Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Política de Seguridad Informática

No description
by

Johanna Portilla

on 12 December 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Política de Seguridad Informática

Actualizada mediante la Resolución 487 el 14 de septiembre de 2012
Activos de Información
* Físicos:
Archivadores, documentación, Centro de cómputo, servidores, módems, impresoras, etc.
*Servicios de TI:
Antivirus, correo electrónico, orfeo, etc.
*Humanos:
Servidores públicos, contratistas, consultores, proveedores, etc.

OBJETIVO
Preservar la confidencialidad, disponibilidad e integridad de la información, protegiéndola contra amenazas internas, externas, accidentales o deliberadas, mediante la implementación de buenas prácticas tendientes a reducir los riesgos identificados.
Principios
- Protección de la información
- Protección de los recursos
- Autorización de usuarios
- Responsabilidad
- Disponibilidad
- Integridad
- Confianza
- Esfuerzo de equipo
- Soporte primario para la seguridad de la información
- Revisiones de seguridad en sistemas de información
- Compromiso de la dirección con la seguridad de la información
Clasificación de la información
Políticas aplicables a los usuarios
Acceso a los recursos de información
Protección de los recursos
Accesibilidad a los recursos
Uso de los recursos de información
Devolución de los recursos
Se debe custodiar y cuidar la documentación e información que este bajo su cuidado
Se debe vigilar y salvaguardar los equipos, muebles y bienes
El acceso a los sistemas y recursos de información solamente se debe permitir si existe autorización formal por parte del jefe inmediato
Se debe garantizar que el acceso y uso de la información sea exclusivamente para actividades relacionadas con funciones propias de la entidad
Una vez se dé por terminada la relación laboral de un servidor público, contratista o tercero, se deben retirar todos los derechos de acceso a los recursos a los cuales estuvo autorizado
Se debe realizar una devolución de activos
Lo que debes hacer!
Lo que no debes hacer!
Los sistemas de cómputo entregados por la CGN deben ser utilizados únicamente para propósitos propios de la entidad y son propiedad del Estado, por esta razón el uso que se le dé a los mismos es de carácter oficial
El envío de información a través de cualquier medio electrónico, servicio o aplicación (como por ejemplo orfeo o correo electrónico) y que requiera un proceso de autenticación, es decir, usuario y contraseña, será responsabilidad de cada usuario.
Instalar o utilizar juegos en los equipos de cómputo de la Contaduría General de la Nación.
Instalar algún software sin previa autorización del GIT de Apoyo Informático
Utilizar herramientas de hardware o software que puedan ser empleadas para evaluar vulnerabilidades o comprometer la seguridad de los sistemas de información o la información de otros usuarios.
Navegar en sitios Web de uso social, que no generan valor a la entidad: sitios como youtube, myspace, facebook, hi5, entre otros. Tampoco se permitirá el uso de herramientas en línea y directas de chat, video chat, etc., tipo messenger, yahoo, skype.
Uso de emisoras de radio por Internet, debido al incremento en el uso de ancho de banda. Se exceptúa para los equipos del Contador General de la Nación, los Subcontadores y el Secretario General.
No se permite la descarga por Internet de archivos de video, música, etc., por afectar el rendimiento de la red y uso del enlace de Internet.
Administración de contraseñas
a)Las contraseñas no deben ser construidas con menos de ocho (8) caracteres.

b)No utilizar contraseñas que sean únicamente palabras (aunque sean extranjeras), o nombres (el de usuario, personajes de ficción, miembros de la familia, mascotas, ciudades, marcas, lugares u otro relacionado).

c)No utilizar contraseñas completamente numéricas con algún significado (teléfono, fechas).

d)Elegir una contraseña que mezcle caracteres especiales y alfanuméricos (mayúsculas minúsculas).

e)No usar palabras existentes en el diccionario, ni las mismas escritas en orden inverso.
Elección de contraseñas
Protección de contraseñas
a)Cada contraseña es de uso personal e intransferible. No revelar la contraseña de su cuenta a otros servidores públicos y/o terceros.

b)Está prohibido intentar ingresar a los servicios de cómputo y comunicaciones por medio de la cuenta de otro funcionario.

c)Se debe notificar inmediatamente al GIT de Apoyo Informático si se sospecha que alguien ha obtenido acceso sin autorización a su cuenta y debe modificarla en forma inmediata.

