Upload
imder-tulua
View
27
Download
2
Embed Size (px)
DESCRIPTION
Manual de Politicas y Estandares en Seguridad Informatica Imder
Citation preview
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 1 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
MANUAL DE POLITICAS Y ESTANDARES EN SEGURIDAD INFORMATICA
INSTITUTO MUNICIPAL DEL DEPORTE Y LA
RECREACION DE TULU
OCTUBRE DE 2014
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 2 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
INTRODUCCION
La seguridad informtica ha tomado gran auge, debido a las cambiantes condiciones
y nuevas plataformas tecnolgicas disponibles. La posibilidad de interconectarse a
travs de redes, ha abierto nuevos horizontes a las empresas para mejorar su
productividad y poder explorar ms all de las fronteras nacionales, lo cual
lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas
de informacin.
Con la definicin de las polticas y estndares de seguridad informtica se busca
establecer en el interior de la Institucin una cultura de calidad operando en una
forma confiable.
Esta misma, es un proceso donde se deben evaluar y administrar los riesgos
apoyados en polticas y estndares que cubran las necesidades de Instituto
Municipal del Deporte y la Recreacin de Tulu en materia de seguridad.
Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y
directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y
recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso
indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes,
servicios y operaciones del Instituto Municipal del deporte y la Recreacin de tulu.
En este sentido, las polticas de seguridad informtica surgen como una herramienta
organizacional para concientizar a los colaboradores de la organizacin sobre la
importancia y sensibilidad de la informacin y servicios crticos que permiten a la
empresa crecer y mantenerse competitiva.
Ante esta situacin, el proponer o identificar una poltica de seguridad requiere un
alto compromiso con la organizacin, agudeza tcnica para establecer fallas y
debilidades, y constancia para renovar y actualizar dicha poltica en funcin del
dinmico ambiente que rodea las organizaciones modernas.
Para el desarrollo de este manual se busca estructurarlo en base a ciertos criterios
tales como:
Seguridad Institucional
Seguridad fsica y del medio ambiente
Manejo y control Centro de Cmputo
Control de usuarios
Lineamientos legales
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 3 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
OBJETIVO
El objetivo de estas polticas de seguridad para el Instituto Municipal del Deporte y la
Recreacin de Tulu, es establecer las pautas generales que permitan la gestin de
la seguridad de la Informacin de manera integrada y coordinada con los
requerimientos propios del Instituto, las leyes que en su caso apliquen y la normativa
interna del Instituto Municipal del deporte y la Recreacin de tulu.
Dado que una lista de buenas intenciones no tiene valor por s sola, se hace
imprescindible distribuir y hacer llegar a todos y cada uno de los empleados que
conforman nuestro Instituto, la Poltica de Seguridad de la Informacin.
La Poltica de Seguridad puede ser complementada con normativas especficas en
aquellos aspectos del Instituto Municipal del Deporte y la Recreacin de Tulu en los
que sea necesario establecer unas normas concretas de actuacin.
ALCANCE
El alcance de este Plan de Seguridad se encuentra enfocado Instituto Municipal del
Deporte y la Recreacin de Tulu, y los servicios que presta a la comunidad, en los
aspectos que consideramos ms relevantes del mbito fsico y lgico.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 4 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Definicin del Instituto Municipal del Deporte y la Recreacin de Tulu
Somos una institucin encargada de Generar y brindar a la comunidad
oportunidades de participacin en procesos de iniciacin, formacin y prctica del
deporte, la recreacin y el aprovechamiento del tiempo libre, la educacin fsica y la
educacin extraescolar como contribucin al desarrollo integral del individuo.
Encaminados a Promover el plan local de deporte y el aprovechamiento del tiempo
libre, efectuando y participando en programas que proyecten una imagen positiva a
nivel departamental, Nacional e Internacional, haciendo su seguimiento y evolucin
con la participacin comunitaria.
1.- Desarrollo General de las polticas y estndares de seguridad informtica
1.1 Aplicacin
Las polticas y estndares de seguridad informtica tienen por objeto establecer
medidas y patrones tcnicos de administracin y organizacin de las Tecnologas de
Informacin y Comunicaciones TICs de todo el personal comprometido en el uso de
los servicios informticos proporcionados por el Instituto Municipal del Deporte y la
Recreacin de Tulu, en cuanto a la mejora y al cumplimiento de los objetivos
institucionales.
Tambin se convierte en una herramienta de difusin sobre las polticas y estndares
de seguridad informtica a todo el personal de Instituto Municipal del Deporte y la
Recreacin de Tulu. Facilitando una mayor integridad, confidencialidad y
confiabilidad de la informacin generada por el Instituto Municipal del Deporte y la
Recreacin de Tulu, al personal, al manejo de los datos, al uso de los bienes
informticos tanto de hardware como de software disponible, minimizando los riesgos
en el uso de las tecnologas de informacin.
1.2 Evaluacin de las Polticas
Las polticas tendrn una revisin peridica se recomienda que sea semestral para
realizar actualizaciones, modificaciones y ajustes basados en las recomendaciones y
sugerencias.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 5 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
1.3 Beneficios
Las polticas y estndares de seguridad informtica establecidas en el presente
documento son la base fundamental para la proteccin de los activos informticos y
de toda la informacin de las Tecnologas de Informacin y Comunicaciones (TICs)
en el Instituto Municipal del Deporte y la Recreacin de Tulu.
2.- Seguridad Institucional
Poltica: Toda persona que ingresa como usuario nuevo al Instituto Municipal del
Deporte y la Recreacin de Tulu para manejar equipos de cmputo y hacer uso de
servicios informticos debe aceptar las condiciones de confidencialidad, de uso
adecuado de los bienes informticos y de la informacin, as como cumplir y respetar
al pie de la letra las directrices impartidas en el Manual de Polticas y Estndares de
Seguridad Informtica para Usuarios.
2.1 Usuarios Nuevos
Todo el personal nuevo de la Institucin, deber ser notificado en el Instituto
Municipal del Deporte y la Recreacin de Tulu, para asignarle los derechos
correspondientes (Equipo de Cmputo, Creacin de Usuario para la Red interna o en
caso de retiro del funcionario, anular y cancelar los derechos otorgados como usuario
informtico.
2.2 Obligaciones de los usuarios
Es responsabilidad de los usuarios de bienes y servicios informticos cumplir las
Polticas y Estndares de Seguridad Informtica para Usuarios del presente manual.
2.3 Capacitacin en seguridad informtica
Todo servidor o funcionario nuevo en Instituto Municipal del Deporte y la Recreacin
de Tulu deber contar con la induccin sobre las Polticas y Estndares de
Seguridad Informtica Manual de Usuarios, donde se den a conocer las obligaciones
para los usuarios y las sanciones en que pueden incurrir en caso de incumplimiento.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 6 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
2.4 Sanciones
Se consideran violaciones graves el robo, dao, divulgacin de informacin
reservada o confidencial de esta dependencia, o de que se le declare culpable de un
delito informtico.
3.- Seguridad fsica y del Medio Ambiente
Poltica: Para el acceso a los sitios y reas restringidas se debe notificar al el Instituto
Municipal del Deporte y la Recreacin de Tulu para la autorizacin correspondiente,
y as proteger la informacin y los bienes informticos.
3.1 Proteccin de la informacin y de los bienes informticos
3.1.1 El usuario o funcionario debern reportar de forma inmediata el Instituto
Municipal del Deporte y la Recreacin de Tulu, cuando se detecte riesgo alguno real
o potencial sobre equipos de cmputo o de comunicaciones, tales como cadas de
agua, choques elctricos, cadas o golpes o peligro de incendio.
3.1.2 El usuario o funcionario tienen la obligacin de proteger las unidades de
almacenamiento que se encuentren bajo su responsabilidad, aun cuando no se
utilicen y contengan informacin confidencial o importante.
3.1.3 Es responsabilidad del usuario o funcionario evitar en todo momento la fuga
de informacin de la entidad que se encuentre almacenada en los equipos de
cmputo personal que tenga asignados.
3.2 Controles de acceso fsico
3.2.1 Cualquier persona que tenga acceso a las instalaciones de Instituto Municipal
del Deporte y la Recreacin de Tulu, deber registrar al momento de su entrada, el
equipo de cmputo, equipo de comunicaciones, medios de almacenamiento y
herramientas que no sean propiedad de la entidad, en el rea de recepcin o
portera, el cual podrn retirar el mismo da. En caso contrario deber tramitar la
autorizacin de salida correspondiente.
3.2.2 Las computadoras personales, las computadoras porttiles, y cualquier activo
de tecnologa de informacin, podr ser retirado de las instalaciones de Instituto
Municipal del Deporte y la Recreacin de Tulu nicamente con la autorizacin de
salida del rea de Inventarios, anexando el comunicado de autorizacin del equipo
debidamente firmado por el Director del el Instituto Municipal del Deporte y la
Recreacin de Tulu.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 7 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
3.3 Seguridad en reas de trabajo
Los Centros de Cmputo del Instituto Municipal del Deporte y la Recreacin de Tulu
son reas restringidas, por lo que solo el personal autorizado puede acceder a l.
