tc-gt-g-04_politicas_seguridad_informatica_y_apoyo_tecnologico.doc

Anuncio
POLITICAS DE SEGURIDAD INFORMATICA Y APOYO TECNOLOGICO
MINISTERIO DEL INTERIOR
BOGOTA, 31 DE MAYO DE 2013
Código: TC-GT-G-04
GUÍA
Versión: 02
POLITICAS DE SEGURIDAD INFORMATICA
Fecha Elaboración:
Y APOYO TECNOLOGICO
31/05/2013
Vigente Desde:
24/09/2013
1. OBJETIVO
Determinar el apoyo tecnológico y el conjunto de instrucciones o normas generales necesarias para la
operación, disponibilidad, integridad, protección y confiabilidad de los activos informáticos del
Ministerio del Interior, así como establecer la cultura del uso adecuado de la tecnología
2. ALCANCE
Inicia con la descripción de las políticas, las orientaciones y directrices que aplican para la
administración y operación de los activos informáticos de la entidad, finaliza con las políticas de
apoyo tecnológico.
3.
DEFINICIONES
Activos informáticos. Este término hará referencia a hardware, software e información producida y
procesada por los diferentes Sistemas de Información del Ministerio del Interior
Aplicación. Programa informático que lleva a cabo una función con el objeto de ayudar a un usuario
a realizar una tarea determinada.
Encripción. Relacionado con el proceso de cifrar, codificar o poner en clave. La criptografía: es el
arte o ciencia de cifrar y descifrar información utilizando técnicas que hagan posible el intercambio de
mensajes de manera segura que sólo puedan ser leídos por las personas a quienes van dirigidos. En
informática se refiere a que ofrecen medios seguros de comunicación en los que el emisor oculta o
cifra el mensaje antes de transmitirlo para que sólo un receptor autorizado (o nadie) pueda
descifrarlo.
Computador. Es una máquina electrónica diseñada para la manipulación y procesamiento de datos,
capaz de desarrollar complejas operaciones a gran velocidad. Tareas que manualmente requieren
días de trabajo, el computador puede hacerlas en solo fracciones de segundo.
Confiabilidad. Posibilidad que tiene un sistema de realizar las funciones para las que fue diseñado
sin fallos. Es el grado en que un sistema o equipo funciona correctamente a través del tiempo.
Confidencialidad. Es la propiedad de la información donde únicamente está autorizada para ser
leída o entendida por algunas personas o entidades.
Configuración. Conjunto de datos que determina el valor de algunas variables de un programa o
sistema de software. Estas opciones generalmente son cargadas al inicio de los programas o de las
sesiones de red.
Direcciones IP Internas. Número que identifica de manera lógica y jerárquica a una interfaz de un
dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet
Protocol).
Disponibilidad. Es la fracción de tiempo en que un sistema o un equipo opera para ser utilizado por
sus usuarios.
Página 2 de14
Código: TC-GT-G-04
GUÍA
Versión: 02
POLITICAS DE SEGURIDAD INFORMATICA
Fecha Elaboración:
Y APOYO TECNOLOGICO
31/05/2013
Vigente Desde:
24/09/2013
Evento. Cualquier suceso significativo del sistema o de un programa que requiere que se notifique a
