INICIO
NORMATIVA INTERNA | CIRCULARES/MEMOS | FORMULARIOS | SERVICIOS | BOLETINES INSTITUCIONALES | BOLETIN EL ETICO  
 
viaticos | sanciones | caja chica | normas generales-auditoria interna | compras y suministros | Regimen de la carrera|

|MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA|
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA

 

TRIBUNAL SUPERIOR DE CUENTAS
SECRETARIA  DEL PLENO

 

El suscrito Secretario del Pleno del Tribunal Superior de Cuentas, CERTIFICA:

            Que el Tribunal, en el Acta Administrativa No. 01 celebrada el día Miércoles veintitrés de enero de dos mil ocho (2008), se adoptó el siguiente Acuerdo.

ACUERDO ADMINISTRATIVO
TSC No. 001/2008

EL TRIBUNAL SUPERIOR DE CUENTAS

 

CONSIDERANDO: Que la Información digital y los activos informáticos son recursos muy importantes y vitales para el Tribunal Superior de Cuentas por lo que se requiere la existencia de un manual de políticas que contenga  normas, procedimientos e instrucciones apropiadas para garantizar su buen funcionamiento, disponibilidad, integridad y confidencialidad de la información y que permita regular y velar por el uso adecuado de los recursos informáticos institucionales, para que estos sean utilizados de forma eficiente y eficaz;

CONSIDERANDO: Que es necesario el desarrollo de una cultura de seguridad informática institucional entre todos los funcionarios y empleados del Tribunal debido al rápido crecimiento de problemas de seguridad en las redes a las que están expuestas las Instituciones;

CONSIDERANDO: Que corresponde al Pleno del Tribunal aprobar las normas de política institucional,

POR TANTO, el Tribunal Superior de Cuentas, en uso de las facultades que las leyes le confieren y en aplicación del Artículo 222 de la Constitución de la República; 4, 6 y 31 y demás aplicables de la Ley Orgánica del Tribunal Superior de Cuentas.

EL TRIBUNAL SUPERIOR DE CUENTAS

 

A C U E R D A:

 

ARTÍCULO PRIMERO: aprobar las siguientes:

 

POLITICAS DE SEGURIDAD INFORMATICA

 

JUSTIFICACIÓN
Los activos de información y los equipos informáticos son recursos importantes y vitales del Tribunal Superior de Cuentas, por lo cual hay que preservarlos, utilizarlos y mejorarlos, lo que significa que se deben tomar las acciones administrativas adecuadas para asegurar que la información y los sistemas informáticos estén apropiadamente protegidos.
La información perteneciente al Tribunal Superior de Cuentas,  debe protegerse de acuerdo a su valor e importancia; deben emplearse medidas de seguridad sin importar cómo la información se guarda (en papel ó en forma electrónica), cómo se procesa (PCs, servidores, correo de voz, etc.), ó cómo se transmite (correo electrónico, conversación telefónica). Tal protección incluye restricciones de acceso a los usuarios.
Las distintas Direcciones, Departamentos, Unidades y funcionarios y empleados de la Institución,  están en la obligación y tienen la responsabilidad de asegurar y velar porque los activos de información estén suficientemente protegidos.
La Dirección de Tecnología y Sistemas,  remitirá informes periódicos al Pleno referente a la seguridad informática y los logros obtenidos.
PROPOSITO DEL MANUAL
El propósito del presente manual, es establecer las políticas y procedimientos relacionados con la seguridad y protección de la información frente a peligros internos y externos.
Las políticas, constituyen esencialmente, orientaciones, normas, procedimientos e instrucciones que indican cómo manejar los asuntos de seguridad informática y forman
la base de un plan maestro para la implementación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos entre otros. También incluye la forma de comprobar el cumplimiento de estas políticas, las faltas en que se incurren y las  eventuales medidas/sanciones disciplinarias a ser  aplicadas,  las cuales  van desde una amonestación verbal hasta el despido.
SOLICITUDES DE ADQUISICION  Y ADMINISTRACION DE HARDWARE Y SOFTWARE
Las solicitudes para la adquisición de cualquier equipo y aplicativo  computacional (impresora, scanner, monitor, software y demás recursos informáticos) deben ser enviadas por cada Director a la Dirección de Administración que en coordinación con la Dirección de Tecnología y Sistemas determinarán y evaluarán la justificación presentada, los planes y prioridad para la dotación, dependiendo de las necesidades y requerimientos del usuario, así como los procedimientos para la compra de dicho bien.
Corresponde a la Dirección de Tecnología y Sistemas, proveer las especificaciones técnicas de cualquier equipo informático, la instalación de software y equipos computacionales, como también la realización de las pruebas técnicas respectivas.
Todo equipo computacional (impresora, scanner, monitor y otros recursos informáticos) perteneciente al TSC,  deberá permanecer en el lugar asignado por la Dirección de Tecnología y Sistemas. El traslado o cambio de cualquier equipo debe ser autorizado por la Dirección de Tecnología y Sistemas y ser del conocimiento de la Unidad de Bienes de la Dirección de Administración, el cual le dará seguimiento a dicha petición.
RESPONSABILIDADES
Los siguientes entes son responsables, en distintos grados, de la seguridad informática en el TSC:

