GENERALES 2 Modificado,,,,, · Procedimiento de Auditoría Informática de Internet a requerimiento...

ASAMBLEA NACIONAL

MANUAL DE PROCEDIMIENTOS ADMINISTRATIVOS UNIDAD DE SEGURIDAD INFORMÁTICA

2017

Generalidades

Base Legal

Descripción de Conceptos

Estructura Organizativa

Funciones

Políticas de Seguridad

Procedimientos Administrativos

Flujogramas

Anexos

DIRECTIVA

H.D. RUBEN DE LEÓN S. PRESIDENTE H.D. LUIS EDUARDO QUIRÓS PRIMER VICEPRESIDENTE H.D. YANIBEL ÁBREGO SMITH SEGUNDA VICEPRESIDENTA LIC. FRANZ O. WEVER Z. SECRETARIO GENERAL LIC. ANELIS BERNAL SUBSECRETARIA GENERAL

SECRETARÍA GENERAL

DIRECCIÓN DE DESARROLLO INSTITUCIONAL

LIC. LUZ MARINA NAVARRO GUTIÉRREZ

DIRECTORA

PERSONAL TÉCNICO

LIC.MARKELDA CAÑIZALES ANALISTA

LIC.BERTA HISLOP ANALISTA

LIC.MELINA OROCÚ ANALISTA

TEC.GLORIA GIL ASISTENTE ADMINISTRATIVA

SEÑORA MATILDE BUSTAMANTE SECRETARIA

PERSONAL TÉCNICO UNIDAD DE SEGURIDAD INFORMÁTICA

FELIX SÁNCHEZ JEFE

YOSELIN HERNÁNDEZ ANALISTA DE SISTEMA DE SEGURIDAD

ALEJANDRO ANDRADE ANALISTA DE SISTEMA DE SEGURIDAD

KATHIA CHÁVEZ ASISTENTE DE ANALISTA

REVISADO POR: DEPARTAMENTO DE CORRECCIÓN Y ESTILO DE LA DIRECCIÓN NACIONAL

DE ASESORÍA EN ASUNTOS PLENARIOS

LIC. ROSAURA RIVERA CORRECTORA

ÍNDICE

Páginas

Introducción i Generalidades

Objetivo del Manual 1

Ámbito de aplicación y alcance 1

Base legal de la Unidad de Seguridad Informática 2

Descripción de conceptos 3

Estructura Organizativa 6

Objetivo y funciones 7

Normas de seguridad informática 8

Integridad y disponibilidad de los recursos 9

Accesos no autorizados y suplantación de identidad 10

Uso de los servicios de comunicación y difusión de información 12

Uso de la infraestructura de comunicaciones 12

Licencias de software y derechos de autor 14

Adquisición de tecnología 15

Consecuencias del mal uso de los recursos tecnológicos 16

Procedimiento de Auditoría de Seguridad del Equipo Informático 18 Flujograma 20

Procedimiento de Auditoría de Evaluación de Proyectos 21 Flujograma 23 Procedimiento de Auditoría Informática de Sistemas 24 Flujograma 26

Procedimiento de Auditoría Informática de Internet a requerimiento 27 Flujograma 29 Procedimiento de Auditoría Informática de Internet por riesgo e incidente 30 Flujograma 32 Procedimiento de Auditoría Informática de Internet por control periódico 33 Flujograma 35

PROCEDIMIENTOS Y FLUJOGRAMAS

Procedimiento de Instalación de Antivirus 36

Anexo #1 Reglamento para el uso de los Sistemas Informáticos 42

Anexo #2 Control de manejo de informe técnico 43 Instructivo 44

Anexo #3 Control del acceso a información técnica 45 Instructivo 46

Anexo #4 Cuestionario de uso de Internet 47 Instructivo 50 Anexo #5 Política sobre el uso de Internet 52 Anexo #6 Lista de los puntos revisados en las auditorias 53 Anexo #7 Plantilla de propiedades del Sistema Windows 54 Anexo #8 Plantilla de eset remote administrador 55 Anexo #9 Plantilla de certificación de instalador 56 Anexo #10 Plantilla de certificado de agente para la instalación 57 Anexo #11 Plantilla para obtener instaladores 58 Anexo #12 Plantilla de paquetes para descargar 59 Anexo #13 Plantilla de instalación del antivirus 60

