Embed Size (px)
Citation preview
Políticas y Lineamientos Institucionales
Seguridad Informática
VAF-PI-001-UDES
Propósito:
Su propósito garantizar la seguridad de todo el sistema informático, minimizando lavulnerabilidad del mismo y detectando tanto riesgos como violaciones, de manera quese logre un servicio de prevención y seguridad informática seguro, transparente,confiable.
Objetivos:
a) Determinar lineamientos para el buen uso y aprovechamiento de los recursos,suministros, servicios de tecnología de información y comunicaciones.
b) Dar a conocer a todos los colaboradores de la institución recomendaciones parael uso de los recursos Informáticos (Hardware y Software).
c) Garantizar el fiel cumplimiento de las normas y leyes nacionales einternacionales que rigen el ambiente Informático.
d) Prevenir el uso inapropiado de los recursos informáticos para no exponer lainformación de la Institución a ciertos riesgos como: ataques de virus, perdidade información, accesos no autorizados a los sistemas, que puedencomprometer la integridad, disponibilidad y confidencialidad de la Información.
Lineamientos Generales:
1. Estos lineamientos aplican al personal administrativo, contratistas, consultoresinternos, externos y otros trabajadores que tengan contacto con la informaciónperteneciente a la Universidad de Santander.
2. Todos los recursos informáticos proporcionados por la Universidad de Santanderson propiedad exclusiva de la misma. Cualquier información almacenada por losusuarios en los diferentes recursos, es propiedad de la UDES y no deberán sereliminados, copiados o compartidos con personas ajenas a la UDES sinjustificación o previa autorización.
3. Todos los equipos de cómputo deben estar incluidos en el dominio de laUniversidad.
Lineamientos Generales:
4. Todos los equipos de cómputo de la universidad deben tener instalado unantivirus, dicho antivirus debe estar autorizado por el líder del subproceso deServicio a Usuario.
5. El usuario es responsable de ejercer el uso apropiado de los recursosinformáticos de conformidad con las políticas y directrices de la Gestión TIC
6. Los servicios de la red institucional de la Universidad de Santander son deexclusivo uso académico, de investigación, técnicos y para gestionesadministrativas.
7. Los administradores de los servidores institucionales que están a su cargo. sonlos responsables de la seguridad de la información.
Lineamientos Generales:
8. El subproceso de Seguridad Informática entregará directrices a los diferentesadministradores de los servidores institucionales, sobre buenas prácticas pararespaldar la información, de acuerdo con la caracterización de la información.
9. El Jefe de Seguridad Informática es el responsable de respaldar la informaciónalmacenada en los equipos informáticos de los usuarios de acuerdo con lacaracterización de la información.
10. Todo usuario de la red institucional de la Universidad de Santander, gozará deabsoluta privacidad sobre su información o la información que provenga de susacciones, salvo en casos en que se vea involucrado en actos ilícitos ocontraproducentes para la seguridad de la red institucional, sus servicios ocualquier otra red ajena a la Universidad.
Lineamientos Generales:
11. Cualquier usuario que encuentre o considere que existe una falla de seguridaden los sistemas informáticos de la institución, está obligado a reportarlo a losadministradores del sistema o al subproceso de Seguridad Informática.
12. Los usuarios no deben acceder a los datos, documentos, correos electrónicos ylos servidores de la UDES a los que no tienen autorización.
13. Las actividades relacionadas con la Seguridad Informática, auditorías ymantenimiento, solo pueden ser realizadas por personal autorizado por elsubproceso de Seguridad informática.
Lineamientos Generales:
14. Cuando las estaciones de trabajo estén encendidas, pero el usuario debaausentarse de su puesto de trabajo o realizando otras actividades que no incluyanla interacción con el equipo, la pantalla deberá estar bloqueada o se debe cerrar lasesión, actividad que es responsabilidad del usuario.
15. El usuario deberá proteger su equipo de trabajo, evitando que personas ajenasa su cargo puedan acceder a la información almacenada en él, mediante unaherramienta de bloqueo temporal (protector de pantalla), protegida por unacontraseña, el cual deberá activarse en el preciso momento en que el usuario debaausentarse.
