Mps de la informacion

MANUAL DE POLÍTICAS Y ESTÁNDARES DE
SEGURIDAD DE LA INFORMACIÓN
DOCUMENTADO POR: ELABORADO POR: REVISADO POR: APROBACIÓN DIRECTIVA:
Diseñadores de Proyecto Diseñadores de Proyecto Profesor Académico /
Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
ELABORADO POR:
KARLING GRANADO
DAMELIS ARCINIEGAS
JOAN GONZÁLEZ
JOEL HERNÁNDEZ
JOSE QUIJIJE
ROGER MENDEZ
Caracas, Mayo 2010

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
ÍNDICE
ÍNDICE.............................................................................................................. 2
INTRODUCCIÓN .............................................................................................. 2
OBJETIVO........................................................................................................ 3
ALCANCE ........................................................................................................ 3
RESPONSABILIDADES................................................................................... 3
SEGURIDAD DE LA INFORMACIÓN Y MANTENIMIENTO DE LOS
SISTEMAS ....................................................................................................... 4
NORMAS DE USO ........................................................................................... 6
USO DE LOS EQUIPOS................................................................................... 6
LOS USUARIOS NO DEBEN ........................................................................... 7
USO DEL CORREO ELECTRÓNICO INSTITUCIONAL .................................. 8
DE LAS CUENTAS DE USUARIOS Y USUARIAS ........................................ 10
DEL ACCESO A INTERNET .......................................................................... 11
DE LOS EQUIPOS INFORMÁTICOS Y DE TELECOMUNICACIONES......... 12
DE LOS RESPALDOS ................................................................................... 14
DEL ACCESO AL ÁREA DE INFORMÁTICA ................................................ 15
DE LA INSTALACIÓN DE LOS PROGRAMAS INFORMÁTICOS. ................ 18
PARA PRESTAR SERVICIO TÉCNICO......................................................... 19
RESGUARDO DE LA INTEGRIDAD DE LA INFORMACIÓN ........................ 20
DE LAS SANCIONES..................................................................................... 20