los usuarios o que se agregue una entrada a un registro.
Handover. Compendio de las especificaciones técnicas, funcionales y administrativas de un Sistema
de Información.
Información cifrada (ciframiento). Datos que se transcriben en guarismos (algoritmos), letras o
símbolos, de acuerdo con una clave, para ocultar su contenido.
Integridad. Se refiere al estado de corrección y completitud de la información frente a unas reglas
predefinidas o restricciones.
Intrusión. Delito informático conocido también como "penetración no autorizada de sistemas". La
comete quien ingresa en un sistema informático al que no tiene autorización para acceder,
posiblemente mediante la violación o previa desactivación de sus mecanismos de autenticación y
seguridad.
Monitor. Exhibe las imágenes que elabora de acuerdo con el programa o proceso que se esté
ejecutando, puede ser videos, gráficos, fotografías o texto. Es la salida por defecto donde se
presentan los mensajes generados por el computador, como errores, solicitud de datos, etc.
Plan de Contingencia. Definición de acciones a realizar, recursos a utilizar y personal a emplear en
caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade los recursos
informáticos o de transmisión de datos de una organización.
Recursos Informáticos. Se refiere a aquellos que están al alcance del Grupo de Sistemas, tales
como acceso a los servicios de red y aplicaciones.
Seguridad Física. Hace referencia a las barreras físicas y mecanismos de control en el entorno de
un sistema informático, para proteger el hardware de amenazas físicas. La seguridad física contrasta
con la seguridad lógica.
Servicios de red. Se refieren a los servicios de mensajería de voz y datos (telefonía y correo
electrónico), Intranet e Internet.
Sistema de Monitoreo. Es un servicio que permite controlar y proteger la empresa. Permite ver y
tomar medidas en tiempo real sobre los sucesos ocurridos en las áreas monitoreadas. Este sistema
Puede utilizar recursos humanos y tecnológicos como circuitos cerrados de televisión, cámaras,
software, hardware etc.
Tipificación de cambios. Identificación del cambio de acuerdo a unos parámetros previamente
establecidos.
Topología. Se define como la cadena de comunicación que los nodos que conforman una red usan
para comunicarse. Determina únicamente la configuración de las conexiones entre dichos nodos.
Página 3 de14
Código: TC-GT-G-04
GUÍA
Versión: 02
POLITICAS DE SEGURIDAD INFORMATICA
Fecha Elaboración:
Y APOYO TECNOLOGICO
31/05/2013
Vigente Desde:
24/09/2013
Zonas críticas o de alto riesgo. Las zonas que contienen elementos vulnerables que al sufrir daños,
o alteraciones afectan seriamente los recursos y desempeño de la compañía.
Zonas de Circulación. Son zonas definidas para tránsito peatonal o de vehículos. La circulación
puede ser abierta o restringida dependiendo de la necesidad de la organización.
Zonas restringidas. Son las zonas donde no todos los usuarios pueden entrar, Requieren de un
mecanismo de identificación y validación de acceso.
4. SIGLAS
N/A
5. NORMATIVIDAD
5.1. CONSTITUCIÓN
5.2. LEYES