ANEXOS

Anexo #14 Plantilla de asistente para la instalación de eset remote administrator agent 61 Anexo #15 Plantilla de Inicio de la instalación del eset remote administrator agent 62 Anexo #16 Plantilla de proceso de instalación 63 Anexo #17 Plantilla de completado la instalación 64 Anexo #18 Plantilla de Bienvenida de eset endpoint Security 65 Anexo #19 Plantilla remove aplications 66 Anexo #20 Plantilla no applications found 67 Anexo #21 Plantilla de eset endpoint Security 68 Anexo #22 Plantilla de acuerdo de licencia de usuario final 69 Anexo #23 Plantilla de eset live grid 70 Anexo #24 Plantilla de detección de aplicaciones potencialmente no deseadas 71 Anexo #25 Plantilla de Activar con clave de licencia 72 Anexo #26 Plantilla de activación del producto 73 Anexo #27 Plantilla de nueva conexión de Red 74 Firma de autorización 75

OTROS

INTRODUCCIÓN

La Asamblea Nacional en su constante proceso de modernización cuenta hoy día con

herramientas tecnológicas que permiten el acceso oportuno a la información y la rápida

comunicación con el mundo.

Esta plataforma tecnológica hace posible que los colaboradores de la Institución realicen

sus tareas de forma eficiente y a la vez se brinde a la población la oportunidad de

mantenerse actualizada de toda la gestión legislativa.

Las computadoras, los servidores y las redes son instrumentos que permiten de forma

eficiente el acceso y distribución de la información, por lo que se consideran una

infraestructura estratégica para el desarrollo de los objetivos de la organización.

Gozar de los privilegios y facilidades que proporcionan estas herramientas tecnológicas

acarrea responsabilidades a los usuarios del sistema y de los recursos físicos, quienes

han de acatar las leyes y regulaciones que se formulen al respecto.

El presente Manual de procedimientos es una herramienta que permite conocer los pasos

que deben ejecutarse para mantener de forma segura la estructura tecnológica en la

Asamblea Nacional, al mismo tiempo busca establecer una cultura de calidad operada de

forma confiable, siendo la seguridad informática, el medio donde se valoran y

administran los riesgos apoyados en estrategias y estándares que cubren las necesidades

en materia de seguridad.

El desarrollo de este Manual, además, tiene como finalidad estructurar los criterios de

seguridad de la información sistematizada en la Institución, establecer un control de

usuarios de la red y plasmar lineamientos en esta materia.

Las políticas de seguridad informática establecidas en este Manual son la base

fundamental para la protección de los activos informáticos y de toda la información que se

esgrime en el Parlamento.

i

Este documento debe ser renovado en la medida en que se realicen cambios y se

incorporen nuevos procesos en dicha Unidad, con el propósito de conservar este material

siempre actualizado.

UNIDAD DE SEGURIDAD INFORMÁTICA 2017

Asamblea Nacional-Manual de Procedimientos Página 1

1. Generalidades El presente Manual contiene los lineamientos y procedimientos que tienen por objeto

establecer medidas y patrones técnicos de administración y organización de las

tecnologías de información y comunicación de todo el personal comprometido en el uso

de los servicios informáticos proporcionados por la Institución.

También se convierte en una herramienta de trabajo que muestra las políticas de

seguridad informática al personal de la Unidad, facilitando una mayor integridad,

confidencialidad y confiabilidad de la información generada, así como el manejo de

datos y el uso de bienes informáticos, tanto de hardware como de software disponible,

minimizando los riesgos en el uso de las tecnologías de información.

1.1 Objetivo del Manual

El Manual de Procedimientos de la Unidad de Seguridad Informática es un

instrumento técnico de automatización que tiene los siguientes objetivos:

1.1.1 Establecer formalmente los procesos requeridos para la ejecución de las

tareas y lograr el cumplimiento de los objetivos funcionales y estratégicos de la

Unidad de Seguridad Informática.