  • El Comité de Seguridad Informática
  • Director de Tecnología y Sistemas o su representante
  • COMITÉ DE SEGURIDAD INFORMATICA

El comité de Seguridad Informática estará integrado de la siguiente forma:

    • Director Ejecutivo, quien lo coordinará
    • Director de Tecnología y Sistemas o su representante, quien actuará como secretario del mismo.
    • Director de Recursos Humanos o su representante
    • Director de Asesoría Legal o su representante
    • Director de Administración o su representante

RESPONSABILIDADES DEL COMITE

  • Elaborar y actualizar las políticas, normas, pautas y procedimientos relativos a seguridad en informática.
  • Coordinar el análisis de riesgos, planes de contingencia y prevención de desastres.
  • Efectuar  la evaluación y revisión de la situación del Tribunal en cuanto a seguridad informática, incluyendo el análisis de incidentes ocurridos.
  • RESPONSABILIDADES DE LA DIRECCIÓN DE TECNOLOGIA Y SISTEMAS
  • Implementar y velar por el cumplimento de las políticas, normas y procedimientos de seguridad de toda la Institución, en coordinación con la  Dirección de Administración.
  • Evaluar, adquirir e implementar productos de seguridad informática, y realizar las demás actividades necesarias para garantizar un ambiente informático seguro, eficiente y eficaz.
  • Proporcionar apoyo técnico y administrativo en todos los asuntos relacionados con la seguridad informática y en particular en los casos de infección de virus, ataque de hackers, accesos no autorizados, fraudes y otros percances.
  • En coordinación con las Direcciones de  Auditoria Interna, Recursos Humanos y Administración, dirigir las investigaciones sobre incidentes y problemas relacionados con la seguridad, así como recomendar/aplicar las medidas pertinentes.
  • Establecer los controles de acceso apropiados para cada usuario, supervisar el uso de los recursos informáticos, revisar las bitácoras de acceso y  llevar a cabo las tareas de seguridad relativas a los sistemas que administra.

La Dirección de Tecnología y Sistemas realizará tres tipos de mantenimiento:

  • PREVENTIVO:

La Dirección de Tecnología y Sistemas dispondrá de un cronograma de mantenimiento preventivo para anticiparse a problemas o situaciones riesgosas que perjudiquen el buen funcionamiento de los servicios existentes.

  • PROACTIVO:

En caso de fallas permanentes de un equipo o sistema computacional, la Dirección de Tecnología y Sistemas buscará la causa de dicha falla y procederá a su eliminación mediante la implementación o incorporación de nuevas tecnologías.

  • CORRECTIVO:

La Dirección de Tecnología y Sistemas, dispondrá de personal calificado para solucionar y corregir problemas computacionales que presente el usuario, no obstante de no poder dar solución,  se podrá contratar un servicio técnico especializado.

POLITICAS DE SEGURIDAD PARA LOS COMPUTADORES:

