Manual de Politicas y Estandares en Seguridad Informatica Imder

MANUAL DE POLITICAS Y ESTANDARES

EN SEGURIDAD INFORMATICA

Cdigo:

CP-CI

Versin: 01 Fecha de aprobacin:

03 de Febrero de 2009

Pgina 1 de 58

Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]

MANUAL DE POLITICAS Y ESTANDARES EN SEGURIDAD INFORMATICA

INSTITUTO MUNICIPAL DEL DEPORTE Y LA

RECREACION DE TULU

OCTUBRE DE 2014



Cdigo:

CP-CI



Pgina 2 de 58


INTRODUCCION

La seguridad informtica ha tomado gran auge, debido a las cambiantes condiciones

y nuevas plataformas tecnolgicas disponibles. La posibilidad de interconectarse a

travs de redes, ha abierto nuevos horizontes a las empresas para mejorar su

productividad y poder explorar ms all de las fronteras nacionales, lo cual

lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas

de informacin.

Con la definicin de las polticas y estndares de seguridad informtica se busca

establecer en el interior de la Institucin una cultura de calidad operando en una

forma confiable.

Esta misma, es un proceso donde se deben evaluar y administrar los riesgos

apoyados en polticas y estndares que cubran las necesidades de Instituto

Municipal del Deporte y la Recreacin de Tulu en materia de seguridad.

Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y

directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y

recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso

indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes,

servicios y operaciones del Instituto Municipal del deporte y la Recreacin de tulu.

En este sentido, las polticas de seguridad informtica surgen como una herramienta

organizacional para concientizar a los colaboradores de la organizacin sobre la

importancia y sensibilidad de la informacin y servicios crticos que permiten a la

empresa crecer y mantenerse competitiva.

Ante esta situacin, el proponer o identificar una poltica de seguridad requiere un

alto compromiso con la organizacin, agudeza tcnica para establecer fallas y

debilidades, y constancia para renovar y actualizar dicha poltica en funcin del

dinmico ambiente que rodea las organizaciones modernas.

Para el desarrollo de este manual se busca estructurarlo en base a ciertos criterios

tales como:

Seguridad Institucional

Seguridad fsica y del medio ambiente

Manejo y control Centro de Cmputo

Control de usuarios

Lineamientos legales



Cdigo:

CP-CI



Pgina 3 de 58


OBJETIVO

El objetivo de estas polticas de seguridad para el Instituto Municipal del Deporte y la

Recreacin de Tulu, es establecer las pautas generales que permitan la gestin de

la seguridad de la Informacin de manera integrada y coordinada con los

requerimientos propios del Instituto, las leyes que en su caso apliquen y la normativa

interna del Instituto Municipal del deporte y la Recreacin de tulu.

Dado que una lista de buenas intenciones no tiene valor por s sola, se hace

imprescindible distribuir y hacer llegar a todos y cada uno de los empleados que

conforman nuestro Instituto, la Poltica de Seguridad de la Informacin.

La Poltica de Seguridad puede ser complementada con normativas especficas en

aquellos aspectos del Instituto Municipal del Deporte y la Recreacin de Tulu en los

que sea necesario establecer unas normas concretas de actuacin.

ALCANCE

El alcance de este Plan de Seguridad se encuentra enfocado Instituto Municipal del

Deporte y la Recreacin de Tulu, y los servicios que presta a la comunidad, en los

aspectos que consideramos ms relevantes del mbito fsico y lgico.



Cdigo:

CP-CI



Pgina 4 de 58


Definicin del Instituto Municipal del Deporte y la Recreacin de Tulu

Somos una institucin encargada de Generar y brindar a la comunidad

oportunidades de participacin en procesos de iniciacin, formacin y prctica del

deporte, la recreacin y el aprovechamiento del tiempo libre, la educacin fsica y la

educacin extraescolar como contribucin al desarrollo integral del individuo.

Encaminados a Promover el plan local de deporte y el aprovechamiento del tiempo

libre, efectuando y participando en programas que proyecten una imagen positiva a

nivel departamental, Nacional e Internacional, haciendo su seguimiento y evolucin

con la participacin comunitaria.

1.- Desarrollo General de las polticas y estndares de seguridad informtica

1.1 Aplicacin

Las polticas y estndares de seguridad informtica tienen por objeto establecer

medidas y patrones tcnicos de administracin y organizacin de las Tecnologas de

Informacin y Comunicaciones TICs de todo el personal comprometido en el uso de

los servicios informticos proporcionados por el Instituto Municipal del Deporte y la

Recreacin de Tulu, en cuanto a la mejora y al cumplimiento de los objetivos

institucionales.

Tambin se convierte en una herramienta de difusin sobre las polticas y estndares

de seguridad informtica a todo el personal de Instituto Municipal del Deporte y la

Recreacin de Tulu. Facilitando una mayor integridad, confidencialidad y

confiabilidad de la informacin generada por el Instituto Municipal del Deporte y la

Recreacin de Tulu, al personal, al manejo de los datos, al uso de los bienes

informticos tanto de hardware como de software disponible, minimizando los riesgos

en el uso de las tecnologas de informacin.

1.2 Evaluacin de las Polticas

Las polticas tendrn una revisin peridica se recomienda que sea semestral para

realizar actualizaciones, modificaciones y ajustes basados en las recomendaciones y

sugerencias.



Cdigo:

CP-CI



Pgina 5 de 58


1.3 Beneficios

Las polticas y estndares de seguridad informtica establecidas en el presente

documento son la base fundamental para la proteccin de los activos informticos y

de toda la informacin de las Tecnologas de Informacin y Comunicaciones (TICs)

en el Instituto Municipal del Deporte y la Recreacin de Tulu.

2.- Seguridad Institucional

Poltica: Toda persona que ingresa como usuario nuevo al Instituto Municipal del

Deporte y la Recreacin de Tulu para manejar equipos de cmputo y hacer uso de

servicios informticos debe aceptar las condiciones de confidencialidad, de uso

adecuado de los bienes informticos y de la informacin, as como cumplir y respetar

al pie de la letra las directrices impartidas en el Manual de Polticas y Estndares de

Seguridad Informtica para Usuarios.

2.1 Usuarios Nuevos

Todo el personal nuevo de la Institucin, deber ser notificado en el Instituto

Municipal del Deporte y la Recreacin de Tulu, para asignarle los derechos

correspondientes (Equipo de Cmputo, Creacin de Usuario para la Red interna o en

caso de retiro del funcionario, anular y cancelar los derechos otorgados como usuario

informtico.

2.2 Obligaciones de los usuarios

Es responsabilidad de los usuarios de bienes y servicios informticos cumplir las

Polticas y Estndares de Seguridad Informtica para Usuarios del presente manual.

2.3 Capacitacin en seguridad informtica

Todo servidor o funcionario nuevo en Instituto Municipal del Deporte y la Recreacin

de Tulu deber contar con la induccin sobre las Polticas y Estndares de

Seguridad Informtica Manual de Usuarios, donde se den a conocer las obligaciones

para los usuarios y las sanciones en que pueden incurrir en caso de incumplimiento.



Cdigo:

CP-CI



Pgina 6 de 58


2.4 Sanciones

Se consideran violaciones graves el robo, dao, divulgacin de informacin

reservada o confidencial de esta dependencia, o de que se le declare culpable de un

delito informtico.

3.- Seguridad fsica y del Medio Ambiente

Poltica: Para el acceso a los sitios y reas restringidas se debe notificar al el Instituto

Municipal del Deporte y la Recreacin de Tulu para la autorizacin correspondiente,

y as proteger la informacin y los bienes informticos.

3.1 Proteccin de la informacin y de los bienes informticos

3.1.1 El usuario o funcionario debern reportar de forma inmediata el Instituto

Municipal del Deporte y la Recreacin de Tulu, cuando se detecte riesgo alguno real

o potencial sobre equipos de cmputo o de comunicaciones, tales como cadas de

agua, choques elctricos, cadas o golpes o peligro de incendio.

3.1.2 El usuario o funcionario tienen la obligacin de proteger las unidades de

almacenamiento que se encuentren bajo su responsabilidad, aun cuando no se

utilicen y contengan informacin confidencial o importante.

3.1.3 Es responsabilidad del usuario o funcionario evitar en todo momento la fuga

de informacin de la entidad que se encuentre almacenada en los equipos de

cmputo personal que tenga asignados.

3.2 Controles de acceso fsico

3.2.1 Cualquier persona que tenga acceso a las instalaciones de Instituto Municipal

del Deporte y la Recreacin de Tulu, deber registrar al momento de su entrada, el

equipo de cmputo, equipo de comunicaciones, medios de almacenamiento y

herramientas que no sean propiedad de la entidad, en el rea de recepcin o

portera, el cual podrn retirar el mismo da. En caso contrario deber tramitar la

autorizacin de salida correspondiente.

3.2.2 Las computadoras personales, las computadoras porttiles, y cualquier activo

de tecnologa de informacin, podr ser retirado de las instalaciones de Instituto

Municipal del Deporte y la Recreacin de Tulu nicamente con la autorizacin de

salida del rea de Inventarios, anexando el comunicado de autorizacin del equipo

debidamente firmado por el Director del el Instituto Municipal del Deporte y la

Recreacin de Tulu.