Ley 1273 de 2009: Por medio de la cual se modifica el Código Penal, se crea un nuevo bien
jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan
integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones,
entre otras disposiciones.
5.3. DECRETOS
5.4. RESOLUCIONES
5.5. OTRAS

NTC ISO 17799:2005 "Seguridad de la Información" Punto 10.5 “Las copias de respaldo de
información y software deberían ser realizadas y probadas con regularidad, conforme a la política
de seguridad y de continuidad de negocio” y su sistema de gestión asociado ISO 27001 basado
en el código de buenas prácticas y objetivos de control. Para este procedimiento se tiene en
cuenta el Anexo A de la Norma, dominio de Control A.10 Gestión de comunicaciones y
operaciones - Numerales: A.10.5. Respaldo (back-up), A.10.5.1. Back-up o respaldo de la
información, cuyo objetivo es mantener la integridad y disponibilidad de los servicios de
tratamiento de información y comunicación.

NTCGP 1000: Sistema de Gestión de la Calidad para la Rama Ejecutiva del Poder Público y otras
Entidades Prestadoras de Servicios.

ISO 9001: Sistema de gestión de la calidad.
 Código Único Disciplinario (Ley 734 de 2002): En especial con el artículo 34 sobre los deberes
de los servidores públicos, en sus numerales 4, Utilizar los bienes y recursos asignados para el
desempeño de su empleo, cargo o función, las facultades que le sean atribuidas, o la información
reservada a que tenga acceso por razón de su función, en forma exclusiva para los fines a que
están afectos”, 5, “Custodiar y cuidar la documentación e información que por razón de su empleo,
cargo o función conserve bajo su cuidado o a la cual tenga acceso, e impedir o evitar la
sustracción, destrucción, ocultamiento o utilización indebidos.” y 10, “Realizar personalmente las
Página 4 de14
Código: TC-GT-G-04
GUÍA
Versión: 02
POLITICAS DE SEGURIDAD INFORMATICA
Fecha Elaboración:
Y APOYO TECNOLOGICO
31/05/2013
Vigente Desde:
24/09/2013
tareas que le sean confiadas, responder por el ejercicio de la autoridad que se le delegue, así
como por la ejecución de las órdenes que imparta, sin que en las situaciones anteriores quede
exento de la responsabilidad que le incumbe por la correspondiente a sus subordinados.
6. DESARROLLO.
Al Grupo de Sistemas le competen distintas funciones referentes al soporte y mantenimiento de la
plataforma tecnológica, administración de sistemas de información, administración de bases de datos,
gestión de recursos de tecnología y administración de la red; por esta razón es necesario emitir
políticas particulares para el conjunto de recursos y facilidades informáticas, de la infraestructura de
comunicaciones y servicios asociados a ellos, provistos por la Oficina de Información Pública del
Interior, a través del Grupo de Sistemas.
Descripción de las políticas de Seguridad Informática:
1. Acceso a la Información

Todos los servidores públicos que laboran para el MINISTERIO DEL INTERIOR deben tener
acceso sólo a la información necesaria para el desarrollo de sus actividades. Es
responsabilidad de los diferentes directores o Jefes de Grupo solicitar el acceso indispensable
de acuerdo con el trabajo realizado por el personal a su cargo.

Las prerrogativas otorgadas para el uso de los sistemas de información de la Entidad y
servicios de red y correo deben terminar inmediatamente después de que el trabajador cesa
de prestar sus servicios a la Entidad.

Los proveedores o terceras personas que lo requieran, deben tener acceso a la información
específica durante el periodo del tiempo requerido para llevar a cabo las funciones aprobadas.
Es necesario que al Grupo de Sistemas se remita copia de los respectivos contratos para la
creación de las cuentas de usuario.

Únicamente a las aplicaciones que tengan registros de auditoría se les efectuará un
seguimiento a los accesos realizados por los usuarios a la información de la entidad mediante
el registro de eventos en los diversos recursos informáticos con el objeto de minimizar el
riesgo de pérdida de integridad de la información. Cuando se presenten eventos que pongan
en riesgo la integridad, veracidad y consistencia de la información se deberá documentar y
realizar las acciones tendientes a su solución. Las nuevas aplicaciones deberán implementar
el registro de auditoría y su correspondiente módulo de administración.
2.
Administración de Cambios

Todo cambio (creación y modificación de programas, pantallas y reportes) que afecte los
recursos informáticos, debe ser requerido por los usuarios de la información y aprobado
formalmente por el Grupo de Sistemas, al nivel de jefe inmediato o a quienes estos
formalmente deleguen. El responsable de la administración de los accesos tendrá la facultad
de aceptar o rechazar la solicitud.
Página 5 de14
Código: TC-GT-G-04
GUÍA
Versión: 02
POLITICAS DE SEGURIDAD INFORMATICA
Fecha Elaboración:
Y APOYO TECNOLOGICO
31/05/2013
Vigente Desde:
24/09/2013

Bajo ninguna circunstancia un cambio puede ser aprobado, realizado e implantado por la
misma persona o área.

Para la administración de cambios se efectuará el procedimiento correspondiente definido por
el proceso de GESTION DE TECNOLOGIA, de acuerdo con el tipo de cambio solicitado en la
plataforma tecnológica.

Cualquier tipo de cambio en la plataforma tecnológica debe quedar formalmente documentado
desde su solicitud hasta su implantación. Este mecanismo proveerá herramientas para
efectuar seguimiento y garantizar el cumplimiento de los procedimientos definidos.

Todo cambio a un recurso informático de la plataforma tecnológica relacionado con
modificación de accesos, mantenimiento de software o modificación de parámetros debe
realizarse de tal forma que no disminuya la seguridad existente.
3. Seguridad de la Información

Los servidores públicos que laboran en el MINISTERIO DEL INTERIOR son responsables de
la información que manejan y deberán cumplir los lineamientos generales y especiales dados
por la entidad y por la normativa que la proteja, tendiente a evitar pérdidas, accesos no
autorizados, exposición y utilización indebida de la misma.

