualquierusuario no autorizado.La propagación de código malicioso de forma intencional para probar el desempeño de la redde parte de usuarios no autorizados está prohibido totalmente.Instituto de Altos Estudios Nacionales 17
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN GLOSARIO DE TÉRMINOSCD.- (Compact Disc, disco compacto): Unidad de almacenamiento digital en forma de disco,que a través de medios ópticos puede guardar información.Correo electrónico.- Consiste en enviar y recibir mensajes escritos a través de un computadory direcciones de buzón virtuales a través de una red privada o Internet y software diseñadopara el efecto.CPU.- (Central Processing Unit, Unidad Central de proceso): Abreviatura utilizada paranombrar al procesador de un ordenador, que es el chip que maneja las operaciones lógicasde cada proceso, en la práctica se usa también para denominar a todo el equipamiento quecontiene al procesador.Diskettes.- Unidad de almacenamiento extraíble originalmente en tamaño de 5¼” yposteriormente en 3 ½” con capacidad de hasta 1,44MB, actualmente en proceso de desusopor la entrada de unidades de almacenamiento con más capacidad y confiabilidad.DVD.- (Digital Versatile Disc, disco digital verstátil): Unidad de almacenamiento óptica enforma de disco de alta densidad que permite manejar formatos de audio y video de altacalidad y gran capacidad de almacenamiento de datos, sustituto natural del CD ya quesoporta más de 4 veces la capacidad de este.FTP.- (File Transfer Protocol, protocolo de transferencia de archivos): Protocolo que permitela transferencia de archivos en la mayoría de redes actuales, FTP es soportado por variossistemas operativos, incluidas todas las versiones actuales del Windows.Gusano.- Se denomina gusano al tipo de código malicioso capaz de duplicarse a sí mismo,suele usar las operaciones automáticas de archivos propios del sistema operativo delcomputador para la copia de sí mismo; básicamente ataca la red en sí ya que la duplicaciónocupa ancho de banda y enlentece los procesos.Hackeo.- En el presente documento se limita a la acción de hallar huecos de seguridad en lainfraestructura de una red para acceder a la información de la misma.MB.- (Megabyte): Unidad de volumen de información digital equivale a 1024 bytes, el byteagrupa a ocho bits, un bit es la unidad fundamental del sistema digital y toma un valor de uno(1) o cero (0).RAR.- Formato de compresión, un archivo de cualquier naturaleza puede comprimirse através de un software especializado y toma la extensión .rar.Software.- Se denomina software a todo programa, que instalado en un computador permiteel aceceso al usuario a la manipulación de información o uso de periféricos como impresoras,videocámaras u otros.Spam.- Publicidad no solicitada que viaja a través de cualquier red hacia buzones de correoelectrónico, el envío de spam en la red de Internet es uno de los mayores causantes desaturación de la red.Instituto de Altos Estudios Nacionales 18
    • MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENTroyano.- Un troyano es un tipo de código malicioso capaz de ingresar a un ordenador pararecabar información que permita el acceso de usuarios externos al computador local con losconsiguientes problemas de seguridad informática.USB.- (Universal Serial Bus, Bus serial universal): Es un tipo de puerto formado por 4terminales para recepción, transmisión, y energización del equipo; los puertos USB seencuentran presentes en todas las computadoras actuales y permiten la conexión deunidades de almacenamiento portátiles, cámaras, teléfonos, módems inalámbricos y todotipo de periféricos.UVC.- (Unidad de Valor Constante): El UVC toma el valor o costo de un bien constante encualquier época como por ejemplo la canasta familiar.Virus.- Un virus es un tipo de código malicioso capaz de destruir o alterar información delcomputador que lo aloja.ZIP.- Formato de compresión, un archivo de cualquier naturaleza puede comprimirse a travésde un software especializado y toma la extensión .zip.Instituto de Altos Estudios Nacionales 19