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
INTRODUCCIÓN
La Seguridad Informática, generalmente consiste en asegurar que los
recursos del sistema de información (Material Informático o programas) de una
organización sean utilizados de la manera que se decidió y para lo cual fue
adquirida.
En toda institución u organización, el manejo de la seguridad es un tema
muy complejo y muchas veces difícil de realizar, ya que se deben conjugar dos
entornos difíciles como son el humano y el informático, es por ello que es
necesario establecer documentos que establezcan reglas que sirvan de
mecanismos reguladores.
Este manual de políticas y seguridad se realiza con la finalidad de
establecer las reglas, normas, controles procedimientos que regulen la forma
en que la institución prevenga y sobre todo proteja los riesgos de seguridad
que se puedan presentar.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
OBJETIVO
Transmitir a todo el personal, las reglas, normas, controles y
procedimientos que regulen la forma en que la institución previene los riesgos
de seguridad que se puedan presentar y de esta manera proteger los equipos
tecnológicos, aplicaciones, (hardware y software), y la información que es
procesada y almacenada en los mismos en todas las áreas de la Institución.
ALCANCE
Aplica a todos los procesos y actividades llevados a cabo en las
operaciones de Tecnología y sus interrelaciones internas y externas.
RESPONSABILIDADES
Los entes y empleados involucrados en este procedimiento son
responsables de dar cumplimiento a lo descrito en el mismo.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
SEGURIDAD DE LA INFORMACIÓN Y MANTENIMIENTO DE LOS
SISTEMAS
Los empleados, están en la obligación de cumplir las Normas
establecidas en este documento, sobre el Uso de los Equipos y Servicios que
ofrece la Red; su incumplimiento, será sancionado de acuerdo a lo establecido
en la Institución.
Los Directores o Coordinadores de cada área de la Institución tienen la
responsabilidad de asegurar y garantizar el cumplimiento de las normas
establecidas, para lo cual solicitarán el apoyo de la Dirección de Informática en
la detección de irregularidades.
La mudanza o traslado de las partes o piezas de los equipos de
computación, tales como CPU, monitores, teclados, ratón (mouse), impresoras
y otros accesorios, corresponden a la Dirección de Informática, Dependencia
a quien debe ser solicitada a través de sus procedimientos internos. De igual
forma, la Dirección de Informática supervisa y asesora la ejecución de los
traslados de las áreas involucradas, a fin de garantizar las condiciones
mínimas de seguridad para los equipos.
La elaboración del cableado de la red es responsabilidad del área de
Telecomunicaciones, dependencia a quien debe ser solicitada a través de sus
procedimientos internos.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
De igual forma, la Dirección de Informática supervisa y asesora la
ejecución para la conexión de los equipos.
La Dirección de Informática tiene entre sus funciones el monitoreo de los
servicios y equipos que conforman la red (Servidores, Laptos, Desktop, Correo,
salida Internet, impresión, compartición de archivos), controlar el uso y acceso
a dichos servicios y detectar, reportar y corregir cualquier abuso, acceso no
autorizado o violación a las normas establecidas por la Institución. Este
monitoreo consiste en la aplicación de auditorías periódicas, y que pueden
contemplar grupos aleatorios de estaciones de trabajo o a toda la red LAN /
WAN.
El personal profesional, técnico y administrativo de la Dirección de
Informática debe vigilar el cumplimiento de las Normas en todas las
dependencias y Direcciones reportando cualquier irregularidad que detecte.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
NORMAS DE USO
USO DE LOS EQUIPOS
Corresponderá a Dirección de Informática, la instalación de los equipos
en lugares con condiciones ambientales adecuadas, es decir,
temperaturas bajas, buena iluminación, libre de humedad (sin goteras o
filtraciones, etc.), al mismo tiempo el usuario velará por mantener dichas
condiciones. En caso de surgir algún problema que impida tener las
condiciones exigidas, la Dirección de Informática hará las
recomendaciones necesarias al usuario para su adecuación.