Cdigo:

CP-CI



Pgina 7 de 58


3.3 Seguridad en reas de trabajo

Los Centros de Cmputo del Instituto Municipal del Deporte y la Recreacin de Tulu

son reas restringidas, por lo que solo el personal autorizado puede acceder a l.

3.4 Proteccin y ubicacin de los equipos

3.4.1 Los usuarios no deben mover o reubicar los equipos de cmputo o de

comunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin

la autorizacin del el Instituto Municipal del Deporte y la Recreacin de Tulu, en

caso de requerir este servicio deber solicitarlo.

3.4.2 El rea de Inventarios de activos ser la encargada de generar el resguardo y

recabar la firma del usuario informtico como responsable de los activos informticos

que se le asignen y de conservarlos en la ubicacin autorizada por el Instituto

Municipal del Deporte y la Recreacin de Tulu.

3.4.3 El equipo de cmputo asignado, deber ser para uso exclusivo de las

funciones de los funcionarios o servidores de Instituto Municipal del Deporte y la

Recreacin de Tulu.

3.4.4 Ser responsabilidad del usuario solicitar la capacitacin necesaria para el

manejo de las herramientas informticas que se utilizan en su equipo, a fin de evitar

riesgos por mal uso y para aprovechar al mximo las mismas.

3.4.5 Es responsabilidad de los usuarios almacenar su informacin nicamente en

la particin del disco duro diferente destinada para archivos de programas y sistemas

operativos, generalmente c:\documentos\.

3.4.6 Mientras se opera el equipo de cmputo, no se debern consumir alimentos o

ingerir lquidos.

3.4.7 Se debe evitar colocar objetos encima del equipo cmputo o tapar las salidas

de ventilacin del monitor o de la CPU.

3.4.8 Se debe mantener el equipo informtico en un lugar limpio y sin humedad.

3.4.9 El usuario debe asegurarse que los cables de conexin no sean pisados al

colocar otros objetos encima o contra ellos en caso de que no se cumpla solicitar un

reubicacin de cables.



Cdigo:

CP-CI



Pgina 8 de 58


3.4.10 Cuando se requiera realizar cambios mltiples de los equipo de cmputo

derivado de reubicacin de lugares fsicos de trabajo o cambios locativos, stos

debern ser notificados con tres das de anticipacin al el Instituto Municipal del

Deporte y la Recreacin de Tulu a travs de un plan detallado.

3.4.11 Queda terminantemente prohibido que el usuario o funcionario distinto al

personal del el Instituto Municipal del Deporte y la Recreacin de Tulu abra o

destape los equipos de cmputo.

3.5 Mantenimiento de equipos

3.5.1 nicamente el personal autorizado por el Instituto Municipal del Deporte y la

Recreacin de Tulu, podr llevar a cabo los servicios y reparaciones al equipo

informtico.

3.5.2 Los usuarios debern asegurarse de respaldar en copias de respaldo o

backups la informacin que consideren relevante cuando el equipo sea enviado a

reparacin y borrar aquella informacin sensible que se encuentre en el equipo,

previendo as la prdida involuntaria de informacin, derivada del proceso de

reparacin.

3.6 Prdida de Equipo

3.6.1 El servidor o funcionario que tengan bajo su responsabilidad o asignados

algn equipo de cmputo, ser responsable de su uso y custodia; en consecuencia,

responder por dicho bien de acuerdo a la normatividad vigente en los casos de

robo, extravo o prdida del mismo.

3.6.2 El prstamo de laptops o porttiles tendr que solicitarse a la Oficina del

Instituto Municipal del Deporte y la Recreacin de Tulu, con el visto bueno del

Director de la Institucin.

3.6.3 El servidor o funcionario debern dar aviso inmediato al Oficina el Instituto

Municipal del Deporte y la Recreacin de Tulu, y a la Administracin de Inventarios

de Activos de la desaparicin, robo o extravo de equipos de cmputo, perifricos o

accesorios bajo su responsabilidad.

3.7 Uso de dispositivos extrables

3.7.1 El Instituto Municipal del Deporte y la Recreacin de Tulu, velar porque



Cdigo:

CP-CI



Pgina 9 de 58


todos los usuarios de los sistemas de Informacin estn registrados en su Base de

Datos para la autorizacin de uso de dispositivos de almacenamiento externo, como

Memorias USB, Discos porttiles, Unidades de Cd y DVD Externos, para el manejo y

traslado de informacin o realizacin de copias de seguridad o Backups.

3.7.2 Cada rea o dependencia debe reportar al Instituto Municipal del Deporte y la

Recreacin de Tulu, el listado de funcionarios a su cargo que manejan estos tipos

de dispositivos, especificando clase, tipo y uso determinado.

3.7.1 El uso de los quemadores externos o grabadores de disco compacto es

exclusivo para Backups o copias de seguridad de software y para respaldos de

informacin que por su volumen as lo justifiquen.

3.7.2 El servidor o funcionario usuario que tengan asignados estos tipos de

dispositivos sern responsable del buen uso de ellos.

3.7.3 Si algn rea o dependencia por requerimientos muy especficos del tipo de

aplicacin o servicios de informacin tengan la necesidad de contar con uno de ellos,

deber ser justificado y autorizado por el Instituto Municipal del Deporte y la

Recreacin de Tulu con el respectivo visto bueno del Director del instituto.

3.7.4 Todo funcionario o servidor de Instituto Municipal del Deporte y la Recreacin

de Tulu deber reportar el uso de las memorias USB asignados para su trabajo y de

carcter personal y responsabilizarse por el buen uso de ellas.

3.8 Dao del equipo

3.8.1 El equipo de cmputo, perifrico o accesorio de tecnologa de informacin que

sufra algn desperfecto, dao por maltrato, descuido o negligencia por parte del

usuario responsable, se le levantara un reporte de incumplimiento de polticas de

seguridad.

4. Administracin de Operaciones en los Centros de Cmputo

Poltica: Los usuarios y funcionarios debern proteger la informacin utilizada

en la infraestructura tecnolgica del Instituto Municipal del Deporte y la Recreacin

de Tulu. De igual forma, debern proteger la informacin reservada o confidencial

que por necesidades institucionales deba ser guardada, almacenada o transmitida,

ya sea dentro de la red interna institucional o redes externas como internet.



Cdigo:

CP-CI



Pgina 10 de 58


4.1.1 Los usuarios y funcionarios del Instituto Municipal del Deporte y la Recreacin

de Tulu que hagan uso de equipos de cmputos, deben conocer y aplicar las

medidas para la prevencin de cdigo malicioso como pueden ser virus, caballos de

Troya o gusanos de red.

4.1.2 El Instituto Municipal del Deporte y la Recreacin de Tulu, establece las

polticas y procedimientos administrativos para regular, controlar y describir el

acceso de visitantes o funcionarios no autorizados a las instalaciones de cmputo

restringidas.

4.1.3 Cuando un funcionario no autorizado o un visitante requieran la necesidad de

ingresar a un equipo de computo, debe solicitar mediante comunicado interno

debidamente firmada y autorizado por el director y para un visitante se debe solicitar

la visita con anticipacin la cual debe traer el visto bueno del director, y donde se

especifique tipo de actividad a realizar, y siempre contar con la presencia de un

funcionario que le corresponda el equipo de computo.

4.1.4 El director del El Instituto Municipal del Deporte y la Recreacin de Tulu

deber llevar un registro escrito de todas las visitas autorizadas a los Equipos de

Cmputo restringidos.

4.1.5 Todo equipo informtico ingresado a los Centros de Cmputo restringidos

deber ser registrado en el libro de visitas.

4.1.6 Cuando se vaya a realizar un mantenimiento en algunos de los equipos del

Centro de Cmputo, se debe dar aviso con anticipacin a los usuarios para evitar

traumatismos.

4.1.7 El director deber solicitar la proteccin para las instalaciones contra

incendios, inundaciones, sistema elctrico de respaldo, UPS.

4.2 Uso de medios de almacenamiento

4.2.1 Los usuarios de Instituto Municipal del Deporte y la Recreacin de Tulu deben

conservar los registros o la informacin que se encuentra activa y aquella que ha

sido clasificada como reservada o confidencial.



Cdigo:

CP-CI



Pgina 11 de 58


4.2.2 Las actividades que realicen los usuarios y funcionarios en la infraestructura

Tecnologa de Informacin y Comunicaciones (TICs) de Instituto Municipal del

Deporte y la Recreacin de Tulu sern registradas y podrn ser objeto de auditora.

4.3 Adquisicin de software.

4.3.1 Los usuarios y funcionarios que requieran la instalacin de software que o sea

propiedad del Instituto Municipal del Deporte y la Recreacin de Tulu, debern

justificar su uso y solicitar su autorizacin por El Instituto Municipal del Deporte y la

Recreacin de Tulu, con el visto bueno del Director, indicando el equipo de cmputo

donde se instalar el software y el perodo de tiempo que ser usado.

