Contabilidad universitaria Septima edición de MCGrawsHill
Politica De Uso
1. UNIVERSIDAD NACIONAL DE COLOMBIA
VICERRECTORIA GENERAL
DIRECCIÓN NACIONAL DE INFORMÁTICA Y COMUNICACIONES
Política de uso adecuado de la tecnología para el procesamiento de
Información
El propósito de la Dirección Nacional de Informática al presentar una política de uso
adecuado de la tecnología para el procesamiento de información es apoyar la misión de la
Universidad Nacional de Colombia, establecer una cultura de sistemas abiertos (en el sentido
que equipos y programas de diferentes fabricantes puedan interconectarse) y busca mejorar la
disponibilidad, la integridad y la confiabilidad de la información procesada por dichos
sistemas. La dirección está comprometida en proteger a los miembros de la comunidad
universitaria y la universidad en general de acciones ilegales o dañinas que realicen terceros
con o sin intención.
La información en medio electrónico, los sistemas y las redes (que incluyen, pero no están
limitados, a equipos de interconexión, equipos de cómputo, software, sistemas operativos,
medios de almacenamiento, cuentas de correo electrónico, mensajes, páginas web, bases de
datos y archivos que pueden ser descargados a través de la red) pertenecen y son
responsabilidad de la universidad. Estos sistemas deben ser utilizados en las actividades
propias de la universidad y servir a los intereses de la nación colombiana.
La seguridad efectiva es un esfuerzo en equipo que involucra la participación y el soporte de
cada uno de los miembros de la universidad (empleados docentes, empleados administrativos,
estudiantes y contratistas) que estén involucrados con el manejo de información y con
sistemas de información.
Es un compromiso de cada persona usuaria de un computador y de las redes conocer estas
políticas y acatarlas durante el desarrollo de sus actividades.
2.0 Objetivo
El objetivo de estas políticas es describir el uso adecuado de los servicios, aplicativos,
equipos de computación y las redes dentro de la Universidad Nacional de Colombia. Estas
reglas buscan proteger a la información, las personas y la universidad.
Es importante anotar que el uso inapropiado de los recursos tecnológicos expone a la
universidad a riesgos innecesarios como ataque de virus, compromiso de las redes y sistemas,
problemas de índole jurídico nacionales, regionales e internacionales.
Política de uso adecuado de la tecnología para el procesamiento de Información.
Universidad Nacional de Colombia - 2003
1/6
2. 3.0 Alcance
Estas políticas están dirigidas a los empleados docentes, empleados administrativos,
estudiantes, contratistas, consultores y demás miembros de la comunidad universitaria,
incluyendo el personal vinculado con firmas que prestan servicios a la universidad que
utilicen tecnología de información. Estas políticas aplican a los equipos propios o arrendados
que tiene la universidad y a los equipos propiedad de personas que sean conectados a las
redes de la universidad. La garantía del cumplimiento de esta política será responsabilidad de
cada miembro de la comunidad universitaria pues su contravención afecta a toda la
universidad.
4.0 Política
4.1 Uso de la tecnología para el procesamiento de información y propiedad de la
información
1. Mientras la administración de la Universidad Nacional de Colombia tenga como
objetivo proporcionar un nivel razonable de privacidad en la red, los usuarios deben
estar conscientes que los datos que ellos crean y manipulan en los sistemas durante el
desarrollo normal de sus actividades son propiedad y responsabilidad de la
Universidad Nacional de Colombia. Debido a la necesidad de proteger y vigilar la red
y los sistemas de la Universidad Nacional de Colombia, la administración no puede
garantizar la confidencialidad absoluta de la información almacenada en cualquier
dispositivo perteneciente a la Universidad Nacional de Colombia.
2. Los miembros de la comunidad universitaria deben tener el criterio para decidir
cuando pueden hacer uso personal de los recursos de tecnología de información y
serán responsables de dicha decisión. De igual manera, las dependencias y oficinas
son las responsables de crear unas normas internas de uso personal de los servicios
de Internet y de la red de la Universidad. En ausencia de tales guías, los empleados,
docentes o estudiantes deben guiarse por las políticas de facultad o de sede sobre uso
personal, y si hay incertidumbre, los deben consultar con su superior inmediato.