Los servidores públicos deben suministrar la información de la entidad a los entes externos de
acuerdo a la normativa, siempre y cuando no sea de reserva, caso en el cual no podrá actuar
sin las autorizaciones respectivas.

Todo servidor público que utilice los Recursos Informáticos, tiene la responsabilidad de velar
por la integridad, confidencialidad, disponibilidad y confiabilidad de la información que maneje,
especialmente si dicha información está protegida por reserva legal o ha sido clasificada como
confidencial y/o crítica.

Como regla general, la información de políticas, normas y procedimientos de seguridad se
deben revelar únicamente a los servidores públicos y entes externos que lo requieran, de
acuerdo con su competencia y actividades a desarrollar según el caso respectivamente.
4. Seguridad para los Servicios Informáticos

El sistema de correo electrónico, grupos de charla y utilidades asociadas de la entidad debe
ser usado únicamente para el ejercicio de las funciones y actividades de competencia de cada
servidor público o pasante.

Los servidores públicos que hayan recibido aprobación para tener acceso a Internet a través
de los recursos de la entidad, deberán aceptar, respetar y aplicar las políticas y prácticas de
uso de Internet.
Página 6 de14
Código: TC-GT-G-04
GUÍA
Versión: 02
POLITICAS DE SEGURIDAD INFORMATICA
Fecha Elaboración:
Y APOYO TECNOLOGICO
31/05/2013
Vigente Desde:
24/09/2013

En cualquier momento que un usuario de la red del Ministerio publique un mensaje en un
grupo de discusión de Internet, en un boletín electrónico, o cualquier otro sistema de
información público, este mensaje debe ir acompañado de palabras que indiquen claramente
que su contenido no representa la posición de la entidad.

Si los usuarios sospechan que hay infección por un virus, deben inmediatamente llamar al
Grupo de Sistemas soporte técnico, y no utilizar el computador y desconectarlo de la red.

El Grupo de Sistemas debe proveer material para recordar regularmente a los servidores
públicos, acerca de sus obligaciones y de las buenas practicas con respecto a la seguridad de
los recursos informáticos.
5. Seguridad en Recursos Informáticos
Todos los recursos informáticos deben cumplir como mínimo con lo siguiente:

Administración de usuarios: Establece como deben ser utilizadas las claves de ingreso a los
recursos informáticos. Establece parámetros sobre la longitud mínima de las contraseñas, la
frecuencia con la que los usuarios deben cambiarlas y los períodos de vigencia de las
mismas, entre otras. Lo anterior se encuentra configurado en los controladores del dominio del
Ministerio.

Rol de Usuario: Los sistemas operacionales, bases de datos y aplicativos deberán contar con
roles predefinidos o con un módulo que permita definir roles, definiendo las acciones
permitidas por cada uno de estos. Deberán permitir la asignación a cada usuario de posibles y
diferentes roles. También deben permitir que un rol de usuario desarrolle la administración de
usuarios.

Plan de auditoría: Hace referencia a las pistas o registros de los sucesos relativos a la
operación.

Las puertas traseras: Las puertas traseras son entradas no convencionales a los sistemas
operacionales, bases de datos y aplicativos. Es de suma importancia aceptar la existencia de
las mismas en la mayoría de los sistemas operacionales, las bases de datos y los aplicativos
para efectuar las tareas necesarias para contrarrestar la vulnerabilidad que ellas puedan
generar.

El control de acceso a todos los Sistemas de Información de la entidad debe realizarse por
medio de códigos de identificación y palabras claves o contraseñas únicos para cada usuario.

Las palabras claves o contraseñas de acceso a los recursos informáticos, que designen los
servidores públicos del Ministerio del Interior son responsabilidad exclusiva de cada uno de
ellos y no deben ser divulgados a ninguna persona.