4.3.2 Se considera una falta grave el que los usuarios o funcionarios instalen

cualquier tipo de programa (software) en sus computadoras, estaciones de trabajo,

servidores, o cualquier equipo conectado a la red de Instituto Municipal del

Deporte y la Recreacin de Tulu, que no est autorizado.

4.3.3 Instituto Municipal del Deporte y la Recreacin de Tulu, garantiza la

legalidad de los programas adquiridos, debidamente certificndolos con las facturas

de compra de cada uno.

4.3.5 El control de manejo para las licencias y el inventario de los Medios, paquete

de CDs ser responsabilidad de la Instituto Municipal del Deporte y la Recreacin de

Tulu en cabeza del Director, o su delegado, en caso de ausencia.

4.3.6 El Grupo de Apoyo (Tcnicos) del Instituto Municipal del Deporte y la

Recreacin de Tulu tiene la responsabilidad de velar por el buen uso de los

equipos de cmputo y del cumplimiento de las polticas de seguridad. A su vez

debern ofrecer mantenimiento preventivo a las computadoras de la Institucin.

4.3.7 En el proceso de reinstalar un programa el tcnico debe borrar completamente

la versin instalada para luego proceder a instalar la nueva versin que desea, esto

siempre y cuando no sea una actualizacin del mismo.

4.3.8 Deben mantener un inventario de equipos fsicos y de los programas

instalados y pueden borrar o instalar programas o software autorizados y legalmente

licenciados.



Cdigo:

CP-CI



Pgina 12 de 58


Finalmente se procede a actualizar el inventario de licencias de Software. Y se

almacenar en Archivos que puedan ser cerrados con llave.

Todas las reas del Instituto Municipal del Deporte y la Recreacin de Tulu en

coordinacin con la Secretara General, ofrecern capacitaciones al personal

administrativo en el manejo y uso de las Tecnologas de Informtica y Computacin

(TICs), para de esta manera convertir estos en herramientas efectivas de trabajo, y

que apoyen el quehacer en el Interior de la Institucin. La capacitacin de nuestro

personal estimula en gran medida la utilizacin de los programas adquiridos

legalmente, evitando la prctica indebida de utilizar y la proliferacin software no

autorizado (pirata).

4.4 Licenciamiento de Software

4.4.1 Para el Control de Licenciamiento de Software: el Instituto Municipal del

Deporte y la Recreacin de Tulu, adems como poltica de seguridad se tiene

establecido en el Reglamento de Uso de equipos de computo, la prohibicin de

instalar software y programas no autorizados y sin licencia. El Grupo de usuarios,

realiza mensualmente un inventario fsico de los programas y software instalados en

cada uno de los computadores de la Institucin.

4.5 Identificacin del incidente

4.5.1 El usuario o funcionario que detecte o tenga conocimiento de la posible

ocurrencia de un incidente de seguridad informtica deber reportarlo al

Instituto Municipal del Deporte y la Recreacin de Tulu lo antes posible, indicando

claramente los datos por los cuales lo considera un incidente de seguridad

informtica.

4.5.2 Cuando exista la sospecha o el conocimiento de que informacin confidencial

o reservada ha sido revelada, modificada, alterada o borrada sin la autorizacin de

las Directivas Administrativas competentes, el usuario o funcionario deber notificar

al Instituto Municipal del Deporte y la Recreacin de Tulu.

4.5.3 Cualquier incidente generado durante la utilizacin u operacin de los activos

de tecnologa de informacin de Instituto Municipal del Deporte y la Recreacin de

Tulu debe ser reportado a la Oficina de sistemas.



Cdigo:

CP-CI



Pgina 13 de 58


4.6 Administracin de la Red

4.6.1 Los usuarios de las reas de Instituto Municipal del Deporte y la Recreacin

de Tulu no deben establecer redes de rea local, conexiones remotas a redes

internas o externas, intercambio de informacin con otros equipos de cmputo

utilizando el protocolo de transferencia de archivos (FTP), u otro tipo de protocolo

para la transferencia de informacin empleando la infraestructura de red de la

entidad, sin la autorizacin del rea de Computo y del administrador de la contrasea

de la red.

4.7 Seguridad para la red

4.7.1 Ser considerado como un ataque a la seguridad informtica y una falta grave,

cualquier actividad no autorizada por rea de Computo, en la cual los

usuarios o funcionarios realicen la exploracin de los recursos informticos en la red

de del Instituto Municipal de deporte y la Recreacin de Tulu, as como de las

aplicaciones que sobre dicha red operan, con fines de detectar y explotar una posible

vulnerabilidad.

4.8 Uso del Correo electrnico

4.8.1 Los usuarios y funcionarios no deben usar cuentas de correo electrnico

asignadas a otras personas, ni recibir mensajes en cuentas de otros. Si fuera

necesario leer el correo de alguien ms (mientras esta persona se encuentre fuera o

de vacaciones) el usuario ausente debe re-direccionar el correo a otra cuenta de

correo interno, quedando prohibido hacerlo a una direccin de correo electrnico

externa a Instituto Municipal del Deporte y la Recreacin de Tulu, a menos que

cuente con la autorizacin de la rea de Computo.

4.8.2 Los usuarios y funcionarios deben tratar los mensajes de correo electrnico y

archivos adjuntos como informacin de propiedad de Instituto Municipal del Deporte y

la Recreacin de Tulu. Los mensajes de correo electrnico deben ser manejados

como una comunicacin privada y directa entre emisor y receptor.

4.8.3 Los usuarios podrn enviar informacin reservada y/o confidencial va

correo electrnico siempre y cuando vayan de manera encriptado y destinada

exclusivamente a personas autorizadas y en el ejercicio estricto de sus funciones y

responsabilidades.



Cdigo:

CP-CI



Pgina 14 de 58


4.8.4 Queda prohibido falsificar, esconder, suprimir o sustituir la identidad de un

usuario de correo electrnico.

4.8.5 Queda prohibido interceptar, revelar o ayudar a terceros a interceptar o revelar

las comunicaciones electrnicas.

4.9 Controles contra virus o software malicioso

4.9.1 Para revisar si el antivirus se actualiza correctamente, seleccione el icono de

su programa antivirus que se encuentra en la barra de herramientas y presione

actualizar y analizar.

Escogen la opcin Abrir y en el cuadro que se despliega, al lado del smbolo de

pregunta se le da clic a la flechita y luego en la opcin Buscar actualizaciones, el

proceso conectado a Internet realiza la actualizacin en forma automtica.

Puede que este proceso ponga un poco ms lenta a la mquina, pero por ningn

motivo interrumpa la actualizacin. Una vez terminada la actualizacin el programa le

indicar que la base de firmas queda actualizada.

4.9.2 En el caso de un equipo de cmputo sin conexin a Internet se hara el proceso

de manera manual: Para ello nos ubicamos en un computador con conexin a

Internet, y all seleccionamos por fecha actual el archivo y se descarga al disco duro,

luego lo trasladamos a una Memoria USB y se copia en el pc sin conexin a Internet

y se ejecuta.

4.9.3 Para prevenir infecciones por virus informtico, los usuarios de Instituto

Municipal del Deporte y la Recreacin de Tulu no deben hacer uso de software que

no haya sido proporcionado y validado por el rea de Cmputo.

4.9.4 Los usuarios de Instituto Municipal del Deporte y la Recreacin de Tulu

deben verificar que la informacin y los medios de almacenamiento, estn libres de

cualquier tipo de cdigo malicioso, para lo cual deben ejecutar el software antivirus

autorizado por el rea de Cmputo.

4.9.5 Todos los archivos de computadoras que sean proporcionados por personal

externo o interno considerando al menos programas de software, bases de datos,

documentos y hojas de clculo que tengan que ser descomprimidos, el usuario debe

verificar que estn libres de virus utilizando el software antivirus autorizado antes de

ejecutarse.



Cdigo:

CP-CI



Pgina 15 de 58


4.9.6 Ningn usuario, funcionario, empleado o personal externo, podr bajar o

descargar software de sistemas, boletines electrnicos, sistemas de correo

electrnico, de mensajera instantnea y redes de comunicaciones externas, sin la

debida autorizacin del rea de Cmputo.

4.9.7 Cualquier usuario que sospeche de alguna infeccin por virus de computadora,

deber dejar de usar inmediatamente el equipo y notificar al rea de Cmputo para la

revisin y erradicacin del virus.

El icono del antivirus debe permanecer siempre en color verde, si usted observa

dicho icono en otro color, favor avisar inmediatamente a el rea de Computo, para

que se haga la revisin correspondiente.

4.9.8 Los usuarios no debern alterar o eliminar, las configuraciones de seguridad

para detectar y/o prevenir la propagacin de virus que sean implantadas por la el

rea de Cmputo en: Antivirus, Outlook, office, Navegadores u otros programas.

4.9.9 Debido a que algunos virus son extremadamente complejos,

ningn usuario o funcionario de Instituto Municipal del Deporte y la Recreacin de

Tulu, distinto al personal del rea de Cmputo deber intentar erradicarlos de las

computadoras.