3. Se recomienda el uso de criptografía para la información que los usuarios consideren
sensitiva o vulnerable. Para una guía de clasificación de la información puede seguir
la guía para la clasificación y el manejo de información confidencial de la
universidad, para una política sobre uso de criptografía en el correo electrónico y en
documentos siga la política para el uso de criptografía.
4. Para propósitos de mantenimiento de la red y de seguridad, las personas autorizadas
dentro de la universidad podrán monitorear equipos, sistemas y tráfico de red en
cualquier momento, de acuerdo con la política de auditoria de sistemas para
seguridad informática de la universidad.
5. La Universidad Nacional de Colombia se reserva el derecho para auditar las redes y
los sistemas periódicamente para garantizar el cumplimiento de esta política.
4.2 Información y seguridad
1. La interfaz de usuario para acceder a la información disponible en los sistemas debe
Política de uso adecuado de la tecnología para el procesamiento de Información.
Universidad Nacional de Colombia - 2003
2/6
3. ser clasificada como confidencial o no, de acuerdo con la guía para la clasificación y
el manejo de información confidencial de la universidad. Ejemplos posibles de
información que se considera confidencial son “los datos de los aspirantes a
programas de pregrado”, “las historias clínicas de los pacientes de Unisalud”,
“información de investigaciones académicas en curso cuyos resultados sean críticos
para la competitividad de la universidad y de los grupos de investigación” y “los
expedientes de la oficina de asuntos disciplinarios”. Las personas que estén
involucradas con este tipo de información deben seguir procedimientos adecuados
para evitar el acceso sin autorización a esta información.
2. Tenga claves seguras y no comparta su cuenta. Los usuarios autorizados son los
responsables por la seguridad de su cuenta y de su clave. Las claves de los usuarios
con privilegios deben cambiarse mínimo cada mes y las claves de los usuarios sin
privilegios deben cambiarse mínimo cada tres meses. Para informarse sobre las
características de una clave segura siga la guía características de un buen
password (clave).
3. Todos los PCs, laptops y estaciones de trabajo deben tener configurados un protector
de pantalla con clave y con un tiempo de espera máximo de 10 minutos o con
logging-off automático (para usuarios con Windows2000 o Windows NT) cuando el
equipo esté desatendido.
4. Utilice criptografía en cumplimiento de las políticas de uso adecuado de criptografía
de la universidad.
5. Debido a que la información contenida en computadores portátiles es especialmente
vulnerable, debe tenerse especial cuidado. Los laptops deben seguir la guía de
protección para la información procesada por equipos portátiles.
6. Los mensajes enviados a listas de correo o grupos de discusión por los
miembros de la comunidad universitaria y que utilicen las direcciones de
correo de la universidad deben contener un párrafo donde diga "las opiniones
expresadas en este mensaje son estrictamente personales y no es una posición
oficial de la Universidad Nacional de Colombia". Se recomienda que los
mensajes de correo electrónico y las cubiertas (cover) de fax con información
confidencial incluyan la siguiente nota:
CONFIDENCIAL. UNIVERSIDAD NACIONAL DE COLOMBIA.
La información contenida en este mensaje es confidencial y sólo puede ser utilizada
por la persona o la organización a la cual está dirigido. Si usted no es el receptor
autorizado, cualquier retención, difusión, distribución o copia de este mensaje está
prohibida y será sancionada por la ley. Si por error recibe este mensaje, favor
reenvíelo y borre el mensaje recibido inmediatamente.
7. Todos los equipos conectados a la red de la Universidad Nacional de Colombia,
aunque sea propiedad de la persona que lo utiliza, deben ejecutar regularmente el
software de antivirus permitido por la universidad con la base de datos de virus más
actualizada. Este punto puede ser modificado por una política de grupo de trabajo o
de dependencia con previa autorización de la oficina de sistemas de la sede.