  • Usar las computadoras en un ambiente seguro. Se considera que un ambiente es seguro cuando se han implementado las medidas de control apropiadas para proteger el software, el hardware y los datos. Estas medidas deben estar acorde a la importancia de los datos y la naturaleza de riesgos previsibles.
  • Usar los equipos computacionales para actividades de trabajo y no para otros fines, tales como juegos y pasatiempos.
  • Respetar y no modificar la configuración de hardware y software establecida por la Dirección de tecnología y Sistemas atendiendo a las políticas establecidas en el presente Manual.
  • No fumar cerca de algún equipo computacional ya que esto provocará serios daños en el equipo
  • No manipular alimentos sobre los equipos computacionales teniendo especial cuidado de no derramar liquido en ellos.
  • Proteger los equipos de riesgos del medioambiente (por ejemplo, polvo, incendio y agua).
  • En los servidores y computadoras debe usarse fuentes de poder ininterrumpibles (UPS).
  • Toda falla en los computadores o en la red debe reportarse inmediatamente ya que podría causar problemas serios como pérdida de la información o interrupción  de los servicios.
  • Proteger los equipos para disminuir el riesgo de robo, destrucción, y mal uso.
  • Los equipos deben marcarse para su identificación y control de inventario. Los registros de inventario deben mantenerse actualizados por la unidad  de Bienes Nacionales en coordinación con la Dirección de Tecnología y Sistemas.
  • No mover los equipos o reubicarlos sin autorización previa; para llevar un equipo fuera de la Institución se requiere una autorización escrita del jefe de Bienes Nacionales o del Administrador General; en el caso de las computadoras portátiles bastará con la autorización del respectivo jefe inmediato de cada Dirección o Departamento.
  • Reportar inmediatamente a la Dirección de Tecnología y Sistemas y a la Dirección de Administración, La pérdida o robo de cualquier componente de hardware o programa de software.
  • Para prevenir el acceso no autorizado, los equipos están configurados de manera tal que al cabo de diez (10) minutos de inactividad, se active el protector de pantalla y se bloquee el acceso a la computadora, por lo que se requiere  ingresar nuevamente la  contraseña para reanudar la actividad. El usuario debe bloquear su computador presionando las teclas CTrl + Alt + Supr,  cada vez que se ausente de su oficina.
  • El protector de pantalla y fondo de escritorio deben ser los institucionales. No se permite el uso de estos de manera personalizada tanto en los computadores de escritorio como en las portátiles que son propiedad del TSC.
  • Los datos confidenciales que se muestran en la pantalla deben protegerse de ser vistos por otras personas mediante disposición apropiada del mobiliario de la oficina y del  protector de pantalla.
  • En todas las aplicaciones desarrollados por la Dirección de Tecnología y Sistemas, debe implementarse un sistema de autorización y control de acceso con el fin de restringir la posibilidad de los usuarios para leer, escribir, modificar, crear, o borrar datos importantes. Estos privilegios deben definirse de una manera consistente con las funciones que desempeña cada usuario.
  • No está permitido ingresar a las instalaciones del TSC computadores de escritorio o portátiles (laptop) que sean propiedad particular del empleado; y en caso de ser necesario, se requiere solicitar la autorización correspondiente a la Dirección de Tecnología y Sistemas, con el respectivo visto Bueno del jefe inmediato. Estos equipos no pueden ni deben ser conectados a la red del TSC.
  • No está permitido el uso de módems en los computadores propiedad del TSC.
  • Todo el software de la Institución está protegido por derechos de autor y requiere licencia de uso. Por tal razón es ilegal y está terminantemente prohibido hacer copias o usar ese software tanto adquirido como desarrollado, para fines personales. 
  • Los usuarios no deben copiar a un medio removible (como un diskette, DVD, USB, CD, etc.), el software o los datos residentes en las computadoras del TSC con el propósito de proporcionar información a personal ajeno al TSC.
  • No pueden extraerse datos fuera de la sede de la Institución sin la autorización por escrito  del Director o jefe de Departamento / Unidad a la que se pertenezca. Esta política es particularmente pertinente a aquellos que usan computadoras portátiles o están conectados a redes como Internet.
  • Si se detecta la presencia de un virus u otro agente potencialmente peligroso, se debe desconectar de la red y notificar inmediatamente a la Dirección de Tecnología y Sistemas.
  • Debe utilizarse un programa antivirus para examinar todo archivo que venga de afuera o inclusive de otras Direcciones/Deptos/Unidades de la Institución.
  • Queda prohibido bajar de Internet, software libre, gratis, demos, y en general software que provenga de una fuente distinta del Tribunal Superior de Cuentas. La Dirección de Tecnología y Sistemas es la  responsable de proveer el software de trabajo asignado a cada computador de acuerdo a la disponibilidad de licencias.
  • Para prevenir demandas legales o la introducción de virus informáticos, se prohíbe estrictamente la instalación de software no autorizado, incluyendo el que haya sido adquirido por el propio usuario.
  • Para ayudar a restaurar los programas originales no dañados o infectados, deben hacerse copias de todo software nuevo antes de su uso, y deben guardarse tales copias en un lugar seguro.
  • Cada usuario es responsable de la información almacenada en su computador, por lo tanto periódicamente debe hacer el respaldo de los datos guardados en PCs y las copias deben guardarse en un lugar seguro, a prueba de hurto, incendio e inundaciones.
  •  Los programas y datos vitales para el TSC,  deben guardarse en otra sede, lejos del edificio. Esta actividad debe ser realizada por la Dirección de Tecnología y Sistemas
  • La información del TSC clasificada como confidencial o de uso restringido, debe guardarse y transmitirse en forma cifrada, utilizando herramientas de encriptado robustas y que hayan sido probadas y aprobadas por la Dirección de tecnología y Sistemas.
  • No debe borrarse la información original no cifrada hasta que se haya comprobado que se puede recuperar desde los archivos encriptados mediante el proceso de descifrado.
  • El acceso a las claves utilizadas para el cifrado y descifrado debe limitarse estrictamente a las personas autorizadas y en ningún caso deben revelarse a consultores, contratistas y/o personal temporal.
  • Siempre que sea posible, deba respaldarse y/o eliminarse información confidencial de los computadores y unidades de disco duro antes de que les mande a reparar.
  • El personal que está autorizado y utiliza un computador portátil que contenga información confidencial de la Institución,  no debe dejarla desatendida, sobre todo cuando esté de viaje,  además,  esa información debe estar cifrada.
  • El espacio disponible en los discos duros es para almacenamiento de información relacionada con el trabajo, por lo tanto, no deberá utilizarse más de cuatro (4) Gb para el almacenamiento de archivos personales.

