POLTICAS Y ESTNDARES DE SEGURIDAD DEL PERSONAL

ESTNDAR: Establecer reglas para la seguridad del personal, para

manejar equipos de cmputo y hacer uso de servicios informticos
con el objetivo de cumplir y respetar las respectivas directrices de la
empresa.
ACTIVIDADES:
o

El personal actual de la Organizacin deber comprometerse a

conducirse bajo los principios de confidencialidad de la
informacin y el uso de los recursos informticos.
El personal nuevo de la Organizacin deber ser notificado a la
Oficina de nuevas Tecnologas para asignarle: equipo de cmputo,
creacin de usuario para la red o en caso de despido o renuncia se
deber cancelar los derechos otorgados como usuario informtico,
adems de comprometerse a conducirse desde el principio bajo los
principios de confidencialidad de la informacin y el uso de los
recursos informticos otorgados por la empresa para su uso
correspondiente.

ESTNDAR: Establecer reglas para la administracin de los roles,

usuarios y uso de contraseas respectivamente.
ACTIVIDADES:
o

o
o

La asignacin de contraseas es personal, queda prohibido el uso

de contraseas compartidas, adems que cada usuario es
responsable de su contrasea en caso de ser mal intencionada con
su mal uso, deber responsabilizarse de las consecuencias
previstas en el presente manual.
En caso de prdida, olvido o bloqueo de contrasea, el personal
deber acudir al departamento de sistemas para que este le
proporcione una nueva contrasea personal.
Est prohibido escribir, imprimir, o guardar en archivos digitales la
contrasea ya que estos podran ser descubiertos por terceros y
extraer documentacin confidencial.
Queda prohibido revelar o compartir contraseas, esta accin
ocasionar sanciones o despidos.
El personal que sospeche que su contrasea es conocida por otra
persona, deber informar al departamento de informtica para
obtener una nueva contrasea.

ESTNDAR: Establecer controles para conceder, modificar y eliminar

accesos al personal
ACTIVIDADES:

o
o

Todo usuario deber ser registrado en la Base de Datos Usuarios y

Roles de la empresa.
Para la creacin de un nuevo usuario el jefe de rea de cada
departamento o su encargado deber emitir una solicitud al
departamento de informtica para que este sea registrado en la
base de datos de la institucin.
El jefe de departamento de sistemas o su encargado en caso de
ausencia, ser el responsable de dar de alta, baja o realizar
cambios de perfil de los usuarios.

ESTANDAR: Establecer reglas para el cumplimiento y control de los

derechos de propiedad intelectual de la institucin.
ACTIVIDADES:
o

Proponer y revisar el cumplimiento correctivo de las normas y

polticas de seguridad de que garantice la prevencin de los
equipos e instalaciones de la institucin.
Los sistemas desarrollados por algn personal interno o externo
con control del departamento de sistemas tendrn propiedad
intelectual.

ESTANDAR: Establecer reglas para el control de acceso lgico a los

usuarios y funcionarios de la institucin.
ACTIVIDADES:
o

Les credenciales pertinentes al acceso de la infraestructura

tecnologa como a la red interna sern confidenciales para cada
personal de la institucin.
El personal deber ser responsable de cada uno de los permisos a
los que se les confiere en el desempeo de las funciones como
tambin al uso correcto de las credenciales otorgadas.
El personal que requiera acceder a la infraestructura tecnolgica
de la institucin deber autenticarse a los respectivos mecanismos
de control de acceso que proporciona la institucin con el
identificador de usuario nico y personalizado, siendo
responsabilidad de cada usuario el respectivo uso de su
identificador.
El personal de la institucin no podr revelar el mecanismo de
acceso a la infraestructura interna de la organizacin a entes
externos que no tengan el visto bueno del jefe encargado del rea.
Los nuevos roles que sean designados a cada personal de la
institucin debern ser notificados al administrador de la red para
el respectivo cambio de privilegios.
Los equipos que son ocupados por cada personal de la institucin
debern tener un control de acceso y bloqueo de pantallas si el
personal no se encuentra laborando.
En caso de necesitar la administracin remota de alguno de los
equipos de la institucin, se deber notificar al jefe encargado del
rea como al jefe de redes.

POLTICAS, ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE

OPERACIONES DE CMPUTO
ESTANDAR: Establecer reglas para proteger la informacin.
De igual forma, debern proteger la informacin reservada o
confidencial que por necesidades institucionales deba ser
almacenada o transmitida, ya sea dentro de la red interna hacia
redes externas como internet.
ACTIVIDADES:
o

Los usuarios que hagan uso de equipo de cmputo, deben conocer

y aplicar las medidas para la prevencin de cdigo malicioso como
pueden ser virus, malware o spyware.