4.10 Controles para la Generacin y Restauracin de Copias de Respaldo

4.10.1 Procedimiento de generacin y restauracin de copias de respaldo para

salvaguardar la informacin crtica de los procesos significativos de la entidad. Se

debern considerar como mnimo los siguientes aspectos:

4.10.1.1 Establecer como medida de seguridad informtica la necesidad de

realizar copias de respaldo o backups peridicamente en los equipos de cmputo

administrativos.

4.10.1.2 Cada funcionario es responsable directo de la generacin de los

backups o copias de respaldo, asegurndose de validar la copia. Tambin puede

solicitar asistencia tcnica para la restauracin de un backups.

4.10.1.3 Conocer y manejar la generacin y/o restauracin de copias de

respaldo, registrando el contenido y su prioridad. Rotacin de las copias de respaldo,

debidamente marcadas. Almacenamiento interno o externo de las copias de

respaldo, o verificar si se cuenta con custodia para ello.



Cdigo:

CP-CI



Pgina 16 de 58


Se utilizar el programa asistente de grabacin, para la Copia de Seguridad o

Backup:

Aplicacin PC, Copiar Disco

Opcin Datos: se escoge CD o DVD

Se aaden los archivos o carpetas

Clic en cerrar

Clic en siguiente

Se introduce un CD o DVD en blanco en la unidad quemador de CD o DVD

Colocar nombre al disco (16 caracteres)

Clic en grabar

Marcar el CD o DVD colocndole la fecha de la copia y entregar a su Jefe

inmediato para su almacenamiento y custodia.

4.10.1.4 Las copias de seguridad o Back ups se deben realizar al menos una vez al

mes y el ltimo da hbil del mes. Un funcionario del rea de cmputo, revisar una

vez por mes el cumplimiento de este procedimiento y registrar en el formato de

Copias de Seguridad.

4.11 Planes de Contingencia ante Desastre

Definicin: Se entiende por PLAN DE CONTINGENCIA los procedimientos

alternativos a la operacin normal en una organizacin, cuyo objetivo principal es

permitir el continuo funcionamiento y desarrollo normal de sus operaciones,

preparndose para superar cualquier eventualidad ante accidentes de origen interno

o externo, que ocasionen prdidas importantes de informacin. Estos deben

prepararse de cara a futuros sucesos. (Ver manual de contingencias)

4.11.1 Con el fin de asegurar, recuperar o restablecer la disponibilidad de las

aplicaciones que soportan los procesos de misin crtica y las operaciones

informticas que soportan los servicios crticos de la Institucin, ante el evento de un

incidente o catstrofe parcial y/o total.

4.11.2 El rea de Cmputo debe tener en existencia la documentacin de roles

detallados y tareas para cada una de las personas involucradas en la ejecucin del

plan de recuperacin ante desastre.



Cdigo:

CP-CI



Pgina 17 de 58


Manual de Roles:

El rea de computo de Instituto Municipal del Deporte y la Recreacin de Tulu tiene

como principal responsabilidad la administracin y coordinacin del proceso de

Seguridad Informtica del a institucin.

Tiene como responsabilidad asegurar el buen funcionamiento del proceso de

seguridad Informtica de la institucin.

Debe ser el punto de referencia para todos los procesos de seguridad y ser capaz de

guiar y aconsejar a los usuarios de la institucin sobre cmo desarrollar

procedimientos para la proteccin de los recursos.

Una tarea clave, es guiar al cuerpo directivo y a la administracin de la institucin

ante incidentes de seguridad mediante un Plan de Respuesta a Incidentes, con el fin

de atender rpidamente este tipo de eventualidades.

Es responsable de proponer y coordinar la realizacin de un anlisis de riesgos

formal en seguridad de la informacin que abarque toda la institucin.

Es deber del Instituto Municipal del Deporte y la Recreacin de Tulu, el desarrollo

de procedimientos de seguridad detallados que fortalezcan la poltica de seguridad

informtica institucional.

Es responsabilidad del Instituto Municipal del Deporte y la Recreacin de Tulu,

promover la creacin y actualizacin de las polticas de seguridad informtica, debido

al comportamiento cambiante de la tecnologa que trae consigo nuevos riesgos y

amenazas.

Es responsabilidad del Gestor de Seguridad el desarrollo de un Plan de Seguridad de

la Informacin.

Las personas encargadas deben atender y responder inmediatamente las

notificaciones de sospecha de un incidente de seguridad o de incidentes reales.

Es responsabilidad del director del Instituto Municipal del Deporte y la Recreacin de

Tulu, coordinar la realizacin peridica de auditoras a las prcticas de seguridad

informtica.



Cdigo:

CP-CI



Pgina 18 de 58


Es responsable de mantenerse al da de las actualizaciones y nuevas

vulnerabilidades encontradas en el software del Instituto Municipal del deporte y la

Recreacin de tulu.

4.11.3 Disponibilidad de plataformas computacionales, comunicaciones e

informacin, necesarias para soportar las operaciones definidas como de misin

crtica de negocio en los tiempos esperados y acordados.

Plan de respuesta a Incidentes

Es de vital importancia para Instituto Municipal del Deporte y la Recreacin de Tulu

definir los procedimientos y planes de accin para el caso de una posible falla,

siniestro o desastre que afecten la infraestructura tecnolgica del Instituto Municipal

del deporte y la Recreacin de tulu, sus instalaciones e incluso el personal que

labora en la organizacin.

Cuando ocurra una contingencia, bien sea porque se halla materializado un riesgo,

es esencial que se conozca al detalle el motivo que la origin y el dao producido, lo

que permitir recuperar y poner en marcha, en el menor tiempo posible el proceso

perdido.

Los procedimientos debern ser de ejecucin obligatoria y bajo la responsabilidad de

los encargados de la realizacin de los mismos, debiendo haber procesos de

verificacin de su cumplimiento. Estos procedimientos estarn a cargo del Instituto

Municipal del Deporte y la Recreacin de Tulu

Este plan de respuesta a incidentes define las pautas de lo que se debe de realizar

en caso de incidente de seguridad en algunas de las oficinas del Instituto Municipal

del Deporte y la Recreacin de Tulu, las fases de respuesta a incidentes en un

momento dado.

Este documento muestra como minimizar los daos, evaluar el incidente, que hacer

cuando se presente un incidente y como responder a ello.

Propsito

Este documento se implementa con el objetivo de que hacer al momento de

presentarse en el Instituto Municipal del Deporte y la Recreacin de Tulu, en la

oficina actual o algunas de las futuras oficinas.



Cdigo:

CP-CI



Pgina 19 de 58


Objetivos de la Respuesta a Incidentes

Asegurarse de que el incidente si se ha producido en la entidad.

Mitigar el impacto del incidente.

Prevenir futuros ataques o incidentes.

Mejorar la seguridad y respuesta a incidentes del Instituto Municipal del

deporte y la Recreacin de tulu

Mantenerse informado de la gestin de la situacin y la respuesta a la entidad.

Definicin del Incidente de Seguridad

Un problema en el Instituto Municipal del Deporte y la Recreacin de Tulu, puede

causar ciertos tipos de incidentes de seguridad informtica tales como:

1. Perdida de informacin confidencial del Instituto Municipal del Deporte y la

Recreacin de Tulu, afectando la confidencialidad, integridad y disponibilidad de la

misma.

2. Si la informacin del Instituto Municipal del Deporte y la Recreacin de Tulu no

cuenta con aplicaciones, software o servicios de seguridad nuestra informacin

podra ser modificada por alguien no autorizado de la entidad.

3. Robo de activos fsicos informticos tales como computadoras, dispositivos de

almacenamiento, impresoras, y dems equipo informtico propio del instituto.

4. Daos a los activos fsicos informticos incluyendo computadoras, dispositivos de

almacenamiento, impresoras, y dems equipo informtico propio del instituto.

5. Denegacin de servicios dentro del mismo instituto.

6. Uso indebido de los servicios, informacin o activos del instituto por parte de los

empleados de l.

7. Infeccin de los sistemas por software no autorizado.

8. Intento de acceso no autorizado a los Sistema de informacin del Instituto

Municipal del Deporte y la Recreacin de Tulu.

9. Cambios no autorizados a la organizacin de hardware, software, o la

configuracin de los mismos.

10. Respuesta a las alarmas de deteccin de intrusos.



Cdigo:

CP-CI



Pgina 20 de 58


Planificacin de Incidentes de seguridad informtica

En caso de tener uno o varios incidentes de seguridad informtica en el Instituto

Municipal del Deporte y la Recreacin de Tulu, algunas de sus oficinas con equipo

informtico de cualquier categora, se llevara a cabo las siguientes actividades

1. Definir y aclarar las listas de respuestas a incidentes y sus responsabilidades.

2. Establecer los procedimientos detallados de las medidas a tomar durante el

incidente de seguridad informtica.

a. Detallar las acciones basadas en el tipo de incidente tales como virus, intrusiones

de hackers, robo de datos, sistema de destruccin.

b. Evaluar los procedimientos adecuados para identificar los aspectos crticos que

han ocurrido en la entidad.

c. Examinar si el incidente est en curso o se ha presentado de una manera rpida y

critica.

d. Si es posible recuperar informacin importante de la entidad que haya sido

perjudicada por cualquier tipo de incidente de seguridad informtica

Ciclo de Vida a la Respuesta a Incidentes

Preparacin para incidentes

1. Polticas y Procedimientos

a. establecer las polticas de Seguridad.

b. Seguir los procedimientos de Respuesta a Incidentes.

c. Seguir los procedimientos de Recuperacin y Backup.