Se prohíbe tener identificaciones de usuario genéricos basados en sus funciones de trabajo.
Las identificaciones de usuario deben únicamente identificar individuos específicos.
Página 7 de14
Código: TC-GT-G-04
GUÍA
Versión: 02
POLITICAS DE SEGURIDAD INFORMATICA
Fecha Elaboración:
Y APOYO TECNOLOGICO
31/05/2013
Vigente Desde:
24/09/2013


Todo sistema debe tener definidos los perfiles de usuario de acuerdo con la función y cargo de
los usuarios que accedan a dicho sistema.
El nivel de superusuario de los sistemas críticos debe tener un doble control, de tal forma que
exista una supervisión a las actividades realizadas por el administrador del sistema.

Toda la información del servidor de base de datos que sea sensible, crítica o valiosa debe
tener controles de acceso para garantizar que no sea inapropiadamente descubierta,
modificada, borrada o no recuperable.

Antes de que un nuevo sistema se desarrolle o se adquiera, el área funcional en conjunto con
el funcionario del Grupo de Sistemas asignado, deberán definir las especificaciones y
requerimientos de seguridad necesarios.

La seguridad debe ser implementada por diseñadores y desarrolladores del sistema desde el
inicio del proceso de diseño de los sistemas hasta la puesta en producción de dicho sistema.

Los ambientes de desarrollo de sistemas, pruebas y producción deben permanecer separados
para su adecuada administración, operación, control y seguridad y en cada uno de ellos se
instalarán las herramientas necesarias para su administración y operación.
6. Seguridad en Comunicaciones

Las direcciones IP internas, topologías, configuraciones e información relacionada con el
diseño de los sistemas de comunicación, seguridad y cómputo de la entidad, deberán ser
considerados y tratados como información confidencial.

Todas las conexiones a redes externas de tiempo real que accedan a la red interna de la
entidad, deben pasar a través de los sistemas de defensa electrónica que incluyen servicios
de encripción y verificación de datos, detección de ataques e intentos de intrusión,
administración de permisos de circulación y autenticación de usuarios.

Todo intercambio electrónico de información o interacción entre sistemas de información con
entidades externas deberá estar soportado con un acuerdo o documento de formalización
basado en los lineamientos de la Agenda de Conectividad, las normas vigentes, estándares
internacionales, documentos de confidencialidad, políticas de seguridad y demás mecanismos
de protección de la información que apliquen según el caso.

Los computadores del Ministerio del Interior en los que se requiera conexión de manera
directa con otros de entidades externas, deberán hacerlo mediante conexiones seguras,
previa autorización del personal encargado del tema en el Grupo de Sistemas siempre y
cuando cumplan con la política de seguridad informática.

Toda información secreta y/o confidencial que se transmita por las redes de comunicación de
la Entidad e Internet deberá estar cifrada.
Página 8 de14
Código: TC-GT-G-04
GUÍA
Versión: 02
POLITICAS DE SEGURIDAD INFORMATICA
Fecha Elaboración:
Y APOYO TECNOLOGICO
31/05/2013
Vigente Desde:
24/09/2013
7. Seguridad para Usuarios y Terceros

Los dueños de los Recursos Informáticos que no sean propiedad de la entidad y deban ser
ubicados y administrados por ésta, deben garantizar la legalidad del recurso para su
funcionamiento. Adicionalmente deben cumplir con todas las normas de seguridad informática
vigentes para el Ministerio, de acuerdo con la Norma para el Acceso de computadores
personales.

Cuando se requiera utilizar recursos informáticos u otros elementos de propiedad del
Ministerio del Interior para el funcionamiento de recursos que no sean propios de la entidad y
que deban ubicarse en sus instalaciones, los recursos serán administrados por el Grupo de
Sistemas.

Los equipos de usuarios terceros que deban estar conectados a la Red, deben cumplir con
todas las normas de seguridad informática vigentes en la Entidad.
8. Software utilizado

Todo software que utilice el Ministerio del Interior será adquirido de acuerdo con las normas
vigentes y siguiendo los procedimientos específicos de la Entidad o reglamentos internos.