Cada Dirección o Coordinación garantiza que las mesas o estantes a
ser utilizadas para la colocación de los equipos (computadores
personales, impresoras, fotocopiadoras, etc.), se encuentren en buenas
condiciones. En caso de no poseer dichos muebles estos deben ser
solicitados al departamento de compras, previa especificación técnica de
la Dirección de Informática, sobre los requerimientos necesarios para
dicha instalación.
La Dirección de Informática es la única autorizada para instalar el
software adecuado, de acuerdo al perfil y área de trabajo de los
usuarios.
La Dirección de Informática, debe velar porque el equipo se encuentre
conectado a un UPS o en su defecto a un regulador de voltaje, con el fin
de protegerlo de fluctuaciones de corriente. En caso de no poseer uno
de los dos, éste debe ser solicitado por el usuario a la Unidad de
Compras.
Los Usuarios deben utilizar protectores de pantalla institucional
protegidos por contraseña, para evitar que personas ajenas puedan
violentar la información procesada en ese instante.
La configuración de contraseñas debe ser solicitada a la Dirección de
Informática.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
Se le entrega a cada Dirección una carta de responsabilidad de cada
equipo asignado a su área, donde se detallan las especificaciones del
equipo y todo el software que se encuentra instalado, la cual debe firmar
en su entrega, cada modificación que se haga al equipo de software o
de hardware debe ser especificado en dicha carta.
Los usuarios deben verificar que la información y los medios de
almacenamiento, considerando al menos discos flexibles, CD's, cintas,
pendrives y cartuchos, estén libres de cualquier tipo de código malicioso,
para lo cual deben ejecutar el software antivirus autorizado por la
Dirección de Informática.
Los usuarios deberán asegurarse de respaldar la información que
consideren relevante cuando el equipo sea enviado a reparación y borrar
aquella información sensible que se encuentre en el equipo, previendo
así la pérdida involuntaria de información, derivada del proceso de
reparación.
LOS USUARIOS NO DEBEN
Pegar a los equipos (Monitor, CPU, teclado y ratón) e impresora
cualquier tipo de calcomanía o etiqueta, excepto la etiqueta de control
del inventario.
Cambiar los parámetros de configuración del equipo (impresoras
conectadas, resolución de vídeo, conexión a los servidores, fondo de
escritorio, protector de pantallas, configuración de red). Estos cambios
deben ser solicitados a la Dirección de Informática.
Intercambiar componentes tales como, teclado, ratón (mouse), CPU,
monitor, con otros equipos, sin la previa autorización de su supervisor
o del personal técnico de la Dirección de Informática.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
Consumir alimentos, bebidas y fumar en el área donde están instalados
los equipos.
Debido a que algunos virus son extremadamente complejos, ningún
usuario de FEPR debe intentar erradicarlos de las computadoras.
USO DEL CORREO ELECTRÓNICO INSTITUCIONAL
La Solicitud del servicio de correo electrónico institucional es
responsabilidad del Jefe o Jefa de Área para cada uno de sus
trabajadoras y trabajadores, mediante un memo indicando nombre,
apellidos y C.I. del usuario.
Cualquier problemática o anomalía en el servicio de correo electrónico
institucional, el titular de la cuenta deberá comunicarse con la Dirección
de Informática.
La Dirección de Informática asignará el nombre de usuario y contraseña
el cuál estará conformado por la inicial del nombre seguido del apellido
del trabajador. Si existe un trabajador con el mismo nombre se colocará
la inicial del segundo nombre, la contraseña asignada es genérica, el
usuario está en la obligación de cambiarla inmediatamente. La
contraseña deberá poseer un mínimo de 6 caracteres y deberá ser
combinada con números y letras.
La Dirección de Informática instalará y configurará en las estaciones un
programa cliente de correo electrónico, para facilitar el envío y recepción
de correo, para el acceso desde otro lugar es por medio del navegador
web.
Se proporcionará soporte técnico sólo al programa cliente de correo
electrónico institucional, salvo en circunstancias que sean debidamente
informadas y justificadas a la Dirección de Informática por el Director del