3.4 Proteccin y ubicacin de los equipos
3.4.1 Los usuarios no deben mover o reubicar los equipos de cmputo o de
comunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin
la autorizacin del el Instituto Municipal del Deporte y la Recreacin de Tulu, en
caso de requerir este servicio deber solicitarlo.
3.4.2 El rea de Inventarios de activos ser la encargada de generar el resguardo y
recabar la firma del usuario informtico como responsable de los activos informticos
que se le asignen y de conservarlos en la ubicacin autorizada por el Instituto
Municipal del Deporte y la Recreacin de Tulu.
3.4.3 El equipo de cmputo asignado, deber ser para uso exclusivo de las
funciones de los funcionarios o servidores de Instituto Municipal del Deporte y la
Recreacin de Tulu.
3.4.4 Ser responsabilidad del usuario solicitar la capacitacin necesaria para el
manejo de las herramientas informticas que se utilizan en su equipo, a fin de evitar
riesgos por mal uso y para aprovechar al mximo las mismas.
3.4.5 Es responsabilidad de los usuarios almacenar su informacin nicamente en
la particin del disco duro diferente destinada para archivos de programas y sistemas
operativos, generalmente c:\documentos\.
3.4.6 Mientras se opera el equipo de cmputo, no se debern consumir alimentos o
ingerir lquidos.
3.4.7 Se debe evitar colocar objetos encima del equipo cmputo o tapar las salidas
de ventilacin del monitor o de la CPU.
3.4.8 Se debe mantener el equipo informtico en un lugar limpio y sin humedad.
3.4.9 El usuario debe asegurarse que los cables de conexin no sean pisados al
colocar otros objetos encima o contra ellos en caso de que no se cumpla solicitar un
reubicacin de cables.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 8 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
3.4.10 Cuando se requiera realizar cambios mltiples de los equipo de cmputo
derivado de reubicacin de lugares fsicos de trabajo o cambios locativos, stos
debern ser notificados con tres das de anticipacin al el Instituto Municipal del
Deporte y la Recreacin de Tulu a travs de un plan detallado.
3.4.11 Queda terminantemente prohibido que el usuario o funcionario distinto al
personal del el Instituto Municipal del Deporte y la Recreacin de Tulu abra o
destape los equipos de cmputo.
3.5 Mantenimiento de equipos
3.5.1 nicamente el personal autorizado por el Instituto Municipal del Deporte y la
Recreacin de Tulu, podr llevar a cabo los servicios y reparaciones al equipo
informtico.
3.5.2 Los usuarios debern asegurarse de respaldar en copias de respaldo o
backups la informacin que consideren relevante cuando el equipo sea enviado a
reparacin y borrar aquella informacin sensible que se encuentre en el equipo,
previendo as la prdida involuntaria de informacin, derivada del proceso de
reparacin.
3.6 Prdida de Equipo
3.6.1 El servidor o funcionario que tengan bajo su responsabilidad o asignados
algn equipo de cmputo, ser responsable de su uso y custodia; en consecuencia,
responder por dicho bien de acuerdo a la normatividad vigente en los casos de
robo, extravo o prdida del mismo.
3.6.2 El prstamo de laptops o porttiles tendr que solicitarse a la Oficina del
Instituto Municipal del Deporte y la Recreacin de Tulu, con el visto bueno del
Director de la Institucin.
3.6.3 El servidor o funcionario debern dar aviso inmediato al Oficina el Instituto
Municipal del Deporte y la Recreacin de Tulu, y a la Administracin de Inventarios
de Activos de la desaparicin, robo o extravo de equipos de cmputo, perifricos o
accesorios bajo su responsabilidad.
3.7 Uso de dispositivos extrables
3.7.1 El Instituto Municipal del Deporte y la Recreacin de Tulu, velar porque
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 9 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
todos los usuarios de los sistemas de Informacin estn registrados en su Base de
Datos para la autorizacin de uso de dispositivos de almacenamiento externo, como
Memorias USB, Discos porttiles, Unidades de Cd y DVD Externos, para el manejo y
traslado de informacin o realizacin de copias de seguridad o Backups.
3.7.2 Cada rea o dependencia debe reportar al Instituto Municipal del Deporte y la
Recreacin de Tulu, el listado de funcionarios a su cargo que manejan estos tipos
de dispositivos, especificando clase, tipo y uso determinado.
3.7.1 El uso de los quemadores externos o grabadores de disco compacto es
exclusivo para Backups o copias de seguridad de software y para respaldos de
informacin que por su volumen as lo justifiquen.
3.7.2 El servidor o funcionario usuario que tengan asignados estos tipos de
dispositivos sern responsable del buen uso de ellos.
3.7.3 Si algn rea o dependencia por requerimientos muy especficos del tipo de
aplicacin o servicios de informacin tengan la necesidad de contar con uno de ellos,
deber ser justificado y autorizado por el Instituto Municipal del Deporte y la
Recreacin de Tulu con el respectivo visto bueno del Director del instituto.
3.7.4 Todo funcionario o servidor de Instituto Municipal del Deporte y la Recreacin
de Tulu deber reportar el uso de las memorias USB asignados para su trabajo y de
carcter personal y responsabilizarse por el buen uso de ellas.
3.8 Dao del equipo
3.8.1 El equipo de cmputo, perifrico o accesorio de tecnologa de informacin que
sufra algn desperfecto, dao por maltrato, descuido o negligencia por parte del
usuario responsable, se le levantara un reporte de incumplimiento de polticas de
seguridad.
4. Administracin de Operaciones en los Centros de Cmputo
Poltica: Los usuarios y funcionarios debern proteger la informacin utilizada
en la infraestructura tecnolgica del Instituto Municipal del Deporte y la Recreacin
de Tulu. De igual forma, debern proteger la informacin reservada o confidencial
que por necesidades institucionales deba ser guardada, almacenada o transmitida,
ya sea dentro de la red interna institucional o redes externas como internet.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 10 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
4.1.1 Los usuarios y funcionarios del Instituto Municipal del Deporte y la Recreacin
de Tulu que hagan uso de equipos de cmputos, deben conocer y aplicar las
medidas para la prevencin de cdigo malicioso como pueden ser virus, caballos de
Troya o gusanos de red.
4.1.2 El Instituto Municipal del Deporte y la Recreacin de Tulu, establece las
polticas y procedimientos administrativos para regular, controlar y describir el
acceso de visitantes o funcionarios no autorizados a las instalaciones de cmputo
restringidas.
4.1.3 Cuando un funcionario no autorizado o un visitante requieran la necesidad de
ingresar a un equipo de computo, debe solicitar mediante comunicado interno
debidamente firmada y autorizado por el director y para un visitante se debe solicitar
la visita con anticipacin la cual debe traer el visto bueno del director, y donde se
especifique tipo de actividad a realizar, y siempre contar con la presencia de un
funcionario que le corresponda el equipo de computo.
4.1.4 El director del El Instituto Municipal del Deporte y la Recreacin de Tulu
deber llevar un registro escrito de todas las visitas autorizadas a los Equipos de
Cmputo restringidos.
4.1.5 Todo equipo informtico ingresado a los Centros de Cmputo restringidos
deber ser registrado en el libro de visitas.
4.1.6 Cuando se vaya a realizar un mantenimiento en algunos de los equipos del
Centro de Cmputo, se debe dar aviso con anticipacin a los usuarios para evitar
traumatismos.
4.1.7 El director deber solicitar la proteccin para las instalaciones contra
incendios, inundaciones, sistema elctrico de respaldo, UPS.
4.2 Uso de medios de almacenamiento
4.2.1 Los usuarios de Instituto Municipal del Deporte y la Recreacin de Tulu deben
conservar los registros o la informacin que se encuentra activa y aquella que ha
sido clasificada como reservada o confidencial.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 11 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
4.2.2 Las actividades que realicen los usuarios y funcionarios en la infraestructura
Tecnologa de Informacin y Comunicaciones (TICs) de Instituto Municipal del
Deporte y la Recreacin de Tulu sern registradas y podrn ser objeto de auditora.
4.3 Adquisicin de software.
4.3.1 Los usuarios y funcionarios que requieran la instalacin de software que o sea
propiedad del Instituto Municipal del Deporte y la Recreacin de Tulu, debern
justificar su uso y solicitar su autorizacin por El Instituto Municipal del Deporte y la
Recreacin de Tulu, con el visto bueno del Director, indicando el equipo de cmputo
donde se instalar el software y el perodo de tiempo que ser usado.
4.3.2 Se considera una falta grave el que los usuarios o funcionarios instalen
cualquier tipo de programa (software) en sus computadoras, estaciones de trabajo,
servidores, o cualquier equipo conectado a la red de Instituto Municipal del
Deporte y la Recreacin de Tulu, que no est autorizado.