d)El usuario es responsable por la custodia de su contraseña. Debe evitar en lo posible digitar la contraseña mientras alguna persona está observando lo que escribe en el teclado. Es una norma tácita de buen usuario no mirar el teclado mientras alguien teclea su contraseña.

e)Está prohibido enviar la contraseña por el correo electrónico, (teniendo en cuenta que este no es un medio seguro) y mencionarla en una conversación.

f)Se deben utilizar contraseñas diferentes en cada uno de los sistemas a los cuales tengan acceso, solo se podrán utilizar contraseñas similares en diferentes sistemas cuando el GIT de Apoyo Informático haya informado directa y expresamente que esto no compromete la seguridad de la información de la entidad.
Cumplimiento ante requerimientos legales y contractuales
* No se debe copiar el software suministrado por la entidad en medios de almacenamiento, transferir dicho software a otros computadores o suministrar dicho software a terceras partes sin la autorización escrita del Coordinador del GIT de Apoyo informático.
* No está permitido distribuir copias de esta política a personas externas a la entidad, sin la autorización respectiva por parte del personal encargado de la seguridad informática.
* Se debe cumplir a cabalidad lo establecido en el Código Único Disciplinario (Ley 734 de 2002). Los Artículos 269A, 269B, 269C, 269D, 269E, 269F, 269G, 269H del Capitulo Primero y los Artículos 269I y 269J del Capítulo segundo del Código Penal, y con todas las leyes, normas, decretos y sentencias que sean aplicables.
Es un medio formal de comunicación de la CGN.
Todos los mensajes de correo electrónico deben enviarse mostrando al final el nombre completo, cargo, el nombre de la entidad y que se está actuando en representación de la Contaduría General de la Nación.

Ningún usuario deberá permitir a otro enviar correos utilizando su cuenta, sin aclarar el remitente.

Cuando un servidor público requiere ausentarse de la entidad por un período superior a 8 días, debe programar el correo electrónico para que automáticamente responda a los remitentes indicando fecha de llegada, nombre y dirección de correo electrónico de la persona encargada durante su ausencia.
Antes de enviar un correo deberá verificarse que esté dirigido solamente a los interesados y/o a quienes deban conocer o decidir sobre el tema, evitando duplicidades y otros inconvenientes.

Está prohibida la reproducción y envío de mensajes tipo cadena o similares; puede ocasionar suspensión del servicio temporal o definitivamente, aunque el iniciador haya sido otra persona.

No se deben transmitir o reproducir mensajes escritos y /o gráficos que no atañen directamente a asuntos propios de la entidad.
La responsabilidad del contenido de los mensajes de correo será del usuario remitente. El receptor no deberá alterar los mensajes sin la autorización del emisor.

El contenido de los mensajes de correo se considera confidencial y solo perderá este carácter en casos de investigaciones administrativas, judiciales o incidentes relacionados con seguridad informática.

No se deberá utilizar el correo electrónico para enviar mensajes políticos, avisos clasificados, publicidad comercial o boletines cuya información no guarde relación directa con los intereses de la entidad.
Uso del correo electrónico
Seguridad en los equipos móviles y control de virus
Es responsabilidad de cada usuario utilizar el software para diagnosticar la presencia de virus en la información que provenga por diferentes medios Este proceso debe ser realizado antes de abrir o ejecutar los archivos así como antes de divulgarlos, con el fin de no propagar virus informáticos u otros programas maliciosos al interior de la red.

Los sistemas de cómputo que se sospechen han sido comprometidos por virus o software malicioso deben ser apagados y desconectados de la red en forma inmediata e informar al área de soporte técnico del GIT de Apoyo Informático.

Durante los viajes, los equipos (y medios) no se deben dejar desatendidos en lugares públicos.

Un computador personal handheld, equipo portátil, teléfono inteligente o cualquier otro sistema de cómputo usado para actividades de la CGN que contenga información sensible, no se deberá prestar a nadie y será responsabilidad exclusiva del funcionario que lo tenga asignado.
Confidencialidad de la información
Monitoreo y Evaluación del Cumplimiento
Todos usuarios, en primera instancia, tienen la responsabilidad de monitorear sus estaciones de trabajo en forma permanente.