Cuentas de Usuario (Su uso y Privacidad)
1. Todos los accesos a los diferentes sistemas de la UDES, son controladosmediante credenciales de usuario y contraseña, las cuales son de responsabilidad yuso exclusivo del usuario al cual han sido asignadas.
2. Si se requiere hacer uso de los sistemas institucionales, se solicitará formalmenteal administrador del sistema correspondiente, las credenciales de acceso.
3. La longitud mínima de caracteres permisibles en una contraseña se establece en8 caracteres y la longitud máxima de caracteres permisibles en una contraseña seestablece en 16 caracteres, siendo esta una combinación alfanumérica, mayúsculay minúscula.
Cuentas de Usuario (Su uso y Privacidad)
4. Se debe evitar el guardar o escribir las contraseñas en cualquier papel osuperficie o dejar constancia de ellas, a menos que ésta sea guardada en un lugarseguro.
5. El subproceso de seguridad informática velará por la privacidad de lascomunicaciones personales, para lo cual monitoreará la carga de tráfico de la redy cuando sea necesario tomará acción para proteger la integridad y operatividad desus redes.
6. El usuario es responsable de evitar la práctica de establecer contraseñasrelacionadas con alguna característica de su persona o relacionado con su vida o lade parientes, como fechas de cumpleaños o alguna otra fecha importante.
Cuentas de Usuario (Su uso y Privacidad)
7. El usuario es responsable exclusivo de mantener a salvo su contraseña. Losusuarios no deben compartir su(s) cuenta(s), contraseñas, números deidentificación personal (PIN), tokens de seguridad, información similar odispositivos utilizados para propósitos de identificación y autorización.
Uso de Correo electrónico1. Los correos electrónicos que sean enviados o recibidos bajo los dominios decorreo institucional udes.edu.co, cucuta.udes.edu.co, campus.udes.edu.co,valledupar.udes.edu.co serán de uso exclusivo de la institución.
2. Los usuarios deben reportar al Subproceso de Seguridad Informática todos loscasos de mensajes de correos basura, tales como distribución de material ilegal uofensivo, ataques de phishing, entre otros.
3. Está totalmente prohibido el envío de correo electrónico de pornografía decualquier tipo, propaganda política o cualquiera que discrimine a una o variaspersonas.
4. En caso que un usuario detecte que se haya leído y/o entrado a su información ocuentas de correo de su computadora sin la respectiva autorización, deberánotificar Seguridad Informática.
Manejo y seguridad de medios de almacenamiento y dispositivos extraíbles
1. En ningún momento se deberá dejar información sensible de robo, manipulacióno acceso visual, sin importar el medio en el que esta se encuentre, de forma quepueda ser alcanzada por terceros o personas que no deban tener acceso a estainformación, por ende, el usuario responsable de la estación o terminal de trabajono debe utilizar medios de almacenamiento extraíbles
2. Para el respaldo de la información institucional no se deben utilizar medios dealmacenamiento extraíbles, toda vez que pueden facilitar el robo o manipulación dela información por terceros o personal no autorizado. Las copias de seguridaddeben hacerse en sistemas de respaldo centralizados, administrados por elsubproceso de Seguridad Informática. En casos excepcionales, podrá autorizarseel uso de estos dispositivos temporalmente.
Manejo y seguridad de medios de almacenamiento y dispositivos extraíbles
3. En casos excepcionales, cuando se utilicen dispositivos de almacenamientoextraíbles tales como: USB, Discos duros portátiles, CD, DVD el usuario debe tomarlas precauciones necesarias verificando con programas antivirus que dichosdispositivos se mantienen libre de virus o cualquier otra amenaza.
Consideraciones sobre auditorías de seguridad informática
1. Cualquier acción que amerite la ejecución de una auditoría a los sistemasinformáticos, deberá ser documentada y establecida su aplicabilidad y objetivos dela misma, así como razones para su ejecución, personal involucrado en la misma ysistemas implicados.
2. La auditoría no deberá modificar en ningún momento el sistema de archivos delos sistemas implicados, en caso de haber necesidad de modificar algunos sedeberá hacer un respaldo formal del sistema o sus archivos.