4.3.3 Instituto Municipal del Deporte y la Recreacin de Tulu, garantiza la
legalidad de los programas adquiridos, debidamente certificndolos con las facturas
de compra de cada uno.
4.3.5 El control de manejo para las licencias y el inventario de los Medios, paquete
de CDs ser responsabilidad de la Instituto Municipal del Deporte y la Recreacin de
Tulu en cabeza del Director, o su delegado, en caso de ausencia.
4.3.6 El Grupo de Apoyo (Tcnicos) del Instituto Municipal del Deporte y la
Recreacin de Tulu tiene la responsabilidad de velar por el buen uso de los
equipos de cmputo y del cumplimiento de las polticas de seguridad. A su vez
debern ofrecer mantenimiento preventivo a las computadoras de la Institucin.
4.3.7 En el proceso de reinstalar un programa el tcnico debe borrar completamente
la versin instalada para luego proceder a instalar la nueva versin que desea, esto
siempre y cuando no sea una actualizacin del mismo.
4.3.8 Deben mantener un inventario de equipos fsicos y de los programas
instalados y pueden borrar o instalar programas o software autorizados y legalmente
licenciados.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 12 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Finalmente se procede a actualizar el inventario de licencias de Software. Y se
almacenar en Archivos que puedan ser cerrados con llave.
Todas las reas del Instituto Municipal del Deporte y la Recreacin de Tulu en
coordinacin con la Secretara General, ofrecern capacitaciones al personal
administrativo en el manejo y uso de las Tecnologas de Informtica y Computacin
(TICs), para de esta manera convertir estos en herramientas efectivas de trabajo, y
que apoyen el quehacer en el Interior de la Institucin. La capacitacin de nuestro
personal estimula en gran medida la utilizacin de los programas adquiridos
legalmente, evitando la prctica indebida de utilizar y la proliferacin software no
autorizado (pirata).
4.4 Licenciamiento de Software
4.4.1 Para el Control de Licenciamiento de Software: el Instituto Municipal del
Deporte y la Recreacin de Tulu, adems como poltica de seguridad se tiene
establecido en el Reglamento de Uso de equipos de computo, la prohibicin de
instalar software y programas no autorizados y sin licencia. El Grupo de usuarios,
realiza mensualmente un inventario fsico de los programas y software instalados en
cada uno de los computadores de la Institucin.
4.5 Identificacin del incidente
4.5.1 El usuario o funcionario que detecte o tenga conocimiento de la posible
ocurrencia de un incidente de seguridad informtica deber reportarlo al
Instituto Municipal del Deporte y la Recreacin de Tulu lo antes posible, indicando
claramente los datos por los cuales lo considera un incidente de seguridad
informtica.
4.5.2 Cuando exista la sospecha o el conocimiento de que informacin confidencial
o reservada ha sido revelada, modificada, alterada o borrada sin la autorizacin de
las Directivas Administrativas competentes, el usuario o funcionario deber notificar
al Instituto Municipal del Deporte y la Recreacin de Tulu.
4.5.3 Cualquier incidente generado durante la utilizacin u operacin de los activos
de tecnologa de informacin de Instituto Municipal del Deporte y la Recreacin de
Tulu debe ser reportado a la Oficina de sistemas.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 13 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
4.6 Administracin de la Red
4.6.1 Los usuarios de las reas de Instituto Municipal del Deporte y la Recreacin
de Tulu no deben establecer redes de rea local, conexiones remotas a redes
internas o externas, intercambio de informacin con otros equipos de cmputo
utilizando el protocolo de transferencia de archivos (FTP), u otro tipo de protocolo
para la transferencia de informacin empleando la infraestructura de red de la
entidad, sin la autorizacin del rea de Computo y del administrador de la contrasea
de la red.
4.7 Seguridad para la red
4.7.1 Ser considerado como un ataque a la seguridad informtica y una falta grave,
cualquier actividad no autorizada por rea de Computo, en la cual los
usuarios o funcionarios realicen la exploracin de los recursos informticos en la red
de del Instituto Municipal de deporte y la Recreacin de Tulu, as como de las
aplicaciones que sobre dicha red operan, con fines de detectar y explotar una posible
vulnerabilidad.
4.8 Uso del Correo electrnico
4.8.1 Los usuarios y funcionarios no deben usar cuentas de correo electrnico
asignadas a otras personas, ni recibir mensajes en cuentas de otros. Si fuera
necesario leer el correo de alguien ms (mientras esta persona se encuentre fuera o
de vacaciones) el usuario ausente debe re-direccionar el correo a otra cuenta de
correo interno, quedando prohibido hacerlo a una direccin de correo electrnico
externa a Instituto Municipal del Deporte y la Recreacin de Tulu, a menos que
cuente con la autorizacin de la rea de Computo.
4.8.2 Los usuarios y funcionarios deben tratar los mensajes de correo electrnico y
archivos adjuntos como informacin de propiedad de Instituto Municipal del Deporte y
la Recreacin de Tulu. Los mensajes de correo electrnico deben ser manejados
como una comunicacin privada y directa entre emisor y receptor.
4.8.3 Los usuarios podrn enviar informacin reservada y/o confidencial va
correo electrnico siempre y cuando vayan de manera encriptado y destinada
exclusivamente a personas autorizadas y en el ejercicio estricto de sus funciones y
responsabilidades.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 14 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
4.8.4 Queda prohibido falsificar, esconder, suprimir o sustituir la identidad de un
usuario de correo electrnico.
4.8.5 Queda prohibido interceptar, revelar o ayudar a terceros a interceptar o revelar
las comunicaciones electrnicas.
4.9 Controles contra virus o software malicioso
4.9.1 Para revisar si el antivirus se actualiza correctamente, seleccione el icono de
su programa antivirus que se encuentra en la barra de herramientas y presione
actualizar y analizar.
Escogen la opcin Abrir y en el cuadro que se despliega, al lado del smbolo de
pregunta se le da clic a la flechita y luego en la opcin Buscar actualizaciones, el
proceso conectado a Internet realiza la actualizacin en forma automtica.
Puede que este proceso ponga un poco ms lenta a la mquina, pero por ningn
motivo interrumpa la actualizacin. Una vez terminada la actualizacin el programa le
indicar que la base de firmas queda actualizada.
4.9.2 En el caso de un equipo de cmputo sin conexin a Internet se hara el proceso
de manera manual: Para ello nos ubicamos en un computador con conexin a
Internet, y all seleccionamos por fecha actual el archivo y se descarga al disco duro,
luego lo trasladamos a una Memoria USB y se copia en el pc sin conexin a Internet
y se ejecuta.
4.9.3 Para prevenir infecciones por virus informtico, los usuarios de Instituto
Municipal del Deporte y la Recreacin de Tulu no deben hacer uso de software que
no haya sido proporcionado y validado por el rea de Cmputo.
4.9.4 Los usuarios de Instituto Municipal del Deporte y la Recreacin de Tulu
deben verificar que la informacin y los medios de almacenamiento, estn libres de
cualquier tipo de cdigo malicioso, para lo cual deben ejecutar el software antivirus
autorizado por el rea de Cmputo.
4.9.5 Todos los archivos de computadoras que sean proporcionados por personal
externo o interno considerando al menos programas de software, bases de datos,
documentos y hojas de clculo que tengan que ser descomprimidos, el usuario debe
verificar que estn libres de virus utilizando el software antivirus autorizado antes de
ejecutarse.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 15 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
4.9.6 Ningn usuario, funcionario, empleado o personal externo, podr bajar o
descargar software de sistemas, boletines electrnicos, sistemas de correo
electrnico, de mensajera instantnea y redes de comunicaciones externas, sin la
debida autorizacin del rea de Cmputo.
4.9.7 Cualquier usuario que sospeche de alguna infeccin por virus de computadora,
deber dejar de usar inmediatamente el equipo y notificar al rea de Cmputo para la
revisin y erradicacin del virus.
El icono del antivirus debe permanecer siempre en color verde, si usted observa
dicho icono en otro color, favor avisar inmediatamente a el rea de Computo, para
que se haga la revisin correspondiente.
4.9.8 Los usuarios no debern alterar o eliminar, las configuraciones de seguridad
para detectar y/o prevenir la propagacin de virus que sean implantadas por la el
rea de Cmputo en: Antivirus, Outlook, office, Navegadores u otros programas.
4.9.9 Debido a que algunos virus son extremadamente complejos,
ningn usuario o funcionario de Instituto Municipal del Deporte y la Recreacin de
Tulu, distinto al personal del rea de Cmputo deber intentar erradicarlos de las
computadoras.
4.10 Controles para la Generacin y Restauracin de Copias de Respaldo
4.10.1 Procedimiento de generacin y restauracin de copias de respaldo para
salvaguardar la informacin crtica de los procesos significativos de la entidad. Se
debern considerar como mnimo los siguientes aspectos:
4.10.1.1 Establecer como medida de seguridad informtica la necesidad de
realizar copias de respaldo o backups peridicamente en los equipos de cmputo
administrativos.