2. Implementar polticas con herramientas de seguridad que incluyen firewalls,

sistemas de deteccin de intrusos, adems de otros elementos necesarios para la

seguridad informtica.

3. Colocar avisos de advertencia contra el uso no autorizado en los puntos de acceso

del sistema.

4. Establecer directrices de respuesta considerando y discutiendo posibles

escenarios.



Cdigo:

CP-CI



Pgina 21 de 58


5. Capacitacin de los usuarios sobre la seguridad y entrenar a personal del Instituto

Municipal del Deporte y la Recreacin de Tulu, el manejo de situaciones de

seguridad y el reconocimiento de intrusiones e incidentes de seguridad informtica.

Descubrimiento del incidente de seguridad informtica

Es el momento en el que algn empleado del Instituto Municipal del Deporte y la

Recreacin de Tulu descubre que se ha presentado un incidente de seguridad

informtico con algn bien informtico. Dicho incidente de seguridad informtico

normalmente para este tipo de instituto podra venir de algunas de las siguientes

fuentes que la detecten y lo informen:

1. De cada rea o usuario respectivamente.

2. Un administrador de red de la entidad

3. Personal administrativo de la entidad

4. El rea de Cmputo o una persona de seguridad.

Notificacin del incidente de Seguridad Informtica

En caso de que ocurra algn incidente de seguridad informtica en algunas de las

reas del Instituto Municipal del Deporte y la Recreacin de Tulu se deber informar

a un superior o persona encargada en el rea acerca del mismo para que este

realice la previa notificacin al encargado general de rea de computo que toma las

decisiones con respecto a ello.

Anlisis y Evaluacin del incidente de seguridad.

Son muchos los factores que determinaran la respuesta adecuada, lo cual incluye:

1. Real: Seguir los procedimientos respectivos para eliminar el incidente.

Percibido: verificar y analizar si es real para tomar medidas contra l.

2. Buscar medidas mientras se encuentra la solucin para detenerla intrusin.

3. En el Instituto Municipal del Deporte y la Recreacin de Tulu se vern afectados

equipos de cmputo en los datos como la base de datos ya que se puede afectar la

informacin de la entidad y seria critico para ella.



Cdigo:

CP-CI



Pgina 22 de 58


4. Aunque el Instituto Municipal del Deporte y la Recreacin de Tulu cuenta con

informacin importante, el impacto del incidente de seguridad informtica depender

del atacante, debido a que as como puede ser grave para el instituto, tambin puede

no ser tan crtico.

5. Los atacantes se enfocaran en atacar la parte del instituto donde mayor

informacin importante hay, as afectando a la entidad en las reas.

Estrategia de respuesta

1. La respuesta a un caso de intrusin debe ser rpida o por lo menos ver la forma

de que brinde el tiempo para mitigar el incidente de seguridad informtica.

2. Si el incidente de seguridad informtica lo detecta alguno de los sistemas, una

alerta de seguridad que nos avisara, la cual ser enviada al correo electrnico del

encargado del rea de cmputo.

3. Si se genera alguna alerta se debe considerar el anlisis del atacante y si merece

o no y merece una prevencin.

Contencin del incidente de seguridad informtica

Adoptar medidas para prevenir nueva intrusin o dao y eliminar la causa del

problema. Puede necesitar:

1. Desconectar el sistema al cual se le fue detectada la intrusin

2. Cambiar las contraseas o generar polticas para que la contrasea sea de

carcter fuerte.

3. Bloquear algunos puertos o cambiarlos y bloquear algunas conexiones.

Prevencin de la re-infeccin

Se debe determinar la forma en que ocurri la intrusin. Determinar la fuente de la

intrusin: es decir, si se realizo va email, ataque a travs de un puerto, un ataque a

travs de algunos de los servicios, o si es debido al ataque por falta de actualizacin

de los sistemas o aplicaciones antivirus maliciosos.

Se deben tomar medidas inmediatas para evitar una nueva infeccin:

1. Cerrar los puertos de los servidores que no se est utilizando.



Cdigo:

CP-CI



Pgina 23 de 58


2. Revisar el sistema que fue afectado para poder tomar medidas frente la intrusin.

3. Volver a instalar el sistema, utilizar las copias de respaldo y asegurarnos que las

copias se hayan realizado antes de la intrusin.

4. Informacin a los empleados y usuarios del Instituto Municipal del deporte y la

Recreacin de tulu.

5. Desactivar los servicios sin utilizar en el sistema afectado del Instituto Municipal

del deporte y la Recreacin de tulu.

Restaurar los sistemas afectados

Para restaurar los sistemas afectados hay que conservar las pruebas en contra de la

intrusin, asegurarse de tener los respaldos del sistema y que sean del sistema

afectado. Puede incluir lo siguiente:

Volver a instalar el sistema afectado (s) a partir de cero y la restauracin de datos

de copias de seguridad si es necesario. Asegurarse de conservar las pruebas en

contra de la intrusin de copias de seguridad de los registros o, posiblemente,

todo el sistema.

Los usuarios deben cambiar las contraseas, si las contraseas han sido

interceptadas e informales que deben ser fuertes y no divulgarlas.

Asegurarse de que el sistema est completamente actualizado con su software

correspondiente.

Asegurarse de que la proteccin antivirus en tiempo real y deteccin de intrusos

se est ejecutando.

Documentacin del incidente de Seguridad Informtica

Se debe elaborar un documento sobre lo que se descubri del incidente de seguridad

informtica, incluyendo la forma en que se produjo la intrusin, cuando se produjo el

ataque y si hay respuesta y si es efectiva.

Preservacin de pruebas

Se deben hacer copias de los registros de intrusin y mantener las listas de testigos

del incidente de seguridad.



Cdigo:

CP-CI



Pgina 24 de 58


Evaluar los daos y el costo

Evaluar si los daos a la entidad y estimacin de costos.

Revisin y actualizacin de polticas de respuesta

Considerar si implementar una poltica podra haber evitado la intrusin al

sistema.

Considerar si una poltica o procedimiento no se sigui, lo que permitir la

intrusin y mejorarla.

Estudiar si la respuesta al incidente fue la apropiada o no y ver cmo podemos

mejorarla

Informar a las partes interesadas.

Revisar que todos sistemas estn actualizados y protegidos, que se estn

cumpliendo las polticas para el cambio de contraseas y que los antivirus estn

actualizados.

Se debern crear polticas de seguridad cada vez que el administrador lo crea

necesario para evitar una intrusin al sistema.

Dao de Activos

Se informara al rea de cmputo para la revisin del activo para determinar la

gravedad del dao. En caso que el dao sea grave se debe contactar a la persona

encargada de manejar los proveedores para iniciar la reposicin del activo. En caso

que no sea grave se proceder a repararlo en el menor tiempo para restablecer el

servicio. Finalmente la persona del departamento encargado del activo deber

establecer las configuraciones para que el activo quede en su funcionamiento

normal.

Cambios no autorizados a la organizacin de hardware, software, o la

configuracin de los Sistemas

En caso de cambio del hardware se debe identificar por cual fue cambiado y los

riesgo que puede generar dicho cambio, despus de verificar esto se debe enviar un

informe al rea encargada con todas las especificaciones del hardware por el cual

fue reemplazado y una restauracin del mismo. En caso de cambio del software

identificar software instalado y su propsito, realizar un informe con el tipo de

software y su funcionamiento y enviarlo al departamento encargado de sistemas.



Cdigo:

CP-CI



Pgina 25 de 58


De ser necesario se retirara el software instalado. En caso de que el software sea

desinstalado se notificara al rea de computo y solicitar la reinstalacin del software.

En cuanto la configuracin se debe identificar los cambios de configuracin, verificar

los efectos de esos cambios en el sistema; en el caso de encontrar anomalas en el

sistema se enviara un informe al rea encargada el cual asumir la restauracin de

las configuraciones.

4.11.4 Tener en existencia equipos informticos de respaldo o evidencia de los

proveedores, de la disponibilidad de equipos y tiempos necesarios para su

instalacin, en prstamo, arriendo o sustitucin.

4.11.5 Existencia de documentacin de los procedimientos manuales a seguir por las

distintas reas usuarias durante el periodo de la contingencia y entrenamiento a los

usuarios en estos procedimientos.

Manual de Procedimientos

Poltica de Seguridad: Todo el personal nuevo del Instituto Municipal del deporte y la Recreacin de tulu, sea contratado por contrato de nombramiento o contratista, deber ser notificado al Director del instituto, encargado de asignarle los derechos correspondientes (Equipo de Cmputo, Creacin de Usuario para la Red), o en caso de retiro de algn empleado, anular y cancelar los derechos otorgados como usuario informtico.