POLITICAS PARA EL USO DE HARDWARE:

  • No deben abrir o romper los sellos de seguridad instalados en cada computador por la Dirección de Tecnología y Sistemas.
  •  No abrir, retirar o cambiar componentes de los equipos.
  • Evitar prestar e intercambiar los equipos computacionales.
  • Evitar instalar dispositivos o periféricos sin la supervisión y autorización expresa de la Dirección de Tecnología y Sistemas.
  • No debe conectarse dispositivos portátiles alambricos o inalámbricos como ser: Handheld, PDA, Teléfonos celulares, IPOD, etc.  a los computadores institucionales.
  • No retirar o sacar equipo de la institución sin previa autorización

POLITICAS PARA EL USO DE SOFTWARE:

  • El equipo que sea entregado al usuario contendrá en el disco duro el software básico, siendo estos los definidos por la Dirección de Tecnología y sistemas, como estándar  para su operación y funcionamiento.
  • Cualquier otro software que requiera el usuario, deberá ser solicitado a la Dirección de Tecnología y Sistemas.
  • La solicitud de algún Sistema o Software que se requiera debe ser enviada por escrito  por el Director correspondiente a la Dirección de Tecnología y Sistemas, señalando los beneficios que tendría su obtención en la mejor realización de su trabajo. La Dirección de Tecnología y Sistemas, analizadas las ventajas institucionales lo incluirá en su programa de adquisición o desarrollo.
  • El usuario deberá mantener los archivos de su equipo ordenados, siendo de su responsabilidad conservar espacio suficiente en el disco duro para poder ejecutar sus aplicaciones.
  • La instalación de software y/o sistemas sólo podrán ser efectuadas por la Dirección de Tecnología y Sistemas, siendo ésta quien  efectúe las pruebas técnicas de la instalación, así como su mantenimiento y respaldos.
  • Se debe respetar la propiedad intelectual y licencias. El usuario no podrá copiar o redistribuir programas propiedad del TSC.
  • La instalación de un software y/o Sistema no autorizado por la Dirección de Tecnología y Sistemas, puede provocar que alguna aplicación no funcione adecuadamente, siendo responsabilidad absoluta del usuario del equipo.

POLITICAS DE SERVICIO AL USUARIO:
La Dirección de Tecnología y Sistemas será responsable de:

  • Proporcionar soporte computacional a las distintas dependencias de la Institución.
  • Mantenerse actualizado respecto a las soluciones informáticas existentes en el mercado. 
  • Realizar  mantenimientos: preventivo, preactivó y correctivo a los equipos, programas, Sistemas y Software pertenecientes al TSC y que sean de su responsabilidad.
  • Prestar ayuda y asesoría solo cuando se trate de asuntos relacionadas con su área de conocimiento.
  • Eliminar todo software (juegos, reproductores de audio y video, etc.) que haya sido instalado sin previa autorización de la Dirección de Tecnología y Sistemas
  • Verificar  la integridad, configuración y estado de los equipos.