Todo el software de manejo de datos que utilice el Ministerio dentro de su infraestructura
informática, deberá contar con las técnicas más avanzadas para garantizar la integridad de los
datos.

Debe existir una cultura informática al interior del Ministerio que garantice el conocimiento por
parte de los funcionarios públicos, contratistas y pasantes de las implicaciones que tiene el
instalar software ilegal en los computadores del Ministerio.

Existirá un inventario de las licencias de software del Ministerio del Interior que permita su
adecuada administración y control evitando posibles sanciones por instalación de software no
licenciado.
9. Actualización de Hardware

Cualquier cambio que se requiera realizar en los equipos de cómputo de la entidad (cambios
de procesador, adición de memoria o tarjetas) debe tener previamente una evaluación técnica
y autorización del Grupo de Sistemas.

La reparación técnica de los equipos, que implique la apertura de los mismos, únicamente
puede ser realizada por el personal del Grupo de Sistemas – soporte técnico y se
documentará cuando no exista garantía vigente de las partes a reemplazar.

Los computadores e impresoras no deben reubicarse sin la aprobación previa del Grupo de
Sistemas
Página 9 de14
Código: TC-GT-G-04
GUÍA
Versión: 02
POLITICAS DE SEGURIDAD INFORMATICA
Fecha Elaboración:
Y APOYO TECNOLOGICO
31/05/2013
Vigente Desde:
24/09/2013
10. Almacenamiento y Respaldo

La información que es soportada por la infraestructura de tecnología informática del Ministerio
del Interior deberá ser almacenada y respaldada de acuerdo con las normas emitidas de tal
forma que se garantice su disponibilidad.

La entidad definirá la custodia de los respaldos de la información que se realizará
externamente con una compañía especializada en este tema.

El almacenamiento de la información deberá realizarse interna y/o externamente a la Entidad,
esto de acuerdo con la importancia de la información para la operación del Ministerio.

El área dueña de la información en conjunto con el Grupo de Sistemas definirá la estrategia a
seguir para el respaldo de la información.

Los funcionarios públicos son responsables de los respaldos de su información en los
computadores, siguiendo las indicaciones técnicas dictadas por la oficina de informática.
11. Contingencia

Todos los sistemas automáticos que operen y administren información sensitiva, valiosa o
crítica para la Entidad, como son sistemas de aplicación en producción, sistemas operativos,
sistemas de bases de datos y comunicaciones deben generar pistas (adición, modificación,
borrado) de auditoría.

Todos los archivos de auditorías deben proporcionar suficiente información para apoyar el
monitoreo, control y auditorias.

Todos los archivos de auditorías de los diferentes sistemas deben preservarse por periodos
definidos según su criticidad y de acuerdo a las exigencias legales para cada caso.

Todos los archivos de auditorías deben ser custodiados en forma segura para que no puedan
ser modificados y para que puedan ser leídos únicamente por personas autorizadas; los
usuarios que no estén autorizados deben solicitarlos al Grupo de Sistemas.

Todos los computadores de la Entidad deben estar sincronizados y tener la fecha y hora
exacta para que el registro en la auditoria sea correcto.
12. Seguridad Física

Las centrales de conexión o centros de cableado deben ser catalogados como zonas de alto
riesgo, y su acceso debe ser restringido.

Los equipos de cómputo (PCs, servidores, equipos de comunicaciones, entre otros) deben
moverse o reubicarse de acuerdo a las instrucciones del Grupo de Sistemas.
Página 10 de14
Código: TC-GT-G-04
GUÍA
Versión: 02
POLITICAS DE SEGURIDAD INFORMATICA
Fecha Elaboración:
Y APOYO TECNOLOGICO
31/05/2013
Vigente Desde:
24/09/2013

Sólo se permite conectar al sistema eléctrico regulado los equipos de cómputo (CPU y
monitor)
13. Administración de la Seguridad

Cualquier brecha de seguridad o sospecha de mala administración de los servicios de la red
corporativa (internet, intranet, correo, etc.), sistemas de información o los recursos
informáticos de cualquier nivel (local o corporativo) deberá ser comunicada por el funcionario
que la detecta, en forma inmediata y confidencial al Coordinador del Grupo de Sistemas.