ESTNDAR: Establecer
almacenamiento

reglas

para

el

uso

de

medios

de

ACTIVIDADES:
o

Toda solicitud para utilizar un medio de almacenamiento de

informacin compartido, deber contar con la autorizacin del jefe
inmediato del usuario y del titular del rea duea de la
informacin.
Dicha solicitud deber explicar en forma clara y concisa los fines
para los que se otorgar la autorizacin, ese documento se
presentar con sello y firma del titular.
Los usuarios debern respaldar de manera peridica la
informacin sensible y crtica que se encuentre en sus
computadoras personales o estaciones de trabajo, solicitando
asesora, para que dichos asesores determinen el medio en que se
realizar dicho respaldo.
En caso de que por el volumen de informacin se requiera algn
respaldo en CD, este servicio deber solicitarse por escrito al
Titular de la Direccin, y deber contar con la firma del titular del
rea de adscripcin del solicitante.
Los empleados deben conservar los registros o informacin
que se encuentra activa y aquella que ha sido clasificada
como reservada o confidencial.
Las actividades que realicen los usuarios del en la infraestructura
de Tecnologa de la Informacin son registradas y susceptibles de
auditora.

ESTNDAR: Establecer reglas para la instalacin de Software

ACTIVIDADES:

Los usuarios que requieran la instalacin de software que no sea

propiedad de la empresa, debern justificar su uso y solicitar su
autorizacin a la Direccin, a travs de un oficio firmado por el
titular del rea de su adscripcin, indicando el equipo de
cmputo donde se instalar el software y el perodo que
permanecer dicha instalacin, siempre y cuando el dueo del
software presente la factura de compra de dicho software.
Si el dueo del software no presenta la factura de compra del
software, el personal asignado por la Direccin proceder de
manera inmediata a desinstalar dicho software.
Se considera una falta grave el que los
usuarios
instalen
cualquier tipo de programa (software) en sus computadoras,
estaciones de trabajo, servidores, o cualquier equipo conectado a
la red, que no est autorizado por la Direccin.

ESTNDAR: Establecer reglas para la identificacin del incidente

ACTIVIDADES:
o

El usuario que sospeche o tenga conocimiento

de la
ocurrencia de un incidente de seguridad informtica deber
reportarlo a la Direccin, lo antes posible, indicando claramente los
datos por los cuales lo considera un incidente de seguridad
informtica.
Cuando exista la sospecha o
el conocimiento de
que
informacin confidencial o reservada ha sido revelada, modificada,
alterada o borrada sin la autorizacin de
las unidades
administrativas competentes, el usuario informtico deber
notificar al titular de su adscripcin.
Cualquier incidente
generado durante la
utilizacin u
operacin de los activos de tecnologa de informacin del Registro
de la propiedad de Ambato, debe ser reportado a la Direccin.

ESTNDAR: Establecer
configuracin

reglas

para

la

administracin

de

la

ACTIVIDADES:
o

Los usuarios no deben establecer redes de rea local, conexiones

remotas a redes internas o externas, intercambio de informacin
con otros equipos de cmputo utilizando el protocolo de
transferencia de archivos (FTP), u otro tipo de protocolo para la
transferencia de informacin, sin la autorizacin por escrito de
la Direccin.

ESTNDAR: Establecer reglas para seguridad de la red

ACTIVIDADES:
o

Ser considerado como un ataque a la seguridad informtica y una

falta grave, cualquier actividad no autorizada por la Direccin en la

cual los
usuarios realicen la
exploracin de los
recursos
informticos en la red, as como de las aplicaciones que sobre
dicha red operan, con fines de detectar y mostrar una posible
vulnerabilidad.
ESTNDAR: Establecer reglas para el uso del correo electrnico
ACTIVIDADES:
o

o
o

Los usuarios no deben usar cuentas de correo

electrnico
asignadas a otras personas, ni recibir mensajes en cuentas de
otros. Si fuera necesario leer el correo de alguien ms (mientras
esta persona se encuentra fuera o ausente), el usuario ausente
debe re direccionar el correo a otra cuenta de correo interno,
quedando prohibido hacerlo a una direccin de correo electrnico
externa, a menos que cuente con la autorizacin del titular del
rea de adscripcin.
Los mensajes de correo electrnico deben ser manejados como
una comunicacin privada y directa entre emisor y receptor.
Los usuarios podrn enviar informacin
reservada
y/o
confidencial exclusivamente a personas autorizadas y en el
ejercicio estricto de sus funciones y atribuciones, a travs del
correo institucional que le proporcion la Direccin.
El usuario debe de utilizar el correo electrnico institucional, nica
y exclusivamente para los recursos que tenga asignados y las
facultades que les hayan sido atribuidas para el desempeo de
su empleo, cargo o comisin, quedando prohibido cualquier otro
uso distinto.
La asignacin de una cuenta de correo electrnico externo,
deber solicitarse por escrito a la Direccin o al representante,
sealando los motivos por los que se desea el servicio. Esta
solicitud deber contar con el visto bueno del titular del rea que
corresponda.
Queda prohibido falsear, esconder, suprimir o
sustituir la
identidad de un usuario de correo electrnico.