POLITICAS DE SEGURIDAD:

  • Es responsabilidad de los usuarios cuidar y mantener el buen estado de los equipos computacionales.
  • La Dirección de Tecnología y Sistemas,  respaldará periódicamente la información que se encuentra en los distintos servidores.
  • Los usuarios deberán utilizar únicamente los servicios para los cuales está autorizado. No debe utilizar cuenta de otra persona, ni intentar apoderarse de claves de acceso de otros, como tampoco intentar burlar los sistemas de seguridad bajo ningún punto de vista.
  • Cada usuario de un PC será responsable de mantener los debidos resguardos en cuanto a confidencialidad de los datos almacenados.
  • No utilizar el nombre de otro usuario ocultando el propio bajo ninguna circunstancia al momento de utilizar los servicios informáticos institucionales.
  • El usuario deberá respetar a los demás usuarios. Los archivos, discos, información y datos en otras formas individuales, son privados; no se debe  leer, copiar, o cambiar los archivos de cualquier usuario, a menos que haya sido autorizado por éste.
  • Para mantener la seguridad y disminuir el riesgo no se aceptan personas en calidad de practicantes en la Dirección de Tecnología y Sistemas.

POLITICAS DE SEGURIDAD PARA LAS COMUNICACIONES
Propiedad de la información:
Con el fin de mejorar la productividad, el TSC  promueve el uso responsable de las comunicaciones en forma electrónica, en particular el teléfono, el correo de voz, el correo electrónico, Internet y el fax. Los sistemas de comunicación y los mensajes generados y procesados por tales sistemas, incluyendo las copias de respaldo, se deben considerar como propiedad del TSC y no propiedad de los usuarios de tales servicios.

POLITICAS DE USO DE INTERNET

  • Las configuraciones de las estaciones de trabajo para acceder al servicio de Internet son responsabilidad exclusiva del personal de  la Dirección de Tecnología y Sistemas.
  • El objetivo de esta política es otorgar un ordenamiento en el uso del servicio de internet, definiendo de manera general, no limitativa, las actuaciones consideradas como abusivas y prohibidas. 

POLITICAS:

  1. La Dirección de Tecnología y Sistemas tiene el deber de filtrar todo contenido que vaya en contra del interés del TSC.
  • La Dirección de Tecnología y Sistemas tiene la autoridad para controlar y negar el acceso a cualquiera que viole las políticas o interfiera con los derechos de otros usuarios. También tiene la responsabilidad de notificar a aquellas personas que se vean afectadas por las decisiones tomadas.  
  • El uso de Internet es personal e intransferible no permitiéndose que terceras personas hagan uso del servicio (personas externas al TSC).
  • Cada usuario es el responsable de las acciones efectuadas a través de este servicio.
  • La Información consultada en cualquier horario de trabajo a través de Internet, debe apoyar directamente las funciones relacionadas con el campo de responsabilidad laboral del usuario y/o servir como herramienta para desempeñar sus funciones.
  • Todo usuario que acceda a otra red por medio de la red de la institución debe acatar las reglas que rijan las mismas, ejemplo SIAFI, SIGADE, etc.
  • El usuario no debe utilizar ninguna conexión privada a Internet a través de las estaciones de trabajo conectadas simultáneamente a redes del TSC (conexiones vía telefónica o dial up, cable y celulares). 
  • Se prohíbe utilizar los servicios de red para juegos (en línea) a través del servicio de Internet o Intranet.
  • Se prohíbe acceder a lugares obscenos, que distribuyan material pornográfico, o bien materiales ofensivos en perjuicio de terceros.
  • Los mensajes que se envíen vía Internet, serán de completa responsabilidad del usuario emisor y en todo caso deberán basarse en la racionalidad y la responsabilidad individual. Se asume que en ningún momento dichos mensajes podrán emplearse en contra de los intereses de personas individuales, así como de ésta u otra Institución.
  • Está prohibido bajar (download), instalar, copiar o almacenar programas computacionales, software y demás materiales electrónicos que violen la ley de derechos de autor.
  1. Los recursos, servicios y conectividad disponibles vía Internet abren nuevas oportunidades, pero también introducen nuevos riesgos. En particular, no debe enviarse a través de Internet mensajes con información confidencial a menos que tal información esté cifrada.
  • De manera consistente con prácticas generalmente aceptadas, el TSC  procesa datos estadísticos sobre el uso de los sistemas de comunicación. Como ejemplo, los reportes de la red en el uso de  Internet contienen detalles sobre lugares de acceso, numero de veces, duración,  y fecha  y hora en que se efectuó el acceso.
  • Es política del TSC no monitorear regularmente las comunicaciones. Sin embargo, el uso y el contenido de las comunicaciones puede ocasionalmente ser supervisado en caso de ser necesario para actividades de mantenimiento, seguridad o auditoria.
  • La navegación en Internet para fines personales no debe hacerse a expensas del tiempo y los recursos de la Institución.
  • Es política del TSC no admitir estudiantes en calidad de practicantes en la Dirección de Tecnología y Sistemas
  1. Está prohibido ver o bajar archivos de música o vídeo desde Internet.