3. Las auditorías que se realicen deben estar enmarcadas dentro de lo establecidoen el Programa de Auditorías VAF-PG-002-UDES.
Consideraciones sobre auditorías de seguridad informática
4. En caso de emergencia, solamente el personal del subproceso de SeguridadInformática serán los encargados de hacer rastreo de toda la data y del informe deforense.
5. Está prohibido para cualquier usuario interceptar paquetes de datos, modificar,leer (utilizando elementos tales como sniffers, SNMP, RMON, y otros) los datoselectrónicos privados (ya sea en tránsito a través de la red o almacenados dentrode una computadora) sin el consentimiento escrito del propietario legítimo.
6. Solo personal autorizado por la Vicerrectoría Administrativa y Financiera, se lepermitirá modificar, eliminar, leer datos electrónicos (ya sea en tránsito a través dela red o almacenados dentro de una computadora).
Acceso o uso de Internet
1. No está permitido el acceso a páginas relacionadas con pornografía, drogas,alcohol, webproxys, hacking y/o cualquier otra página que vaya en contra de laética moral, las leyes vigentes o políticas aquí establecidas.
2. No está permitido el acceso y el uso de servicios P2P como ares, Kazaa, emule yotros similares, que tengan como objetivo crear comunidades para intercambiarinformación o bien para fines diferentes a las actividades propias de la Universidadde Santander.
3. Está prohibido descargar de manera fraudulenta archivos protegidos por laautoridad intelectual de derecho de autor, cualquier descarga será responsabilidadtotal de la persona que realiza la misma y vendrá sujeto a sanciones.
Acceso o uso de Internet
4. El área de Seguridad Informática realizará el monitoreo permanente de: tiemposde navegación y páginas visitadas por parte de los funcionarios y/o terceros
5. Cada uno de los usuarios es responsable de dar un uso adecuado a este recursoy en ningún momento puede ser usado para realizar prácticas ilícitas o malintencionadas que atenten contra terceros, la legislación vigente y los lineamientosde seguridad de la información, entre otros.
6. El uso de Internet no considerado dentro de las restricciones anteriores, espermitido siempre y cuando se realice de manera ética, razonable, responsable, noabusiva y sin afectar la productividad ni la protección de la información de laUniversidad de Santander.
Red Inalámbrica
1. Está prohibido la interceptación de las comunicaciones y la utilización de técnicasde escucha de cualquier señal de comunicaciones sin la previa autorización porparte de la Dirección de Tecnologías de la Información y las Comunicaciones.
2. No se debe realizar intentos de ingreso no autorizado a cualquier dispositivo osistema de la red inalámbrica. Cualquier tipo de estos intentos no autorizados esuna práctica ilegal y no es permitido por la institución.
3. Toda información transferida a través de este medio viaja de manera INSEGURA,la Dirección de Tecnologías de la Información y las Comunicaciones (TIC) no esresponsable por el robo de la información a través de este tipo de conexión.
Red Inalámbrica4. La Dirección de Tecnologías de la Información y Comunicaciones (TIC) podrásuspender o desactivar temporalmente el servicio o cancelarlo de manera definitivapara determinado equipo, cuando detecte que el usuario haya hecho uso indebidodel servicio. La reactivación deberá ser autorizada por Vicerrectoría de enseñanzapara el caso de alumnos y docentes, y por la Vicerrectoría Administrativa yFinanciera para el caso de usuarios administrativos y externos.
5. La Dirección de Tecnologías de la Información y las Comunicaciones (TIC) estáfacultada para realizar rastreos periódicos, análisis de tráfico y los controles queconsidere necesarios para mantener la operación de la red inalámbrica en buenestado y detectar usos indebidos del servicio. A solicitud escrita de la autoridadcompetente o cuando exista alguna orden judicial para responder ante procesoslegales, la dirección de TIC proporcionará la información transmitida en la redinalámbrica que esté disponible para su acceso de conformidad con las leyesaplicables.
Referencias
Universidad de Santander.(2021).Políticas Institucionales de los procesosy subprocesos del SGC-VAF v. 10
https://sgc-vaf.udes.edu.co/component/phocadownload/category/7-politicas-institucionales