4.10.1.2 Cada funcionario es responsable directo de la generacin de los
backups o copias de respaldo, asegurndose de validar la copia. Tambin puede
solicitar asistencia tcnica para la restauracin de un backups.
4.10.1.3 Conocer y manejar la generacin y/o restauracin de copias de
respaldo, registrando el contenido y su prioridad. Rotacin de las copias de respaldo,
debidamente marcadas. Almacenamiento interno o externo de las copias de
respaldo, o verificar si se cuenta con custodia para ello.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 16 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Se utilizar el programa asistente de grabacin, para la Copia de Seguridad o
Backup:
Aplicacin PC, Copiar Disco
Opcin Datos: se escoge CD o DVD
Se aaden los archivos o carpetas
Clic en cerrar
Clic en siguiente
Se introduce un CD o DVD en blanco en la unidad quemador de CD o DVD
Colocar nombre al disco (16 caracteres)
Clic en grabar
Marcar el CD o DVD colocndole la fecha de la copia y entregar a su Jefe
inmediato para su almacenamiento y custodia.
4.10.1.4 Las copias de seguridad o Back ups se deben realizar al menos una vez al
mes y el ltimo da hbil del mes. Un funcionario del rea de cmputo, revisar una
vez por mes el cumplimiento de este procedimiento y registrar en el formato de
Copias de Seguridad.
4.11 Planes de Contingencia ante Desastre
Definicin: Se entiende por PLAN DE CONTINGENCIA los procedimientos
alternativos a la operacin normal en una organizacin, cuyo objetivo principal es
permitir el continuo funcionamiento y desarrollo normal de sus operaciones,
preparndose para superar cualquier eventualidad ante accidentes de origen interno
o externo, que ocasionen prdidas importantes de informacin. Estos deben
prepararse de cara a futuros sucesos. (Ver manual de contingencias)
4.11.1 Con el fin de asegurar, recuperar o restablecer la disponibilidad de las
aplicaciones que soportan los procesos de misin crtica y las operaciones
informticas que soportan los servicios crticos de la Institucin, ante el evento de un
incidente o catstrofe parcial y/o total.
4.11.2 El rea de Cmputo debe tener en existencia la documentacin de roles
detallados y tareas para cada una de las personas involucradas en la ejecucin del
plan de recuperacin ante desastre.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 17 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Manual de Roles:
El rea de computo de Instituto Municipal del Deporte y la Recreacin de Tulu tiene
como principal responsabilidad la administracin y coordinacin del proceso de
Seguridad Informtica del a institucin.
Tiene como responsabilidad asegurar el buen funcionamiento del proceso de
seguridad Informtica de la institucin.
Debe ser el punto de referencia para todos los procesos de seguridad y ser capaz de
guiar y aconsejar a los usuarios de la institucin sobre cmo desarrollar
procedimientos para la proteccin de los recursos.
Una tarea clave, es guiar al cuerpo directivo y a la administracin de la institucin
ante incidentes de seguridad mediante un Plan de Respuesta a Incidentes, con el fin
de atender rpidamente este tipo de eventualidades.
Es responsable de proponer y coordinar la realizacin de un anlisis de riesgos
formal en seguridad de la informacin que abarque toda la institucin.
Es deber del Instituto Municipal del Deporte y la Recreacin de Tulu, el desarrollo
de procedimientos de seguridad detallados que fortalezcan la poltica de seguridad
informtica institucional.
Es responsabilidad del Instituto Municipal del Deporte y la Recreacin de Tulu,
promover la creacin y actualizacin de las polticas de seguridad informtica, debido
al comportamiento cambiante de la tecnologa que trae consigo nuevos riesgos y
amenazas.
Es responsabilidad del Gestor de Seguridad el desarrollo de un Plan de Seguridad de
la Informacin.
Las personas encargadas deben atender y responder inmediatamente las
notificaciones de sospecha de un incidente de seguridad o de incidentes reales.
Es responsabilidad del director del Instituto Municipal del Deporte y la Recreacin de
Tulu, coordinar la realizacin peridica de auditoras a las prcticas de seguridad
informtica.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 18 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Es responsable de mantenerse al da de las actualizaciones y nuevas
vulnerabilidades encontradas en el software del Instituto Municipal del deporte y la
Recreacin de tulu.
4.11.3 Disponibilidad de plataformas computacionales, comunicaciones e
informacin, necesarias para soportar las operaciones definidas como de misin
crtica de negocio en los tiempos esperados y acordados.
Plan de respuesta a Incidentes
Es de vital importancia para Instituto Municipal del Deporte y la Recreacin de Tulu
definir los procedimientos y planes de accin para el caso de una posible falla,
siniestro o desastre que afecten la infraestructura tecnolgica del Instituto Municipal
del deporte y la Recreacin de tulu, sus instalaciones e incluso el personal que
labora en la organizacin.
Cuando ocurra una contingencia, bien sea porque se halla materializado un riesgo,
es esencial que se conozca al detalle el motivo que la origin y el dao producido, lo
que permitir recuperar y poner en marcha, en el menor tiempo posible el proceso
perdido.
Los procedimientos debern ser de ejecucin obligatoria y bajo la responsabilidad de
los encargados de la realizacin de los mismos, debiendo haber procesos de
verificacin de su cumplimiento. Estos procedimientos estarn a cargo del Instituto
Municipal del Deporte y la Recreacin de Tulu
Este plan de respuesta a incidentes define las pautas de lo que se debe de realizar
en caso de incidente de seguridad en algunas de las oficinas del Instituto Municipal
del Deporte y la Recreacin de Tulu, las fases de respuesta a incidentes en un
momento dado.
Este documento muestra como minimizar los daos, evaluar el incidente, que hacer
cuando se presente un incidente y como responder a ello.
Propsito
Este documento se implementa con el objetivo de que hacer al momento de
presentarse en el Instituto Municipal del Deporte y la Recreacin de Tulu, en la
oficina actual o algunas de las futuras oficinas.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 19 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Objetivos de la Respuesta a Incidentes
Asegurarse de que el incidente si se ha producido en la entidad.
Mitigar el impacto del incidente.
Prevenir futuros ataques o incidentes.
Mejorar la seguridad y respuesta a incidentes del Instituto Municipal del
deporte y la Recreacin de tulu
Mantenerse informado de la gestin de la situacin y la respuesta a la entidad.
Definicin del Incidente de Seguridad
Un problema en el Instituto Municipal del Deporte y la Recreacin de Tulu, puede
causar ciertos tipos de incidentes de seguridad informtica tales como:
1. Perdida de informacin confidencial del Instituto Municipal del Deporte y la
Recreacin de Tulu, afectando la confidencialidad, integridad y disponibilidad de la
misma.
2. Si la informacin del Instituto Municipal del Deporte y la Recreacin de Tulu no
cuenta con aplicaciones, software o servicios de seguridad nuestra informacin
podra ser modificada por alguien no autorizado de la entidad.
3. Robo de activos fsicos informticos tales como computadoras, dispositivos de
almacenamiento, impresoras, y dems equipo informtico propio del instituto.
4. Daos a los activos fsicos informticos incluyendo computadoras, dispositivos de
almacenamiento, impresoras, y dems equipo informtico propio del instituto.
5. Denegacin de servicios dentro del mismo instituto.
6. Uso indebido de los servicios, informacin o activos del instituto por parte de los
empleados de l.
7. Infeccin de los sistemas por software no autorizado.
8. Intento de acceso no autorizado a los Sistema de informacin del Instituto
Municipal del Deporte y la Recreacin de Tulu.
9. Cambios no autorizados a la organizacin de hardware, software, o la
configuracin de los mismos.
10. Respuesta a las alarmas de deteccin de intrusos.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 20 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Planificacin de Incidentes de seguridad informtica
En caso de tener uno o varios incidentes de seguridad informtica en el Instituto
Municipal del Deporte y la Recreacin de Tulu, algunas de sus oficinas con equipo
informtico de cualquier categora, se llevara a cabo las siguientes actividades
1. Definir y aclarar las listas de respuestas a incidentes y sus responsabilidades.
2. Establecer los procedimientos detallados de las medidas a tomar durante el
incidente de seguridad informtica.
a. Detallar las acciones basadas en el tipo de incidente tales como virus, intrusiones
de hackers, robo de datos, sistema de destruccin.
b. Evaluar los procedimientos adecuados para identificar los aspectos crticos que
han ocurrido en la entidad.
c. Examinar si el incidente est en curso o se ha presentado de una manera rpida y
critica.
d. Si es posible recuperar informacin importante de la entidad que haya sido
perjudicada por cualquier tipo de incidente de seguridad informtica
Ciclo de Vida a la Respuesta a Incidentes
Preparacin para incidentes
1. Polticas y Procedimientos
a. establecer las polticas de Seguridad.
b. Seguir los procedimientos de Respuesta a Incidentes.
c. Seguir los procedimientos de Recuperacin y Backup.