Responsable: Director del instituto y el encargado de recursos humanos del Instituto

Municipal del deporte y la Recreacin de tulu

Procedimiento 1: Alta o baja de un empleado del Instituto Municipal del deporte y la

Recreacin de tulu

Actividad 1: Se presenta la vacante dentro del Instituto Municipal del deporte y la

Recreacin de tulu.

Actividad 2: Se solicita al jefe de personal del Instituto Municipal del deporte y la

Recreacin de tulu o al Director; la bsqueda del nuevo empleado

para que se haga cargo de la vacante que ha quedado.

Actividad 3: El jefe de personal del Instituto Municipal del deporte y la Recreacin

de tulu realiza la publicacin necesaria para la llegada de las

propuestas o licitaciones para la vacante.

Actividad 4:

La convocatoria se realiza y todas las propuestas analizadas de

manera que se midan su rendimiento para las funciones que se

requieren en el instituto y de esta manera se pueda evaluar si darn

buen desempeo dentro de la misma.



Cdigo:

CP-CI



Pgina 26 de 58


Actividad 5: Una vez realizados los estudios previos, es el mismo jefe de personal

la persona encargada de seleccionar el aspirante ganador.

Actividad 6:

Una vez aceptada debe ser registrada dentro del Instituto Municipal

del deporte y la Recreacin de tulu con sus funciones, obligaciones

y privilegios dentro de las instalaciones fsicas del Instituto Municipal

del deporte y la Recreacin de tulu y los sistemas lgicos de los

mismos.

Actividad 7: En caso de ser la baja de un empleado este deber cumplir con un

contrato de confidencialidad por la informacin que consigo se lleva.

Actividad 8:

Una vez hecho esto, se procede a quitar los privilegios y derechos de

la persona dentro de la organizacin por lo que la baja del empleado

se realiza en todas las reas de Instituto Municipal del deporte y la

Recreacin de tulu y todos los sistemas de informacin que all se

manejan.

Poltica de Seguridad: El empleado de Instituto Municipal del deporte y la Recreacin de tulu deber reportar de forma inmediata al director de seguridad cuando se detecte riesgo alguno real o potencial sobre equipos de cmputo o de comunicaciones, tales como cadas de agua, choques elctricos, cadas o golpes o peligro de incendio.

Responsable: Empleado de Instituto Municipal del deporte y la Recreacin de tulu

Procedimiento 2: Informar acerca de riesgo potencial sobre los bienes del Instituto

Municipal del deporte y la Recreacin de tulu

Actividad 1: El empleado detecta que existe un posible riesgo que se puede llegar

a materializar provocando vulnerabilidades de seguridad en la

empresa con posibles daos a los activos informticos de la misma.

Actividad 2:

El empleado toma nota acerca del incidente o riesgos, teniendo en

cuenta factores como fuente de aviso (por intuiciones, por antivirus),

hora e impacto y de esta manera puede acercarse a realizar el previo

aviso del incidente.

Actividad 3: El empleado solicita reunin con el rea de computo y el encargado

de seguridad informtica de Instituto Municipal del deporte y la

Recreacin de tulu

Actividad 4: Una vez el directo de seguridad es avisado del riesgo potencia, toma

responsabilidad por el posible incidente y junto con su equipo se

hace cargo de la situacin.



Cdigo:

CP-CI



Pgina 27 de 58


Actividad 5: El equipo de seguridad informtica toma las medidas respectivas

para erradicar el riesgo y de esta manera consiguen eliminar o

minimizar el riesgo potencial a presentarse.

Actividad 6: El bien informtico involucrado en el riesgo potencia es evaluado y de

esta forma se realizan las actividades necesarias para que no se

vuelva a presentar un peligro sobre este mismo bien.

Actividad 7: Se debe restablecer la normalidad de las labores con el bien

informtico involucrado.

Actividad 8: El empleado que da aviso acerca del incidente es asesorado acerca

de las posibles acciones que puede tomar en caso de volverse a

presentar otro incidente de seguridad como tal.

Poltica de Seguridad: Cualquier persona que tenga acceso a las instalaciones de

Instituto Municipal del deporte y la Recreacin de tulu, deber registrar al momento

de su entrada, el equipo de cmputo que usara, equipo de comunicaciones, medios

de almacenamiento y herramientas que no sean propiedad del Instituto Municipal del

deporte y la Recreacin de tulu, con la secretaria, con quien podrn retirar el mismo

da. En caso contrario deber tramitar la autorizacin de salida correspondiente.

Responsable: Empleado encargado de la recepcin en la empresa. la secretaria.

Procedimiento 3: Registrar el ingreso de personas autorizadas por la direccin del

Instituto Municipal del deporte y la Recreacin de tulu, as como equipo de cmputo

ajeno a la organizacin.

Actividad 1:

La persona interesada en ingresar a las instalaciones de Instituto

Municipal del deporte y la Recreacin de tulu realiza el previo aviso

de su entrada al instituto, de esta manera se somete a estudio su

aprobacin y se informa de las normas una vez se encuentre dentro

del Instituto Municipal del deporte y la Recreacin de tulu.

Actividad 2: El director del Instituto Municipal del deporte y la Recreacin de tulu

es informado de la solicitud de entrada en trmite, de esta manera

este la evala, y autoriza o desautoriza la entrada de dicha persona.

Actividad 3: El director analiza los posibles equipos de cmputo a ingresar por la

persona.

Actividad 4: La persona interesada en el ingreso al instituto se presente en la

organizacin y es buscado en una lista de ingresos del da

autorizados a la empresa.



Cdigo:

CP-CI



Pgina 28 de 58


Actividad 5:

La secretaria realiza el ingreso de la persona y en caso de que esta

persona traiga equipo informtico no autorizado este debe ser

entregado a la misma para ser almacenado en un sitio donde

permanecer.

Actividad 6:

En caso de que el visitante solicite el uso de alguno de los equipos

de computo del Instituto Municipal del deporte y la Recreacin de

tulu, la secretaria realiza la previa asignacin de dicho equipo e

informa al visitante acerca de las restricciones tales como uso de

memorias, abrir el equipo, etc.

Actividad 7: El visitante realiza sus actividades y reuniones con las personas que

pretende reunirse y termina su visita

Actividad 8: En caso de tener equipo informtico guardado dicha persona debe

realizar la solicitud para retiro del mismo.

Actividad 9: La persona se retira del Instituto Municipal del deporte y la

Recreacin de tulu y se realiza el evalo de las actividades que

realizo estando dentro de la misma.

Poltica de Seguridad: Es responsabilidad de los usuarios almacenar su

informacin nicamente en la particin del disco duro diferente destinada para

archivos de programas y sistemas operativos, para el caso Instituto Municipal del

deporte y la Recreacin de tulu maneja la unidad D:\ como resguardo.


Procedimiento 4: Almacenar la informacin importante en la particin del disco

designada por Instituto Municipal del deporte y la Recreacin de tulu para

almacenamiento de la informacin relevante

Actividad 1: El empleado del Instituto Municipal del deporte y la Recreacin de

tulu realiza sus labores diarias como documentos, cartas, pagos,

transacciones, etc.

Actividad 2: En el momento en el que el empleado desee realizar el resguardo de

la informacin que est trabajando debe dirigirse a la particin

designada para esta informacin.

Actividad 3: Normalmente la empresa para ellos denomina a la particin D:\, para

que as el empleado tenga la facilidad de guardar la informacin.

Actividad 4: El empleado realiza en resguardo de la informacin en la particin

designada y esta es compartida de manera inmediata con los altos

cargos que necesiten dicha informacin.



Cdigo:

CP-CI



Pgina 29 de 58


Actividad 5: Una vez almacenada la informacin en el resguardo el empleado no

debe almacenar la informacin en otra particin.

Actividad 6: El empleado se asegura de no dejar la informacin a merced de un

posible atacante o interesado en la informacin mismo que est

manejando.

Poltica de Seguridad: Cuando se requiera realizar cambios mltiples de los

equipo de cmputo derivado de reubicacin de lugares fsicos de trabajo o cambios

locativos, stos debern ser notificados con anticipacin al rea de computo del

Instituto Municipal del deporte y la Recreacin de tulu.

Responsable: rea de Computo del Instituto Municipal del deporte y la Recreacin

de tulu.

Procedimiento 5: Realizar movilizacin de equipo informtico fsico de una oficina

a otra.

Actividad 1: El empleado detecta la falencia en la ubicacin de cierto equipo

informtico lo que le impide realizar de manera correcta o ms

eficiente sus labores diarias.

Actividad 2:

El empleado realiza la solicitud con la oficina de seguridad

informtica del Instituto Municipal del deporte y la Recreacin de

tulu con el fin de realizar el traslado de un equipo de cmputo bien

sea a su conveniencia, o por necesidad de reubicacin para un

mejor desempeo.

Actividad 3: El rea de Computo del Instituto Municipal del deporte y la

Recreacin de tulu se hace cargo de la situacin y analiza la

solicitud evaluando el posible traslado del material de cmputo.