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
área solicitante, que necesiten de otro cliente de correo externo diferente
al institucional.
Los usuarios no deben usar cuentas de correo electrónico asignadas a
otras personas, ni recibir mensajes en cuentas de otros.
El uso del correo electrónico es única y exclusivamente para temas
laborales según los recursos que tenga asignados y las facultades que
les hayan sido atribuidas para el desempeño de su empleo, cargo o
comisión, quedando prohibido cualquier otro uso.
Cada persona es responsable tanto del contenido del mensaje enviado,
como de cualquier otra información adjunta en el mismo. Cada uno de
los usuarios del servicio tiene la responsabilidad de asegurar el
cumplimiento de las leyes de copyright y licenciamiento cuando se
envían o reenvían correos electrónicos y archivos adjuntos. El no
cumplimiento de lo estipulado anteriormente, expone a la institución a
demandas judiciales. Cualquier violación que se registre hará pasible al
infractor de medidas disciplinarias que podrán concluir en el máximo
nivel de procesamiento permitido por la ley.
La Dirección de Informática realizará un monitoreo al servidor que aloja
el correo institucional para verificar las cuotas de uso por usuaria y
usuario; si la misma excede a 10 MB se tomarán correctivos.
La Dirección de Informática realizará un monitoreo de los correos
electrónicos que incluyan: cartas cadena, software pirata, juegos,
mensajes con virus o gusanos informáticos, material obsceno,
amenazante, invitaciones para integrarse a esquemas de pirámide con
intención de hacer propaganda, mensajes con motivos publicitarios con
fines lucrativos, comerciales o para negocio particular, mensajes con
intención de intimidar, insultar o acosar, racismo, envío masivo de
mensajes, cambiar o intentar cambiar su identidad en el envío de
correos y cualquier otro tipo de correos no solicitados (SPAM). Ninguno