2. Implementar polticas con herramientas de seguridad que incluyen firewalls,
sistemas de deteccin de intrusos, adems de otros elementos necesarios para la
seguridad informtica.
3. Colocar avisos de advertencia contra el uso no autorizado en los puntos de acceso
del sistema.
4. Establecer directrices de respuesta considerando y discutiendo posibles
escenarios.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 21 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
5. Capacitacin de los usuarios sobre la seguridad y entrenar a personal del Instituto
Municipal del Deporte y la Recreacin de Tulu, el manejo de situaciones de
seguridad y el reconocimiento de intrusiones e incidentes de seguridad informtica.
Descubrimiento del incidente de seguridad informtica
Es el momento en el que algn empleado del Instituto Municipal del Deporte y la
Recreacin de Tulu descubre que se ha presentado un incidente de seguridad
informtico con algn bien informtico. Dicho incidente de seguridad informtico
normalmente para este tipo de instituto podra venir de algunas de las siguientes
fuentes que la detecten y lo informen:
1. De cada rea o usuario respectivamente.
2. Un administrador de red de la entidad
3. Personal administrativo de la entidad
4. El rea de Cmputo o una persona de seguridad.
Notificacin del incidente de Seguridad Informtica
En caso de que ocurra algn incidente de seguridad informtica en algunas de las
reas del Instituto Municipal del Deporte y la Recreacin de Tulu se deber informar
a un superior o persona encargada en el rea acerca del mismo para que este
realice la previa notificacin al encargado general de rea de computo que toma las
decisiones con respecto a ello.
Anlisis y Evaluacin del incidente de seguridad.
Son muchos los factores que determinaran la respuesta adecuada, lo cual incluye:
1. Real: Seguir los procedimientos respectivos para eliminar el incidente.
Percibido: verificar y analizar si es real para tomar medidas contra l.
2. Buscar medidas mientras se encuentra la solucin para detenerla intrusin.
3. En el Instituto Municipal del Deporte y la Recreacin de Tulu se vern afectados
equipos de cmputo en los datos como la base de datos ya que se puede afectar la
informacin de la entidad y seria critico para ella.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 22 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
4. Aunque el Instituto Municipal del Deporte y la Recreacin de Tulu cuenta con
informacin importante, el impacto del incidente de seguridad informtica depender
del atacante, debido a que as como puede ser grave para el instituto, tambin puede
no ser tan crtico.
5. Los atacantes se enfocaran en atacar la parte del instituto donde mayor
informacin importante hay, as afectando a la entidad en las reas.
Estrategia de respuesta
1. La respuesta a un caso de intrusin debe ser rpida o por lo menos ver la forma
de que brinde el tiempo para mitigar el incidente de seguridad informtica.
2. Si el incidente de seguridad informtica lo detecta alguno de los sistemas, una
alerta de seguridad que nos avisara, la cual ser enviada al correo electrnico del
encargado del rea de cmputo.
3. Si se genera alguna alerta se debe considerar el anlisis del atacante y si merece
o no y merece una prevencin.
Contencin del incidente de seguridad informtica
Adoptar medidas para prevenir nueva intrusin o dao y eliminar la causa del
problema. Puede necesitar:
1. Desconectar el sistema al cual se le fue detectada la intrusin
2. Cambiar las contraseas o generar polticas para que la contrasea sea de
carcter fuerte.
3. Bloquear algunos puertos o cambiarlos y bloquear algunas conexiones.
Prevencin de la re-infeccin
Se debe determinar la forma en que ocurri la intrusin. Determinar la fuente de la
intrusin: es decir, si se realizo va email, ataque a travs de un puerto, un ataque a
travs de algunos de los servicios, o si es debido al ataque por falta de actualizacin
de los sistemas o aplicaciones antivirus maliciosos.
Se deben tomar medidas inmediatas para evitar una nueva infeccin:
1. Cerrar los puertos de los servidores que no se est utilizando.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 23 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
2. Revisar el sistema que fue afectado para poder tomar medidas frente la intrusin.
3. Volver a instalar el sistema, utilizar las copias de respaldo y asegurarnos que las
copias se hayan realizado antes de la intrusin.
4. Informacin a los empleados y usuarios del Instituto Municipal del deporte y la
Recreacin de tulu.
5. Desactivar los servicios sin utilizar en el sistema afectado del Instituto Municipal
del deporte y la Recreacin de tulu.
Restaurar los sistemas afectados
Para restaurar los sistemas afectados hay que conservar las pruebas en contra de la
intrusin, asegurarse de tener los respaldos del sistema y que sean del sistema
afectado. Puede incluir lo siguiente:
Volver a instalar el sistema afectado (s) a partir de cero y la restauracin de datos
de copias de seguridad si es necesario. Asegurarse de conservar las pruebas en
contra de la intrusin de copias de seguridad de los registros o, posiblemente,
todo el sistema.
Los usuarios deben cambiar las contraseas, si las contraseas han sido
interceptadas e informales que deben ser fuertes y no divulgarlas.
Asegurarse de que el sistema est completamente actualizado con su software
correspondiente.
Asegurarse de que la proteccin antivirus en tiempo real y deteccin de intrusos
se est ejecutando.
Documentacin del incidente de Seguridad Informtica
Se debe elaborar un documento sobre lo que se descubri del incidente de seguridad
informtica, incluyendo la forma en que se produjo la intrusin, cuando se produjo el
ataque y si hay respuesta y si es efectiva.
Preservacin de pruebas
Se deben hacer copias de los registros de intrusin y mantener las listas de testigos
del incidente de seguridad.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 24 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Evaluar los daos y el costo
Evaluar si los daos a la entidad y estimacin de costos.
Revisin y actualizacin de polticas de respuesta
Considerar si implementar una poltica podra haber evitado la intrusin al
sistema.
Considerar si una poltica o procedimiento no se sigui, lo que permitir la
intrusin y mejorarla.
Estudiar si la respuesta al incidente fue la apropiada o no y ver cmo podemos
mejorarla
Informar a las partes interesadas.
Revisar que todos sistemas estn actualizados y protegidos, que se estn
cumpliendo las polticas para el cambio de contraseas y que los antivirus estn
actualizados.
Se debern crear polticas de seguridad cada vez que el administrador lo crea
necesario para evitar una intrusin al sistema.
Dao de Activos
Se informara al rea de cmputo para la revisin del activo para determinar la
gravedad del dao. En caso que el dao sea grave se debe contactar a la persona
encargada de manejar los proveedores para iniciar la reposicin del activo. En caso
que no sea grave se proceder a repararlo en el menor tiempo para restablecer el
servicio. Finalmente la persona del departamento encargado del activo deber
establecer las configuraciones para que el activo quede en su funcionamiento
normal.
Cambios no autorizados a la organizacin de hardware, software, o la
configuracin de los Sistemas
En caso de cambio del hardware se debe identificar por cual fue cambiado y los
riesgo que puede generar dicho cambio, despus de verificar esto se debe enviar un
informe al rea encargada con todas las especificaciones del hardware por el cual
fue reemplazado y una restauracin del mismo. En caso de cambio del software
identificar software instalado y su propsito, realizar un informe con el tipo de
software y su funcionamiento y enviarlo al departamento encargado de sistemas.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 25 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
De ser necesario se retirara el software instalado. En caso de que el software sea
desinstalado se notificara al rea de computo y solicitar la reinstalacin del software.
En cuanto la configuracin se debe identificar los cambios de configuracin, verificar
los efectos de esos cambios en el sistema; en el caso de encontrar anomalas en el
sistema se enviara un informe al rea encargada el cual asumir la restauracin de
las configuraciones.
4.11.4 Tener en existencia equipos informticos de respaldo o evidencia de los
proveedores, de la disponibilidad de equipos y tiempos necesarios para su
instalacin, en prstamo, arriendo o sustitucin.
4.11.5 Existencia de documentacin de los procedimientos manuales a seguir por las
distintas reas usuarias durante el periodo de la contingencia y entrenamiento a los
usuarios en estos procedimientos.
Manual de Procedimientos
Poltica de Seguridad: Todo el personal nuevo del Instituto Municipal del deporte y la Recreacin de tulu, sea contratado por contrato de nombramiento o contratista, deber ser notificado al Director del instituto, encargado de asignarle los derechos correspondientes (Equipo de Cmputo, Creacin de Usuario para la Red), o en caso de retiro de algn empleado, anular y cancelar los derechos otorgados como usuario informtico.
Responsable: Director del instituto y el encargado de recursos humanos del Instituto
Municipal del deporte y la Recreacin de tulu
Procedimiento 1: Alta o baja de un empleado del Instituto Municipal del deporte y la
Recreacin de tulu
Actividad 1: Se presenta la vacante dentro del Instituto Municipal del deporte y la
Recreacin de tulu.