Actividad 4: Una vez el rea de Computo del Instituto Municipal del deporte y la

Recreacin de tulu decide aprobar el traslado, este documento es

entregado al empleado.

Actividad 5:

El empleado se dirige a el rea de Computo con el fin de que se le

designe un personal con conocimientos para el traslado de los

equipos debido a que este puede no tener el conocimientos

necesario para realizarlo, y en caso de tenerlo, esta no es su labor

dentro de la organizacin.

Actividad 6: El personal encargado del traslado del equipo moviliza los equipos

de tal manera que el empleado responsable de dicho equipo no

interviene en la movilizacin.



Cdigo:

CP-CI



Pgina 30 de 58


Actividad 7: Una vez instalado, se verifica el normal funcionamiento del equipo

informtico y el empleado llena una forma en la cual se informa de la

reinstalacin exitosa del equipo.

Actividad 8: El empleado vuelve a sus labores matutinas.

Poltica de Seguridad: Los empleados debern asegurarse de respaldar en copias

de respaldo o backups la informacin que consideren relevante cuando el equipo

sea enviado a reparacin y borrar aquella informacin sensible que se encuentre en

el equipo, previendo as la prdida involuntaria de informacin, derivada del proceso

de reparacin.


Procedimiento 6: Realizar el mantenimiento de los equipos de cmputos

responsabilidad de los empleados.

Actividad 1: El empleado es informado del mantenimiento del equipo por lo que

debe proceder a salvar la informacin relevante que tenga en dicha

computadora.

Actividad 2: El personal de mantenimiento realiza un informe de los equipos a

realizar el mantenimiento y all informan el almacn donde debern

salvar toda esta informacin relevante de cada equipo.

Actividad 3: Una vez salvada la informacin los equipos son llevados a oficina de

nuevas tecnologas donde son previstos para el mantenimiento.

Actividad 4: El personal previsto para el mantenimiento, realiza el mantenimiento

preventivo de los equipos y una vez terminado, procede a la entrega

de los equipos a cada responsable.

Actividad 5: Una vez reubicado nuevamente el equipo en su sitio

correspondiente el empleado salva la informacin que tena en dicho

equipo.

Actividad 6: Salvada la informacin de cada equipo se restablece el normal

funcionamiento de los equipos.

Actividad 7: Se pasa informe de los equipos que entraron en mantenimiento por

alguna anormalidad en los prximos das.



Cdigo:

CP-CI



Pgina 31 de 58


Poltica de Seguridad: El empleado deber dar aviso inmediato al director del

Instituto Municipal del deporte y la Recreacin de tulu, y a la oficina que realice el

manejo de inventario la perdida, robo o extravo de equipos de cmputo, perifricos

o accesorios bajo su responsabilidad.


Procedimiento 7: Informar acerca perdida, robo o extravo de equipo de computo

Actividad 1: El empleado detecta la prdida de un equipo de cmputo asignado a

su responsabilidad.

Actividad 2: El empleado informa al director, acerca del suceso para que este

realice el comienzo de la investigacin.

Actividad 3:

Se realiza un estudio de la situacin, y un anlisis de posibles

traslados de equipos, mantenimiento y dems para ubicar el equipo

informtico extraviado.

Actividad 4: Se realiza evaluacin de la raz del extravo de equipo, que puede

ser perdida o robo.

Actividad 5: En caso de presentarse una prdida de equipo se hace responsable

la persona encargada de vigilar dicho equipo informtico.

Actividad 6: En caso de robo tambin se responsabilizara del robo a la persona

encargada del equipo, en cuyo caso se inicia una investigacin con

todo el personal cercano a dicha rea.

Actividad 7: Se notifica a autoridades de seguridad pblica en caso de que el

robo o prdida sea de un equipo de alto coste o alta importancia

para el instituto.

Actividad 8: Se contina con el normal funcionamiento hasta que se encuentra el

culpable y se levan a cabo las sanciones correspondientes.



Cdigo:

CP-CI



Pgina 32 de 58


Poltica de Seguridad: Instituto Municipal del deporte y la Recreacin de tulu

velar porque todos los usuarios de los sistemas de Informacin estn registrados

en su Base de Datos para la autorizacin de uso de dispositivos de almacenamiento

externo Memorias USB, Discos porttiles, Unidades de Cd y DVD Externos, para el

manejo y traslado de informacin o realizacin de copias de seguridad o Backups.

No est permitido realizarse sin autorizacin.


Procedimiento 8: Solicitar el uso de medio de almacenamiento alternativo para

traslado de informacin.

Actividad 1:

En caso de un dao en un equipo en un momento de altas

transacciones de informacin el empleado debe solicitar

autorizacin para uso de medio de almacenamientos alternos para

movilizar informacin.

Actividad 2: El director del Instituto Municipal del deporte y la Recreacin de

tulu analiza la situacin y por ello autoriza el uso de USB, cds, etc.

Actividad 3: El empleado procede a movilizar la informacin.

Actividad 4: Esta informacin es salvada en otro equipo y la informacin

permaneciente en el medio extrable.

Actividad 5: El empleado realiza las transacciones con la informacin salvada y

de esta manera, continua con sus labores.

Actividad 6:

Una vez recuperado el equipo de cmputo con fallo, ser el mismo

equipo de mantenimiento del Instituto Municipal del deporte y la

Recreacin de tulu quien esta vez devuelva toda la informacin al

equipo.

Poltica de Seguridad: El empleado que requiera la instalacin o actualizacin de software que sea propiedad de Instituto Municipal del deporte y la Recreacin de tulu, debern justificar su uso y solicitar su autorizacin por el director del Instituto Municipal del deporte y la Recreacin de tulu con el visto bueno de inmediato, indicando el equipo de cmputo donde se instalar el software y el perodo de tiempo que ser usado.


Procedimiento 9: Utilizacin de software licenciado por la empresa.

Actividad 1:

Cuando un empleado considera la necesidad de la utilizacin de

dicho software informa al director de seguridad del Instituto

Municipal del deporte y la Recreacin de tulu dicho acontecimiento.



Cdigo:

CP-CI



Pgina 33 de 58


Actividad 2: El director del Instituto Municipal del deporte y la Recreacin de

tulu aprueba la instalacin de dicho software para este empleado.

Actividad 3:

El empleado debe indicar por medio de una carta el equipo al cual

desea se le instalen los programas, as como la lista de programas

que desea le sean instalados para poder agilizar sus labores.

Actividad 4:

El rea de Computo del Instituto Municipal del deporte y la

Recreacin de tulu, ser el encargado de realizar la instalacin de

estos programas y verificar el exitoso funcionamiento de cada uno

de ellos en los equipos de cmputo.

Actividad 5:

El empleado llena una forma en la que comprueba la exitosa

instalacin de los programas y el normal funcionamiento de cada

uno de ellos.

4.11.6 Existencia de documentacin de los procedimientos detallados para restaurar

equipos, aplicativos, sistemas operativos, bases de datos, archivos de informacin,

entre otros.

4.11.7 Existencia de documentacin de pruebas peridicas de la implementacin del

plan de recuperacin ante desastre para verificar tiempos de respuesta, capitalizando

los resultados de la pruebas para el afinamiento del plan.

4.11.8 Actualizacin peridica del plan de recuperacin ante desastre de acuerdo con

los cambios en plataformas tecnolgicas (hardware, software y comunicaciones),

para reflejar permanentemente la realidad operativa y tecnolgica de la compaa.

4.11.9 Disponibilidad de copias de respaldo para restablecer las operaciones en las

reas de misin crtica definidas.

4.12 Internet

4.12.1 El acceso a Internet provisto a los usuarios y funcionarios del Instituto

Municipal del Deporte y la Recreacin de Tulu es exclusivamente para las

actividades relacionadas con las necesidades del cargo y funciones desempeadas.

4.12.2 Todos los accesos a Internet tienen que ser realizados a travs de los canales

de acceso provistos por Instituto Municipal del Deporte y la Recreacin de Tulu, en

caso de necesitar una conexin a Internet alterna o especial, sta debe ser notificada

y aprobada por el rea de Cmputo.



Cdigo:

CP-CI



Pgina 34 de 58


4.12.3 Los usuarios de Internet del Instituto Municipal del Deporte y la Recreacin de

Tulu tienen que reportar todos los incidentes de seguridad informtica a el rea de

Cmputo inmediatamente despus de su identificacin, indicando claramente que se

trata de un incidente de seguridad informtica.

4.12.4 Los usuarios del servicio de navegacin en Internet, al aceptar el servicio

estn aceptando que:

Sern sujetos de monitoreo de las actividades que realiza en Internet, saben que

existe la prohibicin al acceso de pginas no autorizadas, saben que existe la

prohibicin de transmisin de archivos reservados o confidenciales no autorizados.

Saben que existe la prohibicin de descarga de software sin la autorizacin del rea

de cmputo.

La utilizacin de Internet es para el desempeo de sus funciones y cargo en el

Instituto Municipal del Deporte y la Recreacin de Tulu y no para propsitos

personales.