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
de estos u otros mensajes deberán utilizarse en contra de los intereses
de individuos o instituciones.
La Dirección de Informática programará el servidor de correo electrónico
institucional para bloquear los correos que contienen archivos adjuntos
con las siguientes extensiones: .exe, .scr, .pif, .hta, .com, .vbs, .dbx,
.cpl, .link o .bat. Lo anterior tiene el fin de reducir incidentes con virus
informáticos.
El envío de información confidencial o reservada vía correo electrónico
debe ir de manera encriptada y destinada exclusivamente a personas
autorizadas y en el ejercicio estricto de sus funciones y atribuciones
DE LAS CUENTAS DE USUARIOS Y USUARIAS
Es responsabilidad de la Dirección de Informática creara las cuentas de
usuario de cada uno de las trabajadoras o trabajadores.
El ingreso a la cuenta de un usuario es exclusivo de el, si se presentara
el caso de que se necesite acceder a la misma deber solicitarse por
escrito por el Director o en su defecto por el Jefe o Jefa del Área de
dicho trabajador.
El requerimiento de una nueva cuenta deberá solicitarse por escrito, por
el Director del área respectiva, mediante un memorando de solicitud de
servicio.
Sólo se concederá una cuenta a personas que sean trabajadoras y
trabajadores de la institución, a menos que estén debidamente
autorizados por la Dirección General.
Es responsabilidad de la Dirección de Informática-Coordinación de
Servidores, desbloquear las cuentas de usuarias y usuarios que por una
causa u otra hayan sido bloqueadas.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
Toda cuenta quedará automáticamente bloqueada después de treinta
días de inactividad, salvo excepción.
El Director o Directora de Informática deberá ordenar bloquear
inmediatamente la cuenta de una usuaria o usuario cuando reciba la
orden de la o el Director General, y en particular, cuando un trabajador o
trabajadora cesare en sus funciones, según lo informado por los
Directores o Jefes de Área.
Se debe informar a la Dirección de Informática de manera escrita, que
algún trabajador o trabajadora cesa sus funciones en la institución para
así bloquear la cuenta de usuario de dicha trabajadora o trabajador.
DEL ACCESO A INTERNET
El acceso a Internet debe ser solicitado a la Dirección de Informática por
el Director del Área solicitante, mediante un memo donde se indique el
nombre de usuario y el tipo de acceso solicitado, justificando su uso.
El uso para fines personales de los sistemas de computación
(incluyendo e-mail e internet) se encuentra limitado. Este último punto,
implica el estricto conocimiento y aceptación de que dicho servicio bajo
ningún punto de vista, debe interferir con las tareas que los empleados
deben realizar, o por lo tanto, la utilización para fines recreativos (y
respetando lo establecido en la presente norma), se encuentra sujeto a
horarios no laborables o a las horas de almuerzo.
El personal puede utilizar ocasionalmente Internet para asuntos
personales, se deja claramente asentado que esto constituye un
privilegio. Si bajo cualquier circunstancia, se establece que ésta ventaja
es abusada, se podrán tomar inmediatamente las acciones disciplinarias
que se estimen oportunas.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
Cada persona es responsable tanto de los sitios y como la información a
la que se accede con su cuenta de usuario como de toda información
que se copia para su conservación en los equipos de la Institución.
Cada uno de los usuarios del servicio tiene la responsabilidad de
asegurar el cumplimiento de las leyes de copyright y licenciamiento.
Esta aclaración aplica especialmente para los sitios visitados por
cuestiones de trabajo, pero también incluye para fines personales. El no
cumplimiento de lo estipulado anteriormente expone a la institución a
demandas judiciales. Cualquier violación que se registre, hará posible
que se tomen medidas disciplinarias contra el infractor, que podrán
concluir en el máximo nivel de procesamiento permitido por la ley.
En la medida de lo posible, los sistemas deben limitar el acceso a sitios
que pudieran perjudicar los intereses y la reputación de la organización.
Específicamente no deben accederse a aquellos sitios que contienen
información sobre sexo, racismo, violencia o material potencialmente
ofensivo o contrario a los intereses de la organización.
Todas las actividades desarrolladas en Internet, van a ser monitoreadas
constantemente por el personal de la Dirección de Informática.
DE LOS EQUIPOS INFORMÁTICOS Y DE TELECOMUNICACIONES
Es responsabilidad de la Dirección de Informática instalar los equipos
informáticos o de telecomunicaciones que se requieran en las
instalaciones de la institución.
Es responsabilidad de la Dirección de Informática velar por el buen
funcionamiento de los equipos informáticos o de telecomunicaciones que
se encuentren en la institución.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
Es responsabilidad de la Dirección de Informática desincorporar los
equipos informáticos o de telecomunicaciones que estén en mal estado
u obsoleto dentro de la Institución.
Los equipos informáticos o de telecomunicaciones de la institución sólo
deberán usarse para actividades de trabajo relacionadas con el cargo
desempeñado por el trabajador.
La Unidad de Redes es la responsable de realizar la instalación y
configuración de los equipos informáticos que se utilicen en la
institución.
Las usuarias o usuarios tienen prohibido modificar las configuraciones
físicas y de programas informáticos establecidas por la Dirección de
Informática.
La Dirección de Informática deberá velar porque los equipos informáticos
tanto en su área como en el resto del organismo, tengan instalados
protectores contra fallas de energía eléctrica.
La Dirección de Informática, en conjunto con el Área de Administración,
deberán tener un registro de todos los equipos informáticos o de
telecomunicaciones propiedad de la institución.
La Dirección de Informática deberá instalar y activar una herramienta
antivirus en todas las estaciones de trabajo de la institución.
La Dirección de Informática será responsable de planificar y efectuar el
mantenimiento preventivo y correctivo de los equipos informáticos o de
telecomunicaciones.
El personal de la Dirección de Informática tiene terminantemente
prohibido tramitar el mantenimiento de equipos que no sean propiedad
de la institución.
Es responsabilidad de la Dirección de Informática recomendar las
actualizaciones de los equipos con miras a conservar e incrementar la