1.1.2 Ser utilizado como instrumento de información y medio de capacitación para

alinear persistentemente al personal.

1.1.3 Instaurar las bases para mantener un firme sistema de control interno que

facilite el proceso de las tareas encomendadas.

1.2 Ámbito de aplicación y alcance El presente Manual se aplica a todas las áreas que conforman la estructura

orgánica de la Asamblea Nacional.



Este documento define los procedimientos que deben cumplir de manera

obligatoria todos los usuarios de la Institución para garantizar el buen uso de los

equipos de cómputo, aplicaciones y servicios informáticos.

2. Base legal de la Unidad de Seguridad Informática

La Unidad de Seguridad Informática, fue creada mediante la Resolución Nº. 263 de 30 de

junio de 2008, integrada al nivel coordinador, posteriormente bajo la Resolución Nº.52 de

12 de agosto de 2009, se modifica la estructura organizativa y pasa a formar parte de la

Dirección de Tecnología, Informática y Comunicaciones y, posteriormente, mediante la

Resolución Nº.47 de 5 de agosto de 2010, se extrae de la Dirección antes mencionada

para ser integrada el nivel fiscalizador bajo el nombre de Unidad de Seguridad

Informática.



Descripción de Conceptos

1. Usuario

Es la persona que utiliza o trabaja con algún objeto o que es destinataria de algún

servicio público, privado, empresarial o profesional.

2. Políticas de seguridad

Es un conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger

y distribuir recursos en una organización para llevar a cabo los objetivos de

seguridad informática dentro de la misma.

3. Password

Es una serie secreta de caracteres que permite a un usuario tener acceso a un

archivo, a un ordenador o a un programa.

4. Sistema de Información

Es un conjunto de componentes relacionados que recolectan (o recuperan),

procesan, almacenan y distribuyen información para apoyar la toma de decisiones y

el control en una organización.

5. Mensajería Instantánea (conocida también en inglés como IM).

Es una forma de comunicación en tiempo real entre dos o más personas basada en

texto. El texto es enviado a través de dispositivos conectados a una red como

Internet.

6. FTP (Protocolo de Transferencia de Archivos).

Es un protocolo de red para la transferencia de archivos entre sistemas conectados a

una red TCP (Transmission Control Protocol), basado en la arquitectura cliente-

servidor.

7. Servidor Web

Es un programa informático que procesa una aplicación del lado del servidor,

realizando conexiones bidireccionales o unidireccionales y síncronas o asíncronas



con el cliente y generando o cediendo una respuesta en cualquier lenguaje o

Aplicación del lado del cliente.

8. RDSI

Es una red que procede por evolución de la Red Telefónica Básica (RTB) o Red

Telefónica Conmutada (RTC) convencional, que facilita conexiones digitales de

extremo a extremo entre los terminales conectados a ella (teléfono, fax, ordenador,

etc.).

9. ADSL

Es una tecnología de acceso a Internet de banda ancha, lo que implica una velocidad

superior a una conexión por módem en la transferencia de datos, ya que el módem

utiliza la banda de voz y por tanto impide el servicio de voz mientras se use y

viceversa.

10. Routers

Es un dispositivo de hardware que permite la interconexión de ordenadores en red.

11. Módem

Es un dispositivo que convierte las señales digitales en analógicas (modulación) y

viceversa (desmodulación), y permite así la comunicación entre computadoras a

través de la línea telefónica o del cable módem.

12. Redes

Conjunto de equipos informáticos conectados mediante dispositivos físicos de

transporte de datos.

13. Sniffer

Es una aplicación especial para redes informáticas, que permite como tal capturar los

paquetes que viajan por una red.

14. Freeware

Se refiere a aplicaciones o software de ordenador gratis.



15. Open Sourse(Código abierto).

Es el término con el que se conoce al software distribuido y desarrollado libremente.

El código abierto tiene un punto de vista más orientado a los beneficios prácticos de

compartir el código que a las cuestiones éticas y morales, las cuales destacan en el

llamado software libre.

16. Cookies

Pequeña información enviada por un sitio Web y es almacenada en el navegador del

usuario.