Los servidores públicos del Ministerio del Interior que realicen las labores de administración
del recurso informático son responsables por la implementación, permanencia y
administración de los controles sobre los Recursos Informáticos.

El Jefe de la Oficina de Información Pública del Interior divulgará, las políticas, estándares y
procedimientos en materia de seguridad informática. Efectuará el seguimiento al cumplimiento
de las políticas de seguridad y reportará a la Secretaría General, los casos de incumplimiento
con copia a la Oficina de Control Interno.
Descripción de las políticas de Apoyo Tecnológico
1. De la Instalación de Equipo de Cómputo.

Todo equipo de cómputo (computadores, estaciones de trabajo, servidores, y equipo
accesorio), que esté o sea conectado a la red del Ministerio, o aquel que en forma autónoma
se tenga y que sea propiedad de la Entidad debe de sujetarse a las normas y procedimientos
de instalación que emite el Grupo de Sistemas.

El Grupo de Sistemas, en coordinación con el Grupo de Almacén deberá tener un registro de
todos los equipos propiedad del Ministerio.

Los funcionarios del Grupo de Sistemas deben dar cabal cumplimiento con las normas de
instalación, y notificaciones correspondientes de actualización, reubicación, reasignación, y
todo aquello que implique movimientos en su ubicación, de adjudicación, sistema y misión.

La protección física de los equipos corresponde a quienes en un principio se les asigna, y
corresponde notificar los movimientos en caso de que existan, a los Grupos de Almacén y de
Sistemas.
2. Del Mantenimiento de Equipo de Cómputo.

Al Grupo de Sistemas le corresponde la realización del mantenimiento preventivo y correctivo
de los equipos, la conservación de su instalación, la verificación de la seguridad física, y su
acondicionamiento específico a que tenga lugar. Para tal fin debe emitir las normas y
procedimientos respectivos.
Página 11 de14
Código: TC-GT-G-04
GUÍA
Versión: 02
POLITICAS DE SEGURIDAD INFORMATICA
Fecha Elaboración:
Y APOYO TECNOLOGICO
31/05/2013
Vigente Desde:
24/09/2013

En el caso de los equipos atendidos por terceros el Grupo de Sistemas deberá coordinar y
velar por el cuidado y preservación del mismo.

Corresponde al Grupo de Sistemas dar a conocer las listas de las personas, que puedan tener
acceso a los equipos y brindar los servicios de mantenimiento básico, a excepción de los
atendidos por terceros.
3. De la actualización del equipo.

Todo el equipo de cómputo (computadores personales, estaciones de trabajo, servidores y
demás relacionados), y los de comunicaciones que sean propiedad del Ministerio del Interior
debe procurarse ser actualizado tendiendo a conservar e incrementar la calidad del servicio
que presta, mediante la mejora sustantiva de su desempeño.
4. Del control de acceso al equipo de cómputo.

Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su
competencia hacer buen uso de los mismos.
5. Del control de acceso local a la red.

El Grupo de Sistemas es responsable de proporcionar a los usuarios el acceso a los recursos
informáticos.

El acceso lógico a equipo especializado de cómputo (servidores, enrutadores, bases de datos,
etc.) conectado a la red es administrado por el Grupo de Sistemas de la Oficina de
Información Pública del Interior.
6. De control de acceso remoto.

El Grupo de Sistemas es el responsable de proporcionar el servicio de acceso remoto y las
normas de acceso a los recursos informáticos disponibles.
7. Del WWW y Servidor Web.

En concordancia con la LEY 1273 y de común acuerdo con las políticas generales de
informática, el Grupo de Sistemas es el responsable de instalar y administrar el o los
servidor(es) WWW. Es decir, sólo se permiten servidores de páginas autorizados por la
Oficina de Información Pública del Interior, a través del Grupo de Sistemas.

A los responsables de los servidores de Web corresponde la verificación de respaldo y
protección adecuada.