calidad del servicio.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
Es responsabilidad de la Redes ensamblar e instalar los servidores
propiedad del organismo.
DE LOS RESPALDOS
La información que se procesa en la institución será respaldada por
periodos, de acuerdo a la frecuencia de modificación de la data, la cual
puede ser (Diarios, Semanales y Mensuales) y teniendo en cuenta los
niveles de importancia de la data.
Una vez concluido el proceso de respaldo de la información, se realizará
una prueba de funcionamiento utilizando el medio de respaldo, para
comprobar que las copias se han realizado con éxito.
La información almacenada se mantendrá por un periodo de tiempo
estimado por el Director de Informática.
Se recomienda que los servidores reciban mantenimiento preventivo y
correctivo, tomando en cuenta la programación de los respaldos
previamente establecida.
Los sitios donde se almacenen las copias de resguardo deberán estar
en condiciones físicas y ambientales optimas como: temperatura,
humedad, entre otras, según las normas estándares.
Estos ambientes deben disponer de seguridad complementaria, como
por ejemplo, cámaras de video, puertas con dispositivos de acceso,
entre otros.
El ambiente donde se encuentran los medios de almacenamiento, serán
de acceso restringido, en caso de ameritar el ingreso a este sitio, solo
será autorizado por el Director.
Se respaldarán los archivos de Auditoria de sistemas (logs), a nivel de
aplicaciones, accesos al sistema y gestión de archivos.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
Los servidores críticos deberán contar con RAIDs de discos, a los
efectos de que la información sensible no se vea afectada por
potenciales desperfectos en los discos.
Todo medio de almacenamiento con información crítica o secreta será
guardado bajo llaves, a la cual tendrá acceso únicamente el jefe del
área.
Los equipos o activos que procesen información crítica o secreta,
deberán aislarse y ubicarse en áreas protegidas con un nivel de
seguridad verificable, por las personas responsables de dicha labor.
DEL ACCESO AL ÁREA DE INFORMÁTICA
El acceso al Área de Informática será restringido y solamente podrá
ingresar el personal autorizado por el Director de Informática.
En el caso del acceso al Centro de Datos:
Ninguna persona podrá acceder al Centro de Datos sin antes llenar el
formulario de control de acceso, a excepción del personal de la
Coordinación de redes.
Todos los visitantes que ingresen al Centro de Datos deberán poseer
una identificación o un pase a la vista que claramente los identifique
como personal de la institución o como visitante y estas identificaciones
serán intransferibles, así como la tarjeta de proximidad.
La Dirección, División o Coordinación que requiera la modificación,
eliminación, respaldo, restauración o ejecución de alguna aplicación, que
repose en el Centro de Datos, deberá ser notificado vía correo a la
Dirección de Informática con 24 horas de anticipación, previa aprobación
a través de un correo indicando el día y la hora para realizar dicha
actividad. Esto con carácter obligatorio y sin excepción.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
Una vez finalizado el Rol de Guardia establecido por esta Dirección, no
se le permitirá el ingreso y/o estadía, del personal visitante ni tampoco
del adscrito a la institución, excepto por causas mayores que ameriten
su permanencia en el área.
Solamente el personal designado por la Dirección de Informática, esta
autorizado para manipular los dispositivos pertenecientes a la institución
que se encuentran en el Centro de Datos.
Todos los visitantes o personal ajeno al área deben ser acompañados
por personal autorizado durante su estadía en el Centro de Datos,
debido a la existencia de información confidencial y secreta.
Equipos como videograbadoras, cámaras fotográficas, grabadoras,
analizadores de datos, entre otros, no son permitidos dentro del Centro
de datos.
No se permite el uso de Laptop al personal visitante y adscrito a la
institución para realizar ningún tipo de labores, y si el caso lo requiere la
misma será facilitada por la Dirección de Informática.
Se restringe el uso de pendrives en el área del Centro de Datos, solo
será permitido al personal designado al área.
Todos los administradores de Red que manipulan los Servidores
deberán hacerlo con su usuario personal, esto para seguridad y
monitoreo de los cambios que se realizan. (Para esto se les debe
personalizar las cuentas de usuarios a los Administradores de Red en
los Servidores)
No se permite realizar ningún tipo de cambios en los servidores con el
usuario ROOT o ADMINISTRADOR, a excepción de aquellos casos que
los amerite.
Todo cambio que ocurra en el Centro de Datos a nivel físico o lógico
deberá ser notificado y registrado en los archivos de Bitácora destinadas
para tal fin.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
Toda información que repose en el Centro de Datos estará clasificada
como CONFIDENCIAL o SECRETA y no debe ser divulgada a terceros.
Las cintas que contienen todos los respaldos generales deberán ser
resguardadas en los sitios destinados para tal fin, fuera de la institución.
Los Administradores de Red, deberán cerrar las sesiones de cada uno
de los servidores una vez concluida las actividades en el mismo.
Solo tendrán acceso remoto a los servidores y servicios que se
encuentran en el Centro de Datos los administradores de Redes.
Es intransferible la credencial y la tarjeta de proximidad que posee el
personal designado en el área.
El uso de las claves de los dispositivos y servidores debe ser
intransferible y periódicamente cambiarlas, y al momento que algún
personal de la Dirección deje de laborar en la Institución se deberá con
carácter obligatorio cambiar todas las claves que se manejan para el
momento.
El personal de guardia deberá chequear que todos los servicios se
encuentren operativos al momento de retirarse de la institución.
El personal de guardia deberá asegurarse que todos los Racks y las
puertas de acceso al Centro de Datos estén cerradas al momento de
retirarse del organismo.
Todos los Racks deben de permanecer siempre cerrados bajo llaves,
mientras no se esté laborando en ellos.
Revisar los derechos de acceso de los usuarios a intervalos regulares.
Mantener de manera confidencial las claves secretas.
Cambiar las claves secretas a intervalos regulares.
La información clasificada como confidencial, debe estar protegida a
través de códigos de encriptación.
Los procedimientos de restauración deben chequearse y probarse
periódicamente para asegurar que sean efectivos y que pueden ser