5. Acceso Lgico

Poltica: Cada usuario y funcionario son responsables de los mecanismos de control

de acceso que les sean proporcionado; esto es, de su Cuenta de usuario

Administrador y contrasea necesarios para acceder al equipo de computo y a la

infraestructura tecnolgica del Instituto Municipal del Deporte y la Recreacin de

Tulu, por lo que se deber mantener de forma confidencial. Solo el encargado de

rea de computo las debe saber.

El permiso de acceso a la informacin que se encuentra en la infraestructura

tecnolgica del Instituto Municipal del Deporte y la Recreacin de Tulu debe ser

proporcionado por el dueo de la informacin, con base en el principio de Derechos

de Autor el cual establece que nicamente se debern otorgar los permisos mnimos

necesarios para el desempeo de sus funciones.

5.1 Controles de acceso lgico

5.1.1 Todos los usuarios de servicios de informacin son responsables por el de

usuario y contrasea que recibe para el uso y acceso de los recursos.



Cdigo:

CP-CI



Pgina 35 de 58


5.1.2 Todos los usuarios debern autenticarse por los mecanismos de control de

acceso provistos por el rea de Cmputo antes de poder usar la infraestructura

tecnolgica de la Instituto Municipal del Deporte y la Recreacin de Tulu.

5.1.3 Los usuarios no deben proporcionar informacin a personal externo, de los

mecanismos de control de acceso a las instalaciones e infraestructura tecnolgica de

Instituto Municipal del Deporte y la Recreacin de Tulu, a menos que se tenga el

visto bueno del dueo de la informacin y de el rea de Cmputo y la autorizacin

del Secretario General o de su Jefe inmediato.

5.1.4 Cada usuario que acceda a la infraestructura tecnolgica de Instituto Municipal

del Deporte y la Recreacin de Tulu debe contar con un identificador de usuario (ID)

nico y personalizado. Por lo cual no est permitido el uso de un mismo ID por varios

usuarios.

5.1.5 Los usuarios y funcionarios son responsables de todas las actividades

realizadas con su usuario (ID). Los usuarios no deben divulgar ni permitir que otros

utilicen sus identificadores de usuario, al igual que tiene prohibido utilizar el ID de

otros usuarios.

MANUAL DE ACCESO LGICO

POLTICA: Cada usuario se responsabilizar por el mecanismo de acceso lgico

asignado, esto es su identificador de usuario y contrasea necesarios para acceder a

la informacin e infraestructura de Instituto Municipal del Deporte y la Recreacin de

Tulu, es responsabilidad de cada usuario la confidencialidad de los mismos.

El acceso a la informacin que fluye dentro de la infraestructura tecnolgica del

Instituto Municipal del Deporte y la Recreacin de Tulu se otorga en base a las

funciones del usuario, se debern otorgar los permisos mnimos necesarios para el

desempeo del cargo o rol.

CONTROLES DE ACCESO LGICO: Todos los usuarios de equipos

computacionales son responsables de la confidencialidad del identificador de usuario

(ID) y el password o contrasea de su equipo, as como de aplicaciones especiales

que requieran el mismo control de acceso lgico.



Cdigo:

CP-CI



Pgina 36 de 58


Todos los usuarios debern autenticarse con los mecanismos de control de acceso

lgico antes de tener acceso a los recursos de la Infraestructura tecnolgica en

Instituto Municipal del Deporte y la Recreacin de Tulu. No est permitido a los

usuarios proporcionar informacin a personal externo sobre los mecanismos de

control de acceso a los recursos e infraestructura tecnolgica de la Institucin, salvo

el caso de autorizacin expresa por el Director.

El identificador de usuario dentro de la red es nico y personalizado, no est

permitido el uso del mismo identificador de usuario por varios miembros del personal.

El usuario es responsable de todas las actividades realizadas con su identificador de

usuario, por tanto no debe divulgar ni Permitir que terceros utilicen su identificador, al

igual que est prohibido usar el identificador de usuario de otros.

ADMINISTRACIN DE PRIVILEGIOS: Todo cambio en roles, funciones o cargo que

requiera asignar al usuario atributos para acceso a diferentes prestaciones de la

infraestructura tecnolgica en Instituto Municipal del Deporte y la Recreacin de

Tulu debe ser notificado a el rea de Cmputo o el Jefe inmediato correspondiente

al rea.

5.2 Administracin de privilegios

5.2.1 Cualquier cambio en los roles y responsabilidades de los usuarios debern ser

notificados a el rea de Cmputo, para el cambio de privilegios.

Funciones especficas Manual de Roles

Para todo el personal integrante del Instituto Municipal del Deporte y la Recreacin

de Tulu:

1. Administrar y evaluar los requerimientos de informacin de las distintas reas del

Instituto Municipal del Deporte y la Recreacin de Tulu.

2. Coordinar con el Equipo con el Apoyo del rea de Cmputo en la definicin,

factibilidad, especificacin y validacin de requerimientos.

3. Vigilar la correcta aplicacin de los estndares y metodologas de desarrollo de

sistemas de informacin, as como sugerir las mejoras que sean necesarias.

4. Coordinar con los lderes usuarios de las distintas areas para la definicin de

requerimientos funcionales y no funcionales de los sistemas de informacin.



Cdigo:

CP-CI



Pgina 37 de 58


5. Revisar, aprobar y mantener actualizados los manuales de los sistemas, de

operacin y de usuario, concerniente a los sistemas de informacin y tecnologas

(TICS).

6. Elaborar reportes de avance y estrategias de ejecucin de los proyectos de

desarrollo de sistemas de informacin.

7. Desarrollar e implementar los sistemas de informacin que requieran las

dependencias, de acuerdo a las prioridades establecidas en el plan de

necesidades.

8. Efectuar el mantenimiento y actualizacin de los sistemas de informacin,

analizando los problemas o planteamientos de modificacin, garantizando su

correcta sincronizacin.

9. Participar en los procesos de adquisicin y pruebas de las soluciones informticas

de terceros. As mismo, supervisar las actividades realizadas por terceros en el

desarrollo e implementacin de soluciones informticas.

10. Apoyar en la capacitacin al usuario final y al personal designado de la Seccin

Soporte a Usuarios, en el adecuado uso de los sistemas de informacin,

proporcionando material de soporte y los medios necesarios para tales fines.

11. Administrar en forma eficiente los recursos asignados a las reas, velando por la

seguridad de accesos y operatividad, y protegiendo la informacin de ingreso, salida

y almacenamiento.

12. Participar en la elaboracin de la propuesta del Plan de Actividades de la

Oficina, en los planes de contingencia y en la implementacin de acciones que

minimicen el riesgo de Tecnologas de Informacin.

13. Verificar que el rea de computo, atienda oportuna y eficientemente los

requerimientos de las dems reas, supervisando el cumplimiento de las

metodologas..

14. Cumplir y hacer cumplir las medidas correctivas recomendadas por los entes

de vigilancia y control tanto externo como interno.

15. Atender asuntos relativos al servicio de soporte tcnico de primer nivel para la

solucin de problemas referidos a hardware, Software y servicios de computacin

personal, efectuados por el personal de la Oficina y por todas las dependencias

institucionales.

17. Atender consultas tcnicas, operativas y funcionales a los usuarios,

incentivndolos en el mejor uso y operacin de las tecnologas de informacin.

18. Ejecutar, instalar y configurar, los equipos de cmputo y perifricos en las

oficinas Administrativas cumpliendo con los procedimientos aprobados.



Cdigo:

CP-CI



Pgina 38 de 58


23. Determinar y gestionar de inmediato las actividades a realizar para generar

una solucin y puesta en marcha en el menor tiempo posible de todos los sistemas

de informacin colapsados en el desastre.

24. Administrador de la Red: Actualmente vivimos en una sociedad que depende

de los Sistemas de Informacin (Tics), que se encuentran tanto en la parte interna

como externa de toda organizacin, sin embargo para poder acceder a esta

informacin es necesario que estos sistemas se encuentren interconectados por

medio de un recurso llamado red. Red, recurso constituido por equipos, de medios

de comunicacin, adicionalmente, las redes internas se conectan a otras redes

(corporativas, Internet), lo que hace que se vuelvan ms complejas y robustas. Es

por ello, que se hace necesario el uso de herramientas para dar el soporte adecuado

y ptimo. La ISO International Standards Organization, cre un modelo de

administracin, donde se definen claramente las funciones de los administradores de

redes.

5.3 Equipo desatendido

5.3.1 Los usuarios debern mantener sus equipos de cmputo con controles de

acceso como contraseas previamente instalados y autorizados por el rea de

Cmputo cuando no se encuentren en su lugar de trabajo.

5.4 Administracin y uso de contraseas

5.4.1 La asignacin de contraseas debe ser realizada de forma individual, por lo que

el uso de contraseas compartidas est prohibido,

MANUAL USO DE CONTRASEAS.

El uso de contrasea es un aspecto fundamental de la seguridad de los recursos

informticos; una contrasea mal ele

Documents

Manual de Politicas y Estandares en Seguridad Informatica Imder