Actividad 2: Se solicita al jefe de personal del Instituto Municipal del deporte y la
Recreacin de tulu o al Director; la bsqueda del nuevo empleado
para que se haga cargo de la vacante que ha quedado.
Actividad 3: El jefe de personal del Instituto Municipal del deporte y la Recreacin
de tulu realiza la publicacin necesaria para la llegada de las
propuestas o licitaciones para la vacante.
Actividad 4:
La convocatoria se realiza y todas las propuestas analizadas de
manera que se midan su rendimiento para las funciones que se
requieren en el instituto y de esta manera se pueda evaluar si darn
buen desempeo dentro de la misma.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 26 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Actividad 5: Una vez realizados los estudios previos, es el mismo jefe de personal
la persona encargada de seleccionar el aspirante ganador.
Actividad 6:
Una vez aceptada debe ser registrada dentro del Instituto Municipal
del deporte y la Recreacin de tulu con sus funciones, obligaciones
y privilegios dentro de las instalaciones fsicas del Instituto Municipal
del deporte y la Recreacin de tulu y los sistemas lgicos de los
mismos.
Actividad 7: En caso de ser la baja de un empleado este deber cumplir con un
contrato de confidencialidad por la informacin que consigo se lleva.
Actividad 8:
Una vez hecho esto, se procede a quitar los privilegios y derechos de
la persona dentro de la organizacin por lo que la baja del empleado
se realiza en todas las reas de Instituto Municipal del deporte y la
Recreacin de tulu y todos los sistemas de informacin que all se
manejan.
Poltica de Seguridad: El empleado de Instituto Municipal del deporte y la Recreacin de tulu deber reportar de forma inmediata al director de seguridad cuando se detecte riesgo alguno real o potencial sobre equipos de cmputo o de comunicaciones, tales como cadas de agua, choques elctricos, cadas o golpes o peligro de incendio.
Responsable: Empleado de Instituto Municipal del deporte y la Recreacin de tulu
Procedimiento 2: Informar acerca de riesgo potencial sobre los bienes del Instituto
Municipal del deporte y la Recreacin de tulu
Actividad 1: El empleado detecta que existe un posible riesgo que se puede llegar
a materializar provocando vulnerabilidades de seguridad en la
empresa con posibles daos a los activos informticos de la misma.
Actividad 2:
El empleado toma nota acerca del incidente o riesgos, teniendo en
cuenta factores como fuente de aviso (por intuiciones, por antivirus),
hora e impacto y de esta manera puede acercarse a realizar el previo
aviso del incidente.
Actividad 3: El empleado solicita reunin con el rea de computo y el encargado
de seguridad informtica de Instituto Municipal del deporte y la
Recreacin de tulu
Actividad 4: Una vez el directo de seguridad es avisado del riesgo potencia, toma
responsabilidad por el posible incidente y junto con su equipo se
hace cargo de la situacin.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 27 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Actividad 5: El equipo de seguridad informtica toma las medidas respectivas
para erradicar el riesgo y de esta manera consiguen eliminar o
minimizar el riesgo potencial a presentarse.
Actividad 6: El bien informtico involucrado en el riesgo potencia es evaluado y de
esta forma se realizan las actividades necesarias para que no se
vuelva a presentar un peligro sobre este mismo bien.
Actividad 7: Se debe restablecer la normalidad de las labores con el bien
informtico involucrado.
Actividad 8: El empleado que da aviso acerca del incidente es asesorado acerca
de las posibles acciones que puede tomar en caso de volverse a
presentar otro incidente de seguridad como tal.
Poltica de Seguridad: Cualquier persona que tenga acceso a las instalaciones de
Instituto Municipal del deporte y la Recreacin de tulu, deber registrar al momento
de su entrada, el equipo de cmputo que usara, equipo de comunicaciones, medios
de almacenamiento y herramientas que no sean propiedad del Instituto Municipal del
deporte y la Recreacin de tulu, con la secretaria, con quien podrn retirar el mismo
da. En caso contrario deber tramitar la autorizacin de salida correspondiente.
Responsable: Empleado encargado de la recepcin en la empresa. la secretaria.
Procedimiento 3: Registrar el ingreso de personas autorizadas por la direccin del
Instituto Municipal del deporte y la Recreacin de tulu, as como equipo de cmputo
ajeno a la organizacin.
Actividad 1:
La persona interesada en ingresar a las instalaciones de Instituto
Municipal del deporte y la Recreacin de tulu realiza el previo aviso
de su entrada al instituto, de esta manera se somete a estudio su
aprobacin y se informa de las normas una vez se encuentre dentro
del Instituto Municipal del deporte y la Recreacin de tulu.
Actividad 2: El director del Instituto Municipal del deporte y la Recreacin de tulu
es informado de la solicitud de entrada en trmite, de esta manera
este la evala, y autoriza o desautoriza la entrada de dicha persona.
Actividad 3: El director analiza los posibles equipos de cmputo a ingresar por la
persona.
Actividad 4: La persona interesada en el ingreso al instituto se presente en la
organizacin y es buscado en una lista de ingresos del da
autorizados a la empresa.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 28 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Actividad 5:
La secretaria realiza el ingreso de la persona y en caso de que esta
persona traiga equipo informtico no autorizado este debe ser
entregado a la misma para ser almacenado en un sitio donde
permanecer.
Actividad 6:
En caso de que el visitante solicite el uso de alguno de los equipos
de computo del Instituto Municipal del deporte y la Recreacin de
tulu, la secretaria realiza la previa asignacin de dicho equipo e
informa al visitante acerca de las restricciones tales como uso de
memorias, abrir el equipo, etc.
Actividad 7: El visitante realiza sus actividades y reuniones con las personas que
pretende reunirse y termina su visita
Actividad 8: En caso de tener equipo informtico guardado dicha persona debe
realizar la solicitud para retiro del mismo.
Actividad 9: La persona se retira del Instituto Municipal del deporte y la
Recreacin de tulu y se realiza el evalo de las actividades que
realizo estando dentro de la misma.
Poltica de Seguridad: Es responsabilidad de los usuarios almacenar su
informacin nicamente en la particin del disco duro diferente destinada para
archivos de programas y sistemas operativos, para el caso Instituto Municipal del
deporte y la Recreacin de tulu maneja la unidad D:\ como resguardo.
Responsable: Empleado de Instituto Municipal del deporte y la Recreacin de tulu
Procedimiento 4: Almacenar la informacin importante en la particin del disco
designada por Instituto Municipal del deporte y la Recreacin de tulu para
almacenamiento de la informacin relevante
Actividad 1: El empleado del Instituto Municipal del deporte y la Recreacin de
tulu realiza sus labores diarias como documentos, cartas, pagos,
transacciones, etc.
Actividad 2: En el momento en el que el empleado desee realizar el resguardo de
la informacin que est trabajando debe dirigirse a la particin
designada para esta informacin.
Actividad 3: Normalmente la empresa para ellos denomina a la particin D:\, para
que as el empleado tenga la facilidad de guardar la informacin.
Actividad 4: El empleado realiza en resguardo de la informacin en la particin
designada y esta es compartida de manera inmediata con los altos
cargos que necesiten dicha informacin.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 29 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Actividad 5: Una vez almacenada la informacin en el resguardo el empleado no
debe almacenar la informacin en otra particin.
Actividad 6: El empleado se asegura de no dejar la informacin a merced de un
posible atacante o interesado en la informacin mismo que est
manejando.
Poltica de Seguridad: Cuando se requiera realizar cambios mltiples de los
equipo de cmputo derivado de reubicacin de lugares fsicos de trabajo o cambios
locativos, stos debern ser notificados con anticipacin al rea de computo del
Instituto Municipal del deporte y la Recreacin de tulu.
Responsable: rea de Computo del Instituto Municipal del deporte y la Recreacin
de tulu.
Procedimiento 5: Realizar movilizacin de equipo informtico fsico de una oficina
a otra.
Actividad 1: El empleado detecta la falencia en la ubicacin de cierto equipo
informtico lo que le impide realizar de manera correcta o ms
eficiente sus labores diarias.
Actividad 2:
El empleado realiza la solicitud con la oficina de seguridad
informtica del Instituto Municipal del deporte y la Recreacin de
tulu con el fin de realizar el traslado de un equipo de cmputo bien
sea a su conveniencia, o por necesidad de reubicacin para un
mejor desempeo.
Actividad 3: El rea de Computo del Instituto Municipal del deporte y la
Recreacin de tulu se hace cargo de la situacin y analiza la
solicitud evaluando el posible traslado del material de cmputo.
Actividad 4: Una vez el rea de Computo del Instituto Municipal del deporte y la
Recreacin de tulu decide aprobar el traslado, este documento es
entregado al empleado.
Actividad 5:
El empleado se dirige a el rea de Computo con el fin de que se le
designe un personal con conocimientos para el traslado de los
equipos debido a que este puede no tener el conocimientos
necesario para realizarlo, y en caso de tenerlo, esta no es su labor
dentro de la organizacin.