ESTNDAR: Establecer reglas para los controles contra cdigo

malicioso
ACTIVIDADES:
o

Para prevenir infecciones por virus informticos, los usuarios,

deben evitar hacer uso de cualquier clase de software que no haya
sido proporcionado y validado por la Direccin.
Los usuarios, deben verificar que la informacin y los medios
de
almacenamiento, considerando al menos memorias USB,
discos flexibles, CDs, estn libres de cualquier tipo de cdigo
malicioso, para lo cual deben ejecutar el software antivirus
autorizado por la Direccin.

El usuario debe verificar mediante el software de

antivirus
autorizado por la Direccin que estn libres de virus todos los
archivos de computadora, bases de datos, documentos u hojas de
clculo, etc. que sean proporcionados por personal externo o
interno, considerando que tengan que ser descomprimidos.
Ningn usuario del Registro de la propiedad de Ambato debe
intencionalmente escribir, generar, compilar, copiar, propagar,
ejecutar o tratar de introducir cdigo de computadora diseado
para auto-replicarse, daar o en otros casos impedir el
funcionamiento de cualquier memoria de computadora, archivos
de sistema o software. El incumplimiento de este estndar ser
considerado una falta grave.
Ningn usuario ni empleado o personal externo podr bajar o
descargar software de sistemas, boletines electrnicos, sistemas
de correo electrnico, de mensajera instantnea y redes de
comunicaciones externas, sin la debida autorizacin de la
Direccin de Tecnologas de Informacin
Cualquier usuario que sospeche de alguna infeccin por virus de
computadora, deber dejar de usar inmediatamente el equipo y
llamar a la Direccin para la deteccin y erradicacin del virus.
Cada usuario que tenga bajo su resguardo algn equipo de
cmputo personal porttil, ser responsable de solicitar de manera
peridica a la Direccin las actualizaciones del software de
antivirus.
Los usuarios no debern alterar o eliminar las configuraciones de
seguridad para detectar y/o prevenir la propagacin de virus que
sean implantadas por la Direccin en programas tales como:
Antivirus;
Correo electrnico;
Paquetera Office;
Navegadores; u
Otros programas.
Debido a que algunos virus son extremadamente complejos,
ningn usuario debe intentar erradicarlos de las computadoras, lo
indicado es llamar al personal de la Direccin para que sean ellos
quienes lo solucionen.

ESTNDAR: Establecer reglas para permisos de uso de Internet

ACTIVIDADES:
o

El acceso a internet provisto a los usuarios es exclusivamente para

las actividades relacionadas con las necesidades del puesto y
funcin que desempea. En caso de dao a la imagen de la
institucin se proceder de acuerdo a lo que determine el rgano
Interno de Control del Ilustre Municipio de Ambato.
La asignacin del servicio de internet, deber solicitarse por
escrito a la Direccin, sealando los motivos por los que se desea
el servicio. Esta solicitud deber contar con el visto bueno del
titular del rea correspondiente.

o
o

Todos los accesos a internet tienen que ser realizados a travs

de los canales de acceso provistos por la empresa.
Los usuarios con acceso a Internet tienen que reportar todos los
incidentes de seguridad informtica, inmediatamente despus
de su identificacin, indicando claramente que se trata de un
incidente de seguridad informtica.
Los usuarios con servicio de navegacin en internet al utilizar el
servicio aceptan que:
Sern sujetos de monitoreo de las actividades que realizan
en internet.
Saben que existe la prohibicin al acceso de pginas no
autorizadas.
Saben que existe la prohibicin de transmisin de archivos
reservados o confidenciales no autorizados.
Saben que existe la prohibicin de descarga de software sin
la autorizacin de la Direccin.
La utilizacin de internet es para el desempeo de su
funcin y puesto y no para propsitos personales.
Los esquemas de permisos de acceso a internet y servicios
de mensajera instantnea son:
NIVEL 1: Sin restricciones: Los usuarios podrn navegar en
las pginas que as deseen, as como realizar descargas de
informacin multimedia en sus diferentes presentaciones y
acceso total a servicios de mensajera instantnea.
NIVEL 2: Internet restringido y mensajera instantnea: Los
usuarios podrn hacer uso de internet y servicios de
mensajera instantnea, aplicndose las polticas de
seguridad y navegacin.
NIVEL 3: Internet restringido y sin mensajera instantnea:
Los usuarios slo podrn hacer uso de internet aplicndose
las polticas de seguridad y navegacin
NIVEL 4: El usuario no tendr acceso a Internet ni a
servicios de mensajera instantnea.