17. Auditoria externa

Es un examen crítico, objetivo, sistemático y detallado de un sistema de información

informático.

18. Auditoria interna

Ayuda a cumplir los objetivos de la Institución aportando un enfoque sistemático y

disciplinado que permite evaluar y mejorar la eficacia de los procesos de gestión de

los riesgos informáticos y su respectivo control.

19. Incidente

Acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada

de información. Un impedimento en la operación normal de las redes, sistemas o

recursos informáticos o cualquier acto que implique una violación a la política de la

seguridad informática de la Institución.

20. Riesgo

Es una medida de la magnitud de los daños frente a una situación peligrosa.

Ocurrencia potencial de perjuicio o daño para cualquier recurso informático.



ESTRUCTURA ORGANIZATIVA

PRESIDENCIA

PRIMERA VICEPRESIDENCIA

SEGUNDA VICEPRESIDENCIA

UNIDAD DE SEGURIDAD

INFORMÁTICA



UNIDAD DE SEGURIDAD INFORMÁTICA

OBJETIVO

Asegurar que se cumplan las políticas de seguridad, normas y procedimientos de acceso

y utilización de los sistemas de informática en la Asamblea Nacional.

FUNCIONES

- Diseñar políticas para la implementación, administración y uso seguro de los sistemas

de informática y comunicaciones que se administren a nivel institucional.

- Contribuir al desarrollo del modelo de aseguramiento de la calidad de los sistemas y

servicios informáticos que provee la Dirección de Tecnología Informática y

Comunicaciones.

- Promover el cumplimiento de las normas de seguridad para el acceso a los sistemas

de informática y comunicaciones instalados en la Institución.

- Garantizar los planes de seguridad para minimizar la vulnerabilidad de los sistemas

de informática institucional y para asegurar la recuperación de las operaciones de

cómputo ante fallas menores y/o mayores.

- Evaluar periódicamente las políticas y normas de seguridad informática,

adecuándolas a los riesgos y vulnerabilidades vigentes.

- Elaborar el plan anual de trabajo de sus actividades y proyectos.

- Confeccionar los informes de seguimiento sobre la ejecución de sus labores.

- Elaborar los informes de evaluación de resultados.

- Formular el anteproyecto de presupuesto de la Unidad.

- Las demás funciones que se le asignen afines a su área de especialidad.



Políticas

1. Normas de seguridad informática

Las normas de seguridad informática son un conjunto de lineamientos, reglas,

recomendaciones y controles con el propósito de dar respaldo a los procedimientos y

objetivos desarrollados por estas, a través de funciones, delegación de responsabilidades

y otras técnicas, con un objetivo claro, acorde a las necesidades de seguridad

establecidas en el entorno administrativo de la red institucional.

Estas normas constituyen un canal formal de actuación, en relación con los recursos y

servicios informáticos de la organización, las cuales establecen los procedimientos que

regulan la forma en que la organización previene, protege y maneja los riesgos de los

posibles daños, sin importar el origen de estos.

1.1 Nuevos usuarios

Cada vez que la Institución contrate personal nuevo, la Dirección de Recursos

Humanos debe notificar a la Unidad de Seguridad Informática, con el propósito de

asignarle los derechos que le corresponden en cuanto al uso del equipo informático y

de la información que manejará. De igual manera, en caso de retiro de un funcionario

de la Asamblea Nacional también se debe comunicar a esta Unidad para efectos de

anular y cancelar los derechos otorgados.

1.2 Capacitación en seguridad informática

Todo nuevo funcionario de la Asamblea Nacional deberá recibir inducción sobre las

Políticas de Seguridad Informática contempladas en el del Manual de Usuarios de la

Institución, que les permitirá conocer las obligaciones y las sanciones que conlleva el

uso indebido del equipo informático.

1.3 Sanciones para usuarios

Las violaciones graves están descritas en el cuadro de aplicación de sanciones,

establecidas en el Reglamento de Seguridad Informática. Anexo No.1



2. Sobre la integridad y disponibilidad de los recursos12

Los usuarios deben respetar la integridad de los recursos y sistemas de información. Para

ello, se enumeran una serie de regulaciones a saber:

2.1 Un usuario no debe tratar de alterar o eliminar ordenadores (hardware o

configuración del SO), software o periféricos que estén asignados a el u/a otros

usuarios, sin la debida autorización de la Dirección de Tecnología Informática y

Comunicaciones.