Actividad 6: El personal encargado del traslado del equipo moviliza los equipos
de tal manera que el empleado responsable de dicho equipo no
interviene en la movilizacin.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 30 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Actividad 7: Una vez instalado, se verifica el normal funcionamiento del equipo
informtico y el empleado llena una forma en la cual se informa de la
reinstalacin exitosa del equipo.
Actividad 8: El empleado vuelve a sus labores matutinas.
Poltica de Seguridad: Los empleados debern asegurarse de respaldar en copias
de respaldo o backups la informacin que consideren relevante cuando el equipo
sea enviado a reparacin y borrar aquella informacin sensible que se encuentre en
el equipo, previendo as la prdida involuntaria de informacin, derivada del proceso
de reparacin.
Responsable: Empleado de Instituto Municipal del deporte y la Recreacin de tulu
Procedimiento 6: Realizar el mantenimiento de los equipos de cmputos
responsabilidad de los empleados.
Actividad 1: El empleado es informado del mantenimiento del equipo por lo que
debe proceder a salvar la informacin relevante que tenga en dicha
computadora.
Actividad 2: El personal de mantenimiento realiza un informe de los equipos a
realizar el mantenimiento y all informan el almacn donde debern
salvar toda esta informacin relevante de cada equipo.
Actividad 3: Una vez salvada la informacin los equipos son llevados a oficina de
nuevas tecnologas donde son previstos para el mantenimiento.
Actividad 4: El personal previsto para el mantenimiento, realiza el mantenimiento
preventivo de los equipos y una vez terminado, procede a la entrega
de los equipos a cada responsable.
Actividad 5: Una vez reubicado nuevamente el equipo en su sitio
correspondiente el empleado salva la informacin que tena en dicho
equipo.
Actividad 6: Salvada la informacin de cada equipo se restablece el normal
funcionamiento de los equipos.
Actividad 7: Se pasa informe de los equipos que entraron en mantenimiento por
alguna anormalidad en los prximos das.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 31 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Poltica de Seguridad: El empleado deber dar aviso inmediato al director del
Instituto Municipal del deporte y la Recreacin de tulu, y a la oficina que realice el
manejo de inventario la perdida, robo o extravo de equipos de cmputo, perifricos
o accesorios bajo su responsabilidad.
Responsable: Empleado de Instituto Municipal del deporte y la Recreacin de tulu
Procedimiento 7: Informar acerca perdida, robo o extravo de equipo de computo
Actividad 1: El empleado detecta la prdida de un equipo de cmputo asignado a
su responsabilidad.
Actividad 2: El empleado informa al director, acerca del suceso para que este
realice el comienzo de la investigacin.
Actividad 3:
Se realiza un estudio de la situacin, y un anlisis de posibles
traslados de equipos, mantenimiento y dems para ubicar el equipo
informtico extraviado.
Actividad 4: Se realiza evaluacin de la raz del extravo de equipo, que puede
ser perdida o robo.
Actividad 5: En caso de presentarse una prdida de equipo se hace responsable
la persona encargada de vigilar dicho equipo informtico.
Actividad 6: En caso de robo tambin se responsabilizara del robo a la persona
encargada del equipo, en cuyo caso se inicia una investigacin con
todo el personal cercano a dicha rea.
Actividad 7: Se notifica a autoridades de seguridad pblica en caso de que el
robo o prdida sea de un equipo de alto coste o alta importancia
para el instituto.
Actividad 8: Se contina con el normal funcionamiento hasta que se encuentra el
culpable y se levan a cabo las sanciones correspondientes.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 32 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Poltica de Seguridad: Instituto Municipal del deporte y la Recreacin de tulu
velar porque todos los usuarios de los sistemas de Informacin estn registrados
en su Base de Datos para la autorizacin de uso de dispositivos de almacenamiento
externo Memorias USB, Discos porttiles, Unidades de Cd y DVD Externos, para el
manejo y traslado de informacin o realizacin de copias de seguridad o Backups.
No est permitido realizarse sin autorizacin.
Responsable: Empleado de Instituto Municipal del deporte y la Recreacin de tulu
Procedimiento 8: Solicitar el uso de medio de almacenamiento alternativo para
traslado de informacin.
Actividad 1:
En caso de un dao en un equipo en un momento de altas
transacciones de informacin el empleado debe solicitar
autorizacin para uso de medio de almacenamientos alternos para
movilizar informacin.
Actividad 2: El director del Instituto Municipal del deporte y la Recreacin de
tulu analiza la situacin y por ello autoriza el uso de USB, cds, etc.
Actividad 3: El empleado procede a movilizar la informacin.
Actividad 4: Esta informacin es salvada en otro equipo y la informacin
permaneciente en el medio extrable.
Actividad 5: El empleado realiza las transacciones con la informacin salvada y
de esta manera, continua con sus labores.
Actividad 6:
Una vez recuperado el equipo de cmputo con fallo, ser el mismo
equipo de mantenimiento del Instituto Municipal del deporte y la
Recreacin de tulu quien esta vez devuelva toda la informacin al
equipo.
Poltica de Seguridad: El empleado que requiera la instalacin o actualizacin de software que sea propiedad de Instituto Municipal del deporte y la Recreacin de tulu, debern justificar su uso y solicitar su autorizacin por el director del Instituto Municipal del deporte y la Recreacin de tulu con el visto bueno de inmediato, indicando el equipo de cmputo donde se instalar el software y el perodo de tiempo que ser usado.
Responsable: Empleado de Instituto Municipal del deporte y la Recreacin de tulu
Procedimiento 9: Utilizacin de software licenciado por la empresa.
Actividad 1:
Cuando un empleado considera la necesidad de la utilizacin de
dicho software informa al director de seguridad del Instituto
Municipal del deporte y la Recreacin de tulu dicho acontecimiento.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 33 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Actividad 2: El director del Instituto Municipal del deporte y la Recreacin de
tulu aprueba la instalacin de dicho software para este empleado.
Actividad 3:
El empleado debe indicar por medio de una carta el equipo al cual
desea se le instalen los programas, as como la lista de programas
que desea le sean instalados para poder agilizar sus labores.
Actividad 4:
El rea de Computo del Instituto Municipal del deporte y la
Recreacin de tulu, ser el encargado de realizar la instalacin de
estos programas y verificar el exitoso funcionamiento de cada uno
de ellos en los equipos de cmputo.
Actividad 5:
El empleado llena una forma en la que comprueba la exitosa
instalacin de los programas y el normal funcionamiento de cada
uno de ellos.
4.11.6 Existencia de documentacin de los procedimientos detallados para restaurar
equipos, aplicativos, sistemas operativos, bases de datos, archivos de informacin,
entre otros.
4.11.7 Existencia de documentacin de pruebas peridicas de la implementacin del
plan de recuperacin ante desastre para verificar tiempos de respuesta, capitalizando
los resultados de la pruebas para el afinamiento del plan.
4.11.8 Actualizacin peridica del plan de recuperacin ante desastre de acuerdo con
los cambios en plataformas tecnolgicas (hardware, software y comunicaciones),
para reflejar permanentemente la realidad operativa y tecnolgica de la compaa.
4.11.9 Disponibilidad de copias de respaldo para restablecer las operaciones en las
reas de misin crtica definidas.
4.12 Internet
4.12.1 El acceso a Internet provisto a los usuarios y funcionarios del Instituto
Municipal del Deporte y la Recreacin de Tulu es exclusivamente para las
actividades relacionadas con las necesidades del cargo y funciones desempeadas.
4.12.2 Todos los accesos a Internet tienen que ser realizados a travs de los canales
de acceso provistos por Instituto Municipal del Deporte y la Recreacin de Tulu, en
caso de necesitar una conexin a Internet alterna o especial, sta debe ser notificada
y aprobada por el rea de Cmputo.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 34 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
4.12.3 Los usuarios de Internet del Instituto Municipal del Deporte y la Recreacin de
Tulu tienen que reportar todos los incidentes de seguridad informtica a el rea de
Cmputo inmediatamente despus de su identificacin, indicando claramente que se
trata de un incidente de seguridad informtica.
4.12.4 Los usuarios del servicio de navegacin en Internet, al aceptar el servicio
estn aceptando que:
Sern sujetos de monitoreo de las actividades que realiza en Internet, saben que
existe la prohibicin al acceso de pginas no autorizadas, saben que existe la
prohibicin de transmisin de archivos reservados o confidenciales no autorizados.
Saben que existe la prohibicin de descarga de software sin la autorizacin del rea
de cmputo.
La utilizacin de Internet es para el desempeo de sus funciones y cargo en el
Instituto Municipal del Deporte y la Recreacin de Tulu y no para propsitos
personales.