POLITICAS DE USO DE CORREO ELECTRONICO
El servicio de correo electrónico es una plataforma de comunicación brindada por el TSC, la cual permite a los usuarios enviar y recibir mensajes a todo el mundo electrónicamente. Este servicio se utiliza para mejorar la comunicación entre los funcionarios/empleados  y entre entidades públicas o privadas.
El objetivo de esta política es otorgar un ordenamiento en el uso del servicio de correo electrónico, definiendo de manera general, no limitativa, las actuaciones consideradas como abusivas y prohibidas. 

POLITICAS:

  1. Es responsabilidad del usuario mantener la confidencialidad de la clave de acceso.
  • El TSC en caso de uso no permitido del correo electrónico, suministrará la información del usuario a la entidad que lo requiera para algún tipo de investigación por uso no apropiado del servicio.
  • La cuenta de correo es personal e intransferible no permitiéndose que otros empleados hagan uso de ella.
  • Cada usuario es el responsable de las acciones efectuadas en su cuenta de correo; el TSC no se hace responsable por las opiniones emitidas.
  • Es responsabilidad del usuario limpiar su cuenta periódicamente para que exista espacio disponible.
  • Todo usuario es responsable por los datos/documentos adjuntos que envía.
  • El incumplimiento por parte del usuario puede ocasionar la suspensión y posterior baja del sistema del servicio de correo electrónico.
  1. Es estrictamente prohibido el envío de cadenas.

Reenvío de mensajes:
Tomando en cuenta que cierta información está dirigida a personas específicas y puede no ser apta para otros, dentro y fuera de la Institución, se debe ejercer cierta cautela al reenviar los mensajes. En todo caso no debe remitirse información confidencial del TSC  sin la debida aprobación.

Borrado de mensajes:
Los mensajes que ya no se necesitan deben ser eliminados periódicamente de su área de almacenamiento. Con esto se reducen los riesgos de que otros puedan acceder a esa información y además se libera espacio en disco.

POLITICAS DE SEGURIDAD PARA REDES
El propósito de esta política es establecer las directrices, los procedimientos y los requisitos para asegurar la protección apropiada de la Institución al estar conectada a redes de computadoras.
Esta política se aplica a todos los empleados, contratistas, consultores y personal temporal del TSC.

  • Todos los cambios en los servidores y equipos de red del TSC, incluyendo la instalación de un  nuevo software y otros, deben ser documentados y debidamente aprobados, excepto si se trata de una situación de emergencia. Todo esto es para evitar problemas por cambios apresurados y que puedan causar interrupción de las comunicaciones, caída de la red, denegación de servicio o acceso inadvertido a información confidencial.
  • Los privilegios especiales, de posibilidad de modificar o borrar los archivos de otros usuarios, sólo deben otorgarse a aquellos directamente responsable de la administración o de la seguridad de los sistemas.
  • Los privilegios del sistema concedidos a los usuarios deben ser ratificados cada 6 meses. La Dirección de Tecnología y Sistemas debe revocar rápidamente los privilegios de un usuario cuando reciba una orden de un superior, y en particular cuando un empleado cesa en sus funciones.
  • Cuando un empleado se retira del TSC, la Dirección de Recursos Humanos debe informar de inmediato a la Dirección de Tecnología y Sistemas para que esta desactive la cuenta de usuario.