8. Los miembros de la comunidad universitaria deben ser cuidadosos cuando abran los
anexos (attachments) colocados en los mensajes de correo electrónico que sean
Política de uso adecuado de la tecnología para el procesamiento de Información.
Universidad Nacional de Colombia - 2003
3/6
4. recibidos de remitentes desconocidos o sospechosos ya que pueden contener virus.
Siga la guía básica para controlar virus informáticos.
4.3. Usos inadecuados
Bajo ninguna circunstancia los miembros de la comunidad universitaria pueden utilizar los
recursos de la universidad para realizar actividades prohibidas por las normas de la
institución o por normas jurídicas nacionales o internacionales.
La siguiente es una lista de actividades que, sin ser completa, intenta proporcionar una
referencia de las actividades que se ajustan a la categoría de uso inadecuado para “sistemas y
redes”, y para “correo electrónico y sistemas de comunicaciones”.
4.3.1 Actividades en los sistemas y en la red
Las siguientes actividades están prohibidas:
1. Violaciones de los derechos de cualquier persona o institución protegidos por
derechos de autor, patentes o cualquier otra forma de propiedad intelectual. Entre
otras actividades, se incluye la distribución o instalación de software sin la licencia
de uso adecuada adquirida por la Universidad Nacional de Colombia (software
“pirata”).
2. Copia no autorizada de material protegido por derechos de autor que incluye, pero no
está limitado a, digitalización y distribución de imágenes o fotografías de cualquier
origen (revistas, libros, páginas web, etcétera), digitalización y distribución de
música, audio o video, distribución e instalación de software de los cuales ni la
universidad ni el usuario tienen la licencia debida.
3. Exportar software, información técnica, software y tecnologías para criptografía en
contra de leyes de control regionales o internacionales. Las dependencias apropiadas
(dirección de informática y oficina jurídica) deben ser consultadas antes de exportar
cualquier material de este tipo.
4. Introducción de software malicioso en la red o en los servidores (virus, worms,
ráfagas de correo electrónico no solicitado, etcétera).
5. Revelar la clave ó código de su cuenta a otros (por ejemplo, su cuenta de correo
electrónico, su usuario de bases de datos, su código para realizar llamadas de larga
distancia) o permitir su uso a terceros para actividades ajenas a la misión de la
universidad. La prohibición incluye familiares y cualquier otra persona que habite en
la residencia del funcionario, docente o estudiante cuando la actividad se realiza
desde el hogar (por ejemplo, computadores portátiles, teléfonos celulares o agendas
electrónicas propiedad de la universidad).
6. Utilizar la infraestructura de tecnología de información de la universidad para
conseguir o transmitir material con ánimo de lucro. Igualmente se prohíbe el uso del
sistema de comunicaciones de la universidad con el fin de realizar algún tipo de
acoso, difamación, calumnia o cualquier forma de actividad hostil.
7. Hacer ofrecimientos fraudulentos de productos o servicios cuyo origen sean los
recursos o servicios propios de la universidad.
Política de uso adecuado de la tecnología para el procesamiento de Información.
Universidad Nacional de Colombia - 2003
4/6
5. 8. Realizar actividades que contravengan la seguridad de los sistemas o que generen
interrupciones de la red o de los servicios. Entre las acciones que contravienen la
seguridad de la red se encuentran, aunque no están limitadas es estas, acceder a datos
cuyo destinatario no es usted, ingresar a una cuenta de un servidor o de una
aplicación para la cual no está autorizado. Para propósitos de esta sección la palabra
“interrupción” incluye, pero no está limitada a, capturar tráfico de la red, inundar de
pings la red (ping es un comando que permite verificar que otro equipo está activo
para la red), realizar spoofing de paquetes (spoofing es la falsificación la dirección de
red), ataques distribuidos de negación de servicios (agresiones desde la red que
buscan que servicios válidos como el correo electrónico o el servidor web se
“ocupen” y no atiendan a usuarios legítimos. Se conocen también como ataques
DDoS) o falsificar información de enrutamiento y de configuración de los equipos y
sistemas con el objetivo de aprovechar alguna vulnerabilidad.