5. Acceso Lgico
Poltica: Cada usuario y funcionario son responsables de los mecanismos de control
de acceso que les sean proporcionado; esto es, de su Cuenta de usuario
Administrador y contrasea necesarios para acceder al equipo de computo y a la
infraestructura tecnolgica del Instituto Municipal del Deporte y la Recreacin de
Tulu, por lo que se deber mantener de forma confidencial. Solo el encargado de
rea de computo las debe saber.
El permiso de acceso a la informacin que se encuentra en la infraestructura
tecnolgica del Instituto Municipal del Deporte y la Recreacin de Tulu debe ser
proporcionado por el dueo de la informacin, con base en el principio de Derechos
de Autor el cual establece que nicamente se debern otorgar los permisos mnimos
necesarios para el desempeo de sus funciones.
5.1 Controles de acceso lgico
5.1.1 Todos los usuarios de servicios de informacin son responsables por el de
usuario y contrasea que recibe para el uso y acceso de los recursos.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 35 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
5.1.2 Todos los usuarios debern autenticarse por los mecanismos de control de
acceso provistos por el rea de Cmputo antes de poder usar la infraestructura
tecnolgica de la Instituto Municipal del Deporte y la Recreacin de Tulu.
5.1.3 Los usuarios no deben proporcionar informacin a personal externo, de los
mecanismos de control de acceso a las instalaciones e infraestructura tecnolgica de
Instituto Municipal del Deporte y la Recreacin de Tulu, a menos que se tenga el
visto bueno del dueo de la informacin y de el rea de Cmputo y la autorizacin
del Secretario General o de su Jefe inmediato.
5.1.4 Cada usuario que acceda a la infraestructura tecnolgica de Instituto Municipal
del Deporte y la Recreacin de Tulu debe contar con un identificador de usuario (ID)
nico y personalizado. Por lo cual no est permitido el uso de un mismo ID por varios
usuarios.
5.1.5 Los usuarios y funcionarios son responsables de todas las actividades
realizadas con su usuario (ID). Los usuarios no deben divulgar ni permitir que otros
utilicen sus identificadores de usuario, al igual que tiene prohibido utilizar el ID de
otros usuarios.
MANUAL DE ACCESO LGICO
POLTICA: Cada usuario se responsabilizar por el mecanismo de acceso lgico
asignado, esto es su identificador de usuario y contrasea necesarios para acceder a
la informacin e infraestructura de Instituto Municipal del Deporte y la Recreacin de
Tulu, es responsabilidad de cada usuario la confidencialidad de los mismos.
El acceso a la informacin que fluye dentro de la infraestructura tecnolgica del
Instituto Municipal del Deporte y la Recreacin de Tulu se otorga en base a las
funciones del usuario, se debern otorgar los permisos mnimos necesarios para el
desempeo del cargo o rol.
CONTROLES DE ACCESO LGICO: Todos los usuarios de equipos
computacionales son responsables de la confidencialidad del identificador de usuario
(ID) y el password o contrasea de su equipo, as como de aplicaciones especiales
que requieran el mismo control de acceso lgico.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 36 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
Todos los usuarios debern autenticarse con los mecanismos de control de acceso
lgico antes de tener acceso a los recursos de la Infraestructura tecnolgica en
Instituto Municipal del Deporte y la Recreacin de Tulu. No est permitido a los
usuarios proporcionar informacin a personal externo sobre los mecanismos de
control de acceso a los recursos e infraestructura tecnolgica de la Institucin, salvo
el caso de autorizacin expresa por el Director.
El identificador de usuario dentro de la red es nico y personalizado, no est
permitido el uso del mismo identificador de usuario por varios miembros del personal.
El usuario es responsable de todas las actividades realizadas con su identificador de
usuario, por tanto no debe divulgar ni Permitir que terceros utilicen su identificador, al
igual que est prohibido usar el identificador de usuario de otros.
ADMINISTRACIN DE PRIVILEGIOS: Todo cambio en roles, funciones o cargo que
requiera asignar al usuario atributos para acceso a diferentes prestaciones de la
infraestructura tecnolgica en Instituto Municipal del Deporte y la Recreacin de
Tulu debe ser notificado a el rea de Cmputo o el Jefe inmediato correspondiente
al rea.
5.2 Administracin de privilegios
5.2.1 Cualquier cambio en los roles y responsabilidades de los usuarios debern ser
notificados a el rea de Cmputo, para el cambio de privilegios.
Funciones especficas Manual de Roles
Para todo el personal integrante del Instituto Municipal del Deporte y la Recreacin
de Tulu:
1. Administrar y evaluar los requerimientos de informacin de las distintas reas del
Instituto Municipal del Deporte y la Recreacin de Tulu.
2. Coordinar con el Equipo con el Apoyo del rea de Cmputo en la definicin,
factibilidad, especificacin y validacin de requerimientos.
3. Vigilar la correcta aplicacin de los estndares y metodologas de desarrollo de
sistemas de informacin, as como sugerir las mejoras que sean necesarias.
4. Coordinar con los lderes usuarios de las distintas areas para la definicin de
requerimientos funcionales y no funcionales de los sistemas de informacin.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 37 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
5. Revisar, aprobar y mantener actualizados los manuales de los sistemas, de
operacin y de usuario, concerniente a los sistemas de informacin y tecnologas
(TICS).
6. Elaborar reportes de avance y estrategias de ejecucin de los proyectos de
desarrollo de sistemas de informacin.
7. Desarrollar e implementar los sistemas de informacin que requieran las
dependencias, de acuerdo a las prioridades establecidas en el plan de
necesidades.
8. Efectuar el mantenimiento y actualizacin de los sistemas de informacin,
analizando los problemas o planteamientos de modificacin, garantizando su
correcta sincronizacin.
9. Participar en los procesos de adquisicin y pruebas de las soluciones informticas
de terceros. As mismo, supervisar las actividades realizadas por terceros en el
desarrollo e implementacin de soluciones informticas.
10. Apoyar en la capacitacin al usuario final y al personal designado de la Seccin
Soporte a Usuarios, en el adecuado uso de los sistemas de informacin,
proporcionando material de soporte y los medios necesarios para tales fines.
11. Administrar en forma eficiente los recursos asignados a las reas, velando por la
seguridad de accesos y operatividad, y protegiendo la informacin de ingreso, salida
y almacenamiento.
12. Participar en la elaboracin de la propuesta del Plan de Actividades de la
Oficina, en los planes de contingencia y en la implementacin de acciones que
minimicen el riesgo de Tecnologas de Informacin.
13. Verificar que el rea de computo, atienda oportuna y eficientemente los
requerimientos de las dems reas, supervisando el cumplimiento de las
metodologas..
14. Cumplir y hacer cumplir las medidas correctivas recomendadas por los entes
de vigilancia y control tanto externo como interno.
15. Atender asuntos relativos al servicio de soporte tcnico de primer nivel para la
solucin de problemas referidos a hardware, Software y servicios de computacin
personal, efectuados por el personal de la Oficina y por todas las dependencias
institucionales.
17. Atender consultas tcnicas, operativas y funcionales a los usuarios,
incentivndolos en el mejor uso y operacin de las tecnologas de informacin.
18. Ejecutar, instalar y configurar, los equipos de cmputo y perifricos en las
oficinas Administrativas cumpliendo con los procedimientos aprobados.
MANUAL DE POLITICAS Y ESTANDARES
EN SEGURIDAD INFORMATICA
Cdigo:
CP-CI
Versin: 01 Fecha de aprobacin:
03 de Febrero de 2009
Pgina 38 de 58
Carrera 26 Nmero 28-12 Tel: (2) 2243535 www.tulua.gov.co email: [email protected]
23. Determinar y gestionar de inmediato las actividades a realizar para generar
una solucin y puesta en marcha en el menor tiempo posible de todos los sistemas
de informacin colapsados en el desastre.
24. Administrador de la Red: Actualmente vivimos en una sociedad que depende
de los Sistemas de Informacin (Tics), que se encuentran tanto en la parte interna
como externa de toda organizacin, sin embargo para poder acceder a esta
informacin es necesario que estos sistemas se encuentren interconectados por
medio de un recurso llamado red. Red, recurso constituido por equipos, de medios
de comunicacin, adicionalmente, las redes internas se conectan a otras redes
(corporativas, Internet), lo que hace que se vuelvan ms complejas y robustas. Es
por ello, que se hace necesario el uso de herramientas para dar el soporte adecuado
y ptimo. La ISO International Standards Organization, cre un modelo de
administracin, donde se definen claramente las funciones de los administradores de
redes.
5.3 Equipo desatendido
5.3.1 Los usuarios debern mantener sus equipos de cmputo con controles de
acceso como contraseas previamente instalados y autorizados por el rea de
Cmputo cuando no se encuentren en su lugar de trabajo.
5.4 Administracin y uso de contraseas
5.4.1 La asignacin de contraseas debe ser realizada de forma individual, por lo que
el uso de contraseas compartidas est prohibido,
MANUAL USO DE CONTRASEAS.
El uso de contrasea es un aspecto fundamental de la seguridad de los recursos
informticos; una contrasea mal ele