El Grupo de Sistemas tiene la facultad de llevar a cabo la revisión periódica de los accesos a
nuestros servicios de información, y conservar información del tráfico.
Página 12 de14
Código: TC-GT-G-04
GUÍA
Versión: 02
POLITICAS DE SEGURIDAD INFORMATICA
Fecha Elaboración:
Y APOYO TECNOLOGICO
31/05/2013
Vigente Desde:
24/09/2013
8. De la adquisición de software.

El Grupo de Sistemas promoverá y propiciará que la adquisición de software de dominio
público provenga de sitios oficiales y seguros.
9. De la instalación de software.

Corresponde al Grupo de Sistemas emitir las normas y procedimientos para la instalación y
supervisión del software básico para cualquier tipo de equipo.

En los equipos de cómputo, de comunicaciones y en dispositivos basados en sistemas de
cómputo, únicamente se permitirá la instalación de software con licenciamiento apropiado y de
acorde a la propiedad intelectual.

El Grupo de Sistemas es el responsable de brindar asesoría y supervisión para la instalación
de software informático y software de comunicaciones.

La instalación de software que desde el punto de vista del Grupo de Sistemas pudiera poner
en riesgo los recursos de la institución no está permitida.

Con el propósito de proteger la integridad de los sistemas informáticos y de
telecomunicaciones, es imprescindible que todos y cada uno de los equipos involucrados
dispongan de software de seguridad (antivirus, vacunas, privilegios de acceso, y otros que se
apliquen).

La protección lógica de los sistemas corresponde a quienes en un principio se les asigna y les
compete notificar cualquier movimiento al Grupo de Sistemas.
10. Proyectos Informáticos

Todo proyecto informático deberá estar enmarcado en una metodología definida para su
desarrollo, la cual puede ser RUP (Rational Unified Process) y la Gerencia del Proyecto estará
enmarcada en los principios del PMI (Project Management Institute). En todo proyecto que
surja en cualquier área del Ministerio del Interior y que no se considere por definición proyecto
informático, deberá indicar, si lo hay, el componente informático que incluye.

Todo proyecto informático que implique modificaciones al Plan Maestro de Sistemas, debe ser
aprobado por el Grupo de Sistemas.

Es prerrequisito para la iniciación de todo proyecto informático la definición de procedimientos,
organización y racionalización del sistema que se pretende automatizar.

Solamente cuando se cumplan todos los estándares de calidad vigentes, se haga entrega de
documentación de soporte y se formalice la aceptación del usuario de acuerdo con los
Página 13 de14
Código: TC-GT-G-04
GUÍA
Versión: 02
POLITICAS DE SEGURIDAD INFORMATICA
Fecha Elaboración:
Y APOYO TECNOLOGICO
31/05/2013
Vigente Desde:
24/09/2013
requerimientos iniciales, podrá considerarse finalizado un proyecto informático. Este aspecto
deberá tenerse en cuenta al contratar los desarrollos de software.

Todos los usuarios líderes de proyectos deberán ser capacitados a la iniciación de su proyecto
en la metodología establecida para el desarrollo de sistemas.

Todas las Dependencias del Ministerio del Interior deben adoptar como plataforma tecnológica
la descrita en el Plan Maestro de Sistemas.

La adquisición de aplicaciones informáticas o consultorías de tecnología debe tramitarse a
través del Grupo de Sistemas.

Los nuevos proyectos deberán regirse y poder aplicar las políticas de seguridad informática
del Ministerio del Interior.

Propender por la seguridad de la información, separando los ambientes de producción,
desarrollo y prueba de aplicaciones.
7. ANEXOS
N/A
8 CONTROL DE CAMBIOS.
FECHA
31/05/2013
CAMBIO
Se modifica la versión 01 de la Guía con el fin de
actualizar la imagen del Ministerio del Interior.
VERSIÓN
V02
Elaboró
Revisó y Aprobó
_________________________
Rosa E. Rodríguez Moreno
Profesional Especializado
__________________________
Edgar Mauricio Gracia Díaz
Jefe Oficina de Información Pública del Interior
TRD: 1301
Página 14 de14
Descargar