Contraseñas y el control de acceso:

  • El usuario no debe guardar su contraseña en una forma legible en archivos en disco, y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser encontrada. Si hay razón para creer que una contraseña ha sido comprometida, debe cambiarla inmediatamente. No deben usarse contraseñas que son idénticas o substancialmente similares a contraseñas previamente empleadas. Siempre que sea posible, debe impedirse que los usuarios vuelvan a usar contraseñas anteriores.
  • Nunca debe compartirse la contraseña o revelarla a otros. El hacerlo expone al usuario a las consecuencias por las acciones que los otros hagan con esa contraseña.
  • Está prohibido el uso de contraseñas de grupo para facilitar el acceso a archivos, aplicaciones, bases de datos, computadoras, redes, y otros recursos del sistema. Esto se aplica en particular a la contraseña del administrador.
  • La contraseña inicial emitida a un nuevo usuario sólo debe ser válida para la primera sesión. En ese momento, el usuario debe escoger otra contraseña.
  • Las contraseñas predefinidas que traen los equipos nuevos tales como routers, switchs, etc., deben cambiarse inmediatamente al ponerse en servicio el equipo.
  • Las contraseñas deben cambiarse con frecuencia, siendo éstas de uso personal, será de responsabilidad  de cada usuario acordarse de la contraseña.
  • Toda contraseña debe empezar con una letra, seguida de un conjunto de caracteres (letra, número o símbolo). Sé recomienda no usar contraseñas que sean fácilmente deducibles.
  • Para prevenir ataques, cuando el software del sistema lo permita, debe limitarse a 3 el número de consecutivos de intentos infructuosos de introducir la contraseña, luego de lo cual la cuenta involucrada queda suspendida y se alerta al Administrador del sistema. Si se trata de acceso remoto vía módem por discado, la sesión debe ser inmediatamente desconectada.
  • Para el acceso remoto a los recursos informáticos de la Institución la combinación del ID de usuario y una contraseña fija no proporciona suficiente seguridad, por lo que se recomienda el uso de un sistema de autenticación más robusto basado en contraseñas dinámicas, fichas (tokens) o tarjetas inteligentes.
  • Si no ha habido ninguna actividad en un terminal, PC o estación de trabajo durante un cierto periodo de tiempo, el sistema debe automáticamente borrar la pantalla y suspender la sesión. El periodo recomendado de tiempo es de 05 minutos. El re-establecimiento de la sesión requiere que el usuario se autentique mediante su contraseña.
  • Si el sistema de control de acceso no está funcionando propiamente, debe rechazar el acceso de los usuarios hasta que el problema se haya solucionado.
  • Los usuarios no deben intentar violar los sistemas de seguridad y de control de acceso. Acciones de esta naturaleza se consideran violatorias de las políticas de la Institución  pudiendo ser causal de despido.
  • Para tener evidencias en casos de acciones disciplinarias y judiciales, cierta clase de información debe capturarse, grabarse y guardarse cuando se sospeche que se esté llevando a cabo abuso, fraude u otro crimen que involucre los sistemas informáticos.
  • Los archivos de bitácora (logs) y los registros de auditoria (audit trails) que graban los eventos relevantes sobre la seguridad de los sistemas informáticos y las comunicaciones, deben revisarse periódicamente y guardarse durante un tiempo prudencial de por lo menos tres meses. Dicho archivos son importantes para la detección de intrusos, brechas en la seguridad, investigaciones, y otras actividades de auditoria. Por tal razón deben protegerse para que nadie los pueda alterar y que sólo los pueden leer las personas autorizadas.
  • Los servidores de red deben estar ubicados en locales apropiados, protegidos contra daños y robo. Debe restringirse severamente el acceso a estos locales y a los cuartos de cableado a personas no autorizadas mediante el uso de cerraduras y otros sistemas de acceso (por ejemplo, tarjetas de proximidad).

TIPOS DE FALTAS
Las faltas cometidas por los usuarios serán sancionadas de acuerdo a la gravedad de las mismas y se clasifican en leves, menos graves y graves; según se señalan a continuación, las cuales se incorporaran al régimen de los Empleados y Funcionarios del Tribunal Superior de Cuentas.