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
completados dentro del tiempo asignado en los procedimientos
operacionales de recuperación.
Los medios de respaldo se deberían probar regularmente para asegurar
que se pueden confiar en ellos y usarlos cuando sea necesario en caso
de emergencia.
Los dispositivos que manejan información confidencial deben ser
físicamente destruidos, borrados o sobrescrito, utilizando técnicas
apropiadas para asegurar que la información no puede ser recuperada
en su formato original.
No se permite sustraer un equipo o parte de éste del Centro de Datos de
cualquier forma, sin el correspondiente trámite para la autorización del
préstamo externo.
No dañar, deteriorar o hacer mal uso tanto del equipo como de las
instalaciones.
DE LA INSTALACIÓN DE LOS PROGRAMAS INFORMÁTICOS.
El Departamento de Informática será la responsable de la instalación de
los programas informáticos, en los equipos propiedad de la institución.
El Departamento de Informática debe estar en constante investigación
de nuevos programas y su factibilidad de instalación en los equipos
propiedad del organismo.
Capacitación constante del personal.
En los Equipos Informáticos de la institución, se dará preferencia a la
utilización de software libre, de acuerdo a lo establecido en el decreto
3390 que habla sobre la aplicación del software libre en la
administración pública venezolana abre una oportunidad para alcanzar
la soberanía tecnológica del Estado venezolano.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
En los Equipos Informáticos de la institución se le dará prioridad a la
instalación de software, autorizado por el Centro Nacional de
Telecomunicaciones e Informática (CNTI).
Los usuarios que requieran la instalación de software que no sea
propiedad de la institución o este dentro de los estándares establecidos,
deberán justificar su uso y solicitar su autorización a la Dirección de
Informática, a través de un oficio firmado por su Dirección General de
adscripción, indicando el equipo de cómputo donde se instalará el
software y el período de tiempo que permanecerá dicha instalación.
PARA PRESTAR SERVICIO TÉCNICO
El usuario debe solicitar el servicio de soporte y la unidad de atención al
usuario lo registrará en el sistema de control de llamadas solicitando los
siguientes datos
1. Fecha y hora: Fecha y hora en la que se registra la incidencia.
2. Área o Unidad: Ente que reporta la incidencia.
3. Usuaria o usuario: Nombre de quien reporta la incidencia.
4. Cargo de la usuaria o usuario: Cargo de quien reporta la
incidencia.
5. Soporte Técnico: Nombre del técnico que recibe la incidencia.
6. Descripción de la Falla: Descripción breve de la falla o incidencia
reportada.
El tiempo de respuesta dependerá del tipo de la falla que presenta el
equipo informático y de la cantidad de técnicos disponibles en el
momento, aunque se puede estimar por lo siguiente:
1. Cambio de equipo: una semana (3 días).
2. Reinstalación de programas de equipo: 2 días.
3. Desconexión de cables: 15 minutos.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
4. Re-configuración de dispositivos externos (impresoras, escaner):
3 horas.
5. Bloqueo de usuario: 15 minutos.
RESGUARDO DE LA INTEGRIDAD DE LA INFORMACIÓN
Como parte de sus términos y condiciones iniciales de empleo, los
empleados, cualquiera sea su situación de revista deberán asumir un
compromiso de confidencialidad o no divulgación, en lo que respecta al
tratamiento de la información del organismo.
Toda la información que se genere dentro de la institución es propia de
la institución, los empleados no tienen ningún derecho sobre la misma.
Ningún usuario puede divulgar a personas ajenas o de la institución
ningún tipo de información de tipo laboral confidencial que sea
manipulada por el.
Es responsabilidad de los usuarios almacenar su información
únicamente en la partición de disco duro identificada como “datos” o
similares, ya que las otras están destinadas para archivos de programa y
sistema operativo.
DE LAS SANCIONES
Clasificación de las faltas
Se determina como falta “grave” los siguientes incumplimientos de los
requerimientos de Seguridad de la Información:
Cuando la misma persona incurra en tres (3) faltas de importancia
media, le será imputada una falta grave, aplicándosele las sanciones
disciplinarias que correspondan a estos casos.
 Instigación a la violación de las normas del Centro de Datos.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
 Aprovechamiento de brechas de seguridad detectadas y no informadas.
 La circulación de información difamatoria de cualquier tipo, ya sea contra
entidades o personas.
Se determina como falta “de importancia media” los siguientes
incumplimientos de los requerimientos de Seguridad de la Información:
Cuando la misma persona incurra en tres (3) faltas leves, le será
imputada una de importancia media, aplicándosele las sanciones disciplinarias
que correspondan a estos casos.
 Visitas a páginas de Internet no autorizadas o que atenten contra la
moral y las buenas costumbres.
 Obtención y uso de cuentas o claves de acceso a computadoras, correo
electrónico, sin la autorización de los usuarios.
 Proporcionar contraseñas a otros usuarios ajenos a la Institución.
Se determina como falta “leve” los siguientes incumplimientos de los
requerimientos de Seguridad de la Información:
 Comunicación informal de incidentes de seguridad y cualquier
comunicación exigida como formal que se lleve adelante informalmente
 Instalación de software sin licencia o sin la conformidad del área de
sistemas.
 La asignación no autorizada de Direcciones IP Certificadas y No
Certificadas de la Institución.
Determinación de Medidas de Sanción Disciplinaria
En caso que se demuestre un uso incorrecto o no aceptable con
respecto a lo especificado en este documento, la Dirección de Informática
procederá a la suspensión del servicio al funcionario y de ser necesario al
computador o dispositivo de red. Dependiendo de la gravedad y reiteración del