La CGN se reserva el derecho de monitorear o inspeccionar en cualquier momento todos los sistemas de información de la entidad.

No se deben tener expectativas de privacidad asociadas con la información que se almacene o envíe a través de los sistemas de información.

La CGN conserva el derecho de retirar de los sistemas de información cualquier material que pueda ser considerado ofensivo o potencialmente ilegal.

El GIT de Apoyo Informático no leerá o facilitará a otra persona que lea el contenido de ningún archivo de correo electrónico del personal sin obtener el permiso del usuario o, en su defecto, del jefe inmediato, cuando exista un motivo razonable para hacerlo.

Se reserva el derecho de interceptar o vigilar cualquier tráfico de información que pase a través del sistema de la entidad como parte de sus actividades de vigilancia, mantenimiento, investigación, auditoría o seguridad del desempeño del sistema.
Pantalla despejada y escritorio despejado

d) Restricciones en los tiempos de conexión para brindar seguridad adicional.

e) Por fuera del horario regular de trabajo, cuando los funcionarios no se encuentren en su puesto de trabajo, deben limpiar sus escritorios y áreas de trabajo de cualquier información que utilicen para el desarrollo de sus labores y asegurar en forma apropiada la información confidencial.

f) La información considerada como sensitiva o crítica debe siempre permanecer bajo llave y no debe dejarse desatendida en ningún sitio durante otros turnos de trabajo o el fin de los mismos.
Control de acceso
Si un usuario está utilizando información clasificada como confidencial, no podrá abandonar su PC, terminal o estación de trabajo sin antes salirse de los sistemas o aplicaciones pertinentes o bloquear la estación de trabajo con el comando Windows + L.
Si la información no está clasificada como pública, ésta no podrá ser proporcionada a ninguna entidad externa sin un acuerdo de confidencialidad
En ausencia de instrucciones claras o precisas, se considerará la información como de uso interno exclusivamente.
Si se confirma o se sospecha que la información o datos confidenciales o privados, son extraviados o revelados a entidades no autorizadas, el Propietario de la información o quien evidenció el hecho deberá notificar inmediatamente al encargado de la seguridad informática de la entidad, con el objeto de realizar un control efectivo de posibles daños y tomar las acciones necesarias
Toda la información clasificada como confidencial y para uso interno, debe ser etiquetada (marcada) con base en estándares definidos. Se buscará que estas etiquetas sean mantenidas en buen estado y visibles de tal forma que se puede identificar la clasificación de la información de la entidad en cualquier momento.
Cualquier medio de almacenamiento de cómputo que contenga información confidencial o de uso interno, debe ser etiquetado de acuerdo con la clasificación.

Toda la documentación impresa, escrita a mano o documento legible que contenga información clasificada como confidencial o de uso interno, debe tener una etiqueta que indique el nivel apropiado de sensibilidad con base en la clasificación.
seguridadinformatica@contaduria.gov.co

Toda computadora personal debe estar desconectada de la red cuando no sea utilizada por periodos prolongados de tiempo (vacaciones, enfermedades, viajes largos, entre otros).

Los usuarios deben tener acceso sólo a la información que sea necesaria para el desarrollo de sus actividades y para la cual tengan autorización.
SEGURIDAD INFORMÁTICA
Se debe tener conocimiento de los requerimientos de seguridad, de los procedimientos para proteger equipos sin atención, de su responsabilidad, y la implementación de dicha protección.

Se deben adoptar como mínimo las siguientes prácticas al dejar desatendido su equipo:


a) Terminar la sesión activa al finalizar, a menos que se pueda asegurar por medio de un software que proporcione protección: p. ej: “Protector de Pantalla” o “bloqueo del equipo” con Windows XP o Windows 7.

b) Asegurar los equipos por medio de una llave ó control equivalente (p. ej: contraseña de acceso).

c) Cualquier equipo portátil debe ser debidamente asegurado si se va a dejar desatendido. Es necesario guardarlo bajo llave y/o utilizar una guaya de seguridad.
Alcance y actualización
Ésta Política de Seguridad Informática aplica a todos los activos de información de propiedad de la Contaduría General de la Nación, con excepción de aquellos que hayan sido específicamente definidos por el Contador General de la Nación o los Subcontadores, con el fin de divulgar información pública.
Full transcript