9. Está prohibido explícitamente el monitoreo de puertos o análisis de tráfico de red con
el propósito de evaluar vulnerabilidades de seguridad. Las personas responsables de
la seguridad informática pueden realizar estas actividades cuando se realicen en
coordinación con el personal responsable de los servidores, los servicios, las
aplicaciones y de la red.
10. Ejecutar cualquier herramienta o mecanismo de monitoreo de la red de manera no
autorizada.
11. Burlar los mecanismos de seguridad, autenticación, autorización o de auditoria de
cualquier servicio de red, aplicación, servidor, o cuenta de usuario.
12. Interferir o negar el servicio a usuarios autorizados con el propósito de lesionar la
prestación del servicio o la imagen de la universidad (por ejemplo, ataques DDoS).
13. Uso de comandos o programas o el envío de mensajes de cualquier tipo con el
propósito de interferir o deshabilitar una sesión de usuario a través de cualquier
medio, local o remoto (Internet o Intranet).
14. Proporcionar información sobre los aspirantes, estudiantes, empleados
administrativos o docentes a personas o entidades externas que no tengan ningún tipo
de relación contractual, relación jurídico-administrativa o convenio con la
Universidad Nacional de Colombia donde se especifique que ellos pueden disponer
de dicha información.
4.3.2 Actividades con el correo electrónico y sistemas de comunicación
1. Enviar mensajes de correo no solicitados, incluyendo junk mail (material publicitario
enviado por correo) o cualquier otro tipo de anuncio comercial a personas que nunca
han solicitado ese tipo de material (email spam, mensajes electrónicos masivos, no
solicitados y no autorizados en el correo electrónico).
2. Cualquier forma de acoso a través de correo electrónico, teléfono o mensajes a
localizadores personales (beepers) sin importar el idioma, la periodicidad o tamaño
del mensaje.
3. Generar o enviar correos electrónicos a nombre de otra persona si autorización o
suplantándola.
4. Envío de mensajes de correo electrónico con una dirección de correo diferente al
verdadero remitente con el fin de realizar algún tipo de acoso, difamación u obtener
Política de uso adecuado de la tecnología para el procesamiento de Información.
Universidad Nacional de Colombia - 2003
5/6
6. información.
5. Crear o reenviar cartas cadena o cualquier otro esquema de “pirámide” de mensajes.
6. Colocar mensajes de correo iguales o similares no relacionados con las actividades de
la Universidad a un gran número de grupos de noticias (newsgroup spam, mensajes
electrónicos masivos, no solicitados y no autorizados en grupos de noticias).
4.3.3 Excepciones
Algunos miembros de la comunidad universitaria pueden estar exentos de seguir algunas de
las restricciones enumeradas en los numerales anteriores debido a las responsabilidades de su
cargo o a eventos no programados. Estas excepciones deben ser solicitadas y avaladas por la
Dirección Nacional de Informática, anexando la documentación respectiva y la excepción
será aprobada formalmente por la Vicerrectoría General.
5.0 Vigencia de la política
Esta política, y las guías que le acompañan, tendrá vigencia a partir de ________ ___ de
2003 y serán nuevamente revisadas en __________ ______ de 2004
6.0 Advertencia
Cualquier miembro de la comunidad universitaria que sea encontrado realizando actividades
que contravengan estas políticas podrá ser investigado y puede ser causal de sanciones, sin
perjuicio de las acciones disciplinarias y/o jurídicas que puedan ser adelantadas por las
entidades de control del estado.
7.0 Más información o sugerencias
Para consultar las diferentes guías mencionadas en este documento e información actualizada
sobre el programa de seguridad informática de la Universidad Nacional de Colombia visite
http://www.unal.edu.co/seguridad/.
Si considera que el texto de la presente política debe revisarse para realizar un cambio o tiene
alguna sugerencia en relación con las guías que se citan en el documento, por favor diríjase,
en la Dirección Nacional de Informática y Comunicaciones, a las personas encargadas de la
seguridad informática: teléfono 3165087, fax 3165382.
Política de uso adecuado de la tecnología para el procesamiento de Información.
Universidad Nacional de Colombia - 2003
6/6