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
incidente efectuará los siguientes tipos de suspensión de la red institucional:
1. Suspensión temporal del servicio: Ésta medida se aplicará cuando se
produzca una falta del tipo GRAVE. La violación de los términos de este
documento de forma premeditada o cuando se este causando una
degradación de los recursos de la red y/o implique alguna
responsabilidad. La acción consistirá en filtrar el tráfico relacionado con
el computador o dispositivo de red causante del incidente o bloquear el
tráfico de ese equipo, con lo que dicho equipo estará conectado a la Red
de Datos pero desconectado del Internet. Bloquear la Clave de Acceso
consiste en no permitir al funcionario el ingreso a la Red de Datos con su
nombre de usuario y clave de seguridad. En caso que el incidente este
afectando al resto de los activos de la Red, se procedería a la
desconexión física quedando el equipo sin acceso alguno a la Red.
2. Suspensión indefinida del equipo: Ésta medida se aplicará cuando se
incurra en infracciones del tipo: DE IMPORTANCIA MEDIA o una
reiterada violación de las condiciones de este documento, después de
los correspondientes avisos por parte de la Dirección de Informática. El
servicio podrá restablecerse cuando se considere que las medidas
adoptadas por el responsable del activo causante del incidente garantiza
un uso aceptable en el futuro.
3. Aviso de suspensión del servicio: En este caso se le hará una
recomendación al usuario acerca del buen uso que debe hacer de los
recursos informáticos del organismo. Esta notificación será mediante vía
correo electrónico, recordándole que en caso de volver a incurrir en un
incumplimiento de las normativas, le será aplicada una sanción del tipo
LEVE.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
De aplicarse algunas de las suspensiones del servicio descritas
anteriormente, serán presentadas ante la Dirección a la cual pertenezca el
usuario, ésta notificación se hará mediante un informe escrito, a fin de aperturar
un expediente disciplinario por los mismos hechos cometidos, dictar resolución
de acuerdo al tipo de falta cometida y sancionar al responsable de dicha
infracción,
En cada uno de los casos detectados de acuerdo con la gravedad de la
falta y los antecedentes del empleado, será evaluada una sanción disciplinaria
acorde con la infracción cometida por parte del usuario.
 En caso del incumplimiento a las normativas descritas y la violación de
las políticas establecidas en el presente documento, los usuarios serán
sancionados con la suspensión del uso de Internet. Si el usuario no
cuenta con este tipo de servicio, le serán restringidos algunos de los
beneficios de la red de datos, según sea el caso durante 6 meses (un
semestre) para todo aquel personal del organismo que se encuentre
incurso en faltas de carácter GRAVE.
beneficios de la red de datos, según sea el caso durante 3 meses para
todo aquel personal que se encuentre incurso en faltas de carácter DE
IMPORTANCIA MEDIA.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
beneficios de la red de datos, según sea el caso durante (1) mes para
todo aquel personal del organismo que se encuentre incurso en faltas de
carácter LEVE.
La Impresión de los e-mails, archivos de logs o archivos actualizados
podrán ser utilizados como evidencia para los procedimientos disciplinarios o
penales.
Cualquier costo generado por el daño de la infraestructura de la Red
institucional, considerado como grave, según el caso, y de comprobarse
responsabilidad del usuario deberá indemnizar al Estado.
El incumplimiento o falta grave que atente contra el articulado de las
leyes nacionales relacionados con delitos informáticos (Contra la propiedad,
Sistemas tecnológicos, Privacidad de las personas y de las comunicaciones,
entre otros, serán presentados ante la Dirección de Informática, quien a su vez
la remitirá a la Dirección General de Recursos Humanos, a fin de formalizar la
denuncia del responsable y someter la autorización para elevar el caso a las
autoridades nacionales que les competa resolver estos ilícitos.
La Dirección de Informática podrá aplicar restricciones y medidas de
seguridad bajo el carácter de temporal o violación de la seguridad informática,
en cuyo caso tendrá un lapso de 30 días hábiles para someter a consideración
el caso, conjuntamente con las siguientes Direcciones: Recursos Humanos, y
donde pertenezca el usuario y decidir la suspensión definitiva o temporal. Esta
restricción o medida de seguridad se dejará sin efecto al cumplirse el lapso o
de culminar la suspensión o la violación de la seguridad.

Dirección de
Telecomunicaciones
FECHA N°
RESOLUCIÓN
Nº PAG
Las normativas y políticas se evaluaran periódicamente, y cualquier
acción disciplinaria derivada del incumplimiento de la misma (tales como avisos
de llamados de atención, suspensiones. entre otros. Será considerado de
acuerdo a los procedimientos establecidos por el organismo y en acato de las
estipulaciones legales vigentes. En cualquier caso, estas sanciones
disciplinarias no podrán ser superiores a un semestre.
NOTA: Si bien se citan algunas, aquellas que no caigan en los casos aquí
expuestos serán evaluadas oportunamente y su nivel de falta establecido a los
efectos de determinar la sanción.

Mps de la informacion

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (9)

Destacado

Destacado (7)

Similar a Mps de la informacion

Similar a Mps de la informacion (20)

Más de hjoelj

Más de hjoelj (10)

Último

Último (20)

Mps de la informacion