LEVES:

  • Usar los equipos de la Institución, para actividades no laborales como  juegos y pasatiempos.
  • Manipular alimentos sobre los equipos computacionales
  • Utilizar fondos y/o protectores de pantalla que no son los institucionales (personalizados), sean computadores personales y/o portátiles, propiedad del TSC
  • Exponer los equipos a riesgos del medioambiente (por ejemplo, polvo, incendio y agua).
  • No reportar inmediatamente  fallas en los computadores o en la red que consecuentemente causen problemas serios como pérdida de la información o indisponibilidad de los servicios.
  • Mover (cambiar de lugar, desplazar) los equipos o reubicarlos sin autorización previa.
  • No reportar a la Dirección de Tecnología y Sistemas la detección de, virus u otro agente potencialmente peligroso.
  • La no utilización de un programa antivirus para examinar todo archivo que venga de afuera o inclusive de otras Direcciones/Deptos/Unidades de la Institución.
  • Utilizar diskettes u otros medios de almacenamiento en cualquier computadora portadores de virus u  otros agentes dañinos.
  • Utilizar los servicios de red para juegos a través del servicio de Internet o Intranet.
  • La falta de cuidado, pulcritud y limpieza del equipo de informática asignado.
  • La navegación en Internet para fines personales por períodos prolongados de tiempo.
  • Bajar archivos de música o vídeo desde Internet.

MENOS GRAVES:
Constituyen  faltas menos graves:

  • La reincidencia en la comisión de una falta leve
  • Modificar la configuración de hardware y/o software establecida por la Dirección de tecnología y Sistemas
  • Llevar al sitio de trabajo computadores portátiles (laptop) que sean propiedad particular del empleado sin la autorización previa. 
  • La instalación de programas y la modificación de los programas, paquetes y configuraciones ya instalados en los computadores.
  • Visitar o acceder a sitios web obscenos, que distribuyan material pornográfico, o materiales ofensivos en perjuicio de terceros.
  • Utilizar el Internet para enviar mensajes que vayan en contra de empleados y/o de los intereses de otras  personas así como de ésta u otra Institución. (cadenas correos masivos)

GRAVES:
Constituyen faltas graves:

  • La reincidencia en la comisión de una falta menos grave
  • La pérdida o robo de cualquier componente de hardware o programa de software por negligencia debidamente comprobada.
  • Llevar un equipo fuera de la Institución sin autorización previa.
  • Revelar datos confidenciales.
  • Conectar a la red del TSC computadores portátiles (laptop) que sean propiedad particular del empleado sin la autorización previa. 
  • Hacer copias o usar software tanto adquirido como desarrollado, para fines personales y en violación a derechos de autor.
  • Hacer uso de software bajado de Internet (software libre, gratis, demos, etc.) y en general software que provenga de una fuente no confiable.
  • El uso de módems en PCs que tengan también conexión a la red local (LAN), a menos que sea debidamente autorizado.
  • Copiar a un medio removible (como un diskette, DVD, USB, CD), el software o los datos residentes en las computadoras del TSC, sin la aprobación previa.
  • No realizar respaldos de los datos guardados en PCs y servidores.
  • Negligencia en el manejo de la información confidencial del TSC contenida en computador personal o portátil
  • Borrar/eliminar la información original no cifrada sin que se  haya comprobado que se puede recuperar desde los archivos encriptados mediante el proceso de descifrado.
  • Utilizar/usurpar el acceso a las claves utilizadas para el cifrado y descifrado.
  • Abrir los equipos computacionales, violentar sellos.
  • Prestar, compartir, usurpar ,contraseña
  • Burlar los sistemas de seguridad informática
  • Sacar (extraer) o cambiar componentes de los equipos
  • Prestar e intercambiar los equipos computacionales sin la correspondiente autorización.
  • Instalar equipos sin la supervisión y autorización expresa de la Dirección de Tecnología y Sistemas.
  • Leer, copiar, o cambiar los archivos de cualquier otro usuario.
  • Inspeccionar, copiar y almacenar programas computacionales, software y demás materiales electrónicos que violen la ley de derechos de autor.
  • Enviar a través de Internet mensajes con información confidencial a menos que tal información esté cifrada y autorizada.
  • Divulgar, duplicar , modificar , destruir, extraviar , robar y acceder a información confidencial
  1. Ingresar a los servidores de red y/o cuartos de cableado de uso exclusivo para personal autorizado. (área restringida).

La aplicación de medidas disciplinarias a las faltas contenidas en el presente Manual, se realizará de acuerdo a lo  establecido en el  Régimen de Carrera de los Funcionarios y Empleados del Tribunal Superior de Cuentas.

ARTÍCULO SEGUNDO: Vigencia. Este Manual entra en vigencia en la fecha de este Acuerdo y deberá publicarse en La Gaceta

Es conforme con su original, con el que fue debidamente cotejado.

Tegucigalpa, M.D.C. a los veintitrés (23)  días del mes de enero de dos mil  ocho (2008).

 

OSCAR CANO FONTECHA
Secretario del Pleno