2.2 Los usuarios no deben entorpecer o absorber recursos compartidos de forma tal

que impidan a otros realizar sus tareas de una forma eficiente. Esto incluye, lo

siguiente:

2.2.1 Envío a través de correo electrónico de cartas encomendadas o mensajes excesivamente voluminosos o con muchos destinatarios, ya sean locales o ajenos a la Institución.

2.2.2 Uso de programas que puedan saturar los servidores a las redes de la

Asamblea Nacional, cuando haya alternativas más eficientes o no tengan una

prioridad alta. En cualquier caso, se deberá solicitar con la suficiente antelación al

responsable informático.

2.2.3 Modificaciones no autorizadas de privilegios o permisos.

2.2.4 Intentos de desactivar servidores o cortar el funcionamiento de las redes.

2.2.5 Intento de realizar cualquier tipo de daño (físico o lógico) a las herramientas

informáticas (equipos, aplicaciones, documentos, entre otros) de la Asamblea

Nacional.

Los usuarios no deberán, intencionadamente, desarrollar o usar programas cuyo

objetivo sea dañar otras máquinas o acceder a recursos restringidos (malware: virus,

troyanos, puertas traseras, entre otros). Más aún, deberán controlar que no se les

infecte su equipo con este tipo de software, para lo cual la Dirección de Tecnología

deberá proporcionar las herramientas y utilidades adecuadas. El uso de este tipo de

programas, contra un agente externo o contra la propia Asamblea Nacional, puede

incluso implicar acciones legales por la parte afectada.

1 Véase en el Manual de Políticas de Seguridad Informática. 2 Resoluciones No.208 y No.209 de 27 de noviembre de 2009.



2.3 Al usuario a quien se le asigne un equipo de tecnología, será responsable de

este y deberá informar inmediatamente si el equipo es robado, dañado y, en

general, si por cualquier causa resulta inutilizable. Para el efecto de implementar

los reportes de daños, el usuario deberá llamar, a la brevedad posible, al

escritorio de ayuda (HELP DESK) institucional, a la extensión especial para ello

al Nº8000# o al correo electrónico [email protected].

2.4 Al usuario a quien se le asigne un equipo de tecnología móvil, estará autorizado

para movilizar el equipo fuera de la institución, siempre que sea necesario, por

medio de nota de asignación del equipo por parte de la autoridad correspondiente

(Secretaría General, Dirección General de Administración y Finanzas y/o

Dirección de Tecnología Informática y Comunicación). La autorización estará

vigente mientras el usuario sea funcionario de la Asamblea Nacional, hasta que

las autoridades correspondientes tengan a bien suspender la orden o en caso de

que se le asigne un equipo no móvil en su reemplazo.

2.5 Ninguna computadora o equipo de telefónica fijo o móvil podrá ser reparado por

los usuarios. En caso de presentarse algún daño en los equipos, se debe notificar

inmediatamente al escritorio de ayuda de la Dirección de Tecnología, Informática

y Comunicaciones para que sea revisada, y si la garantía estuviese vigente,

hacerla efectiva ante el correspondiente proveedor.

2.6 Los usuarios de las redes no deben utilizar los enlaces de red para otros usos

que no sean los permitidos o los propios necesarios para el buen desempeño de

sus actividades.

3. Sobre accesos no autorizados y suplantación de identidad

3.1 Los usuarios no deben tratar de conseguir accesos a sistemas o recursos a los

que no estén autorizados y tampoco permitir o facilitar que otros lo hagan.

3.2 Los usuarios deben respetar los derechos del resto de usuarios. La mayoría de

los sistemas de uso compartidos proporcionan mecanismos para proteger los

datos e información privada de posibles consultas por parte de otros. Los intentos



de saltarse estos mecanismos para conseguir accesos no autorizados a

información calificada como personal supondrán una violación de esta política.

3.3 Los administradores de sistemas que estén autorizados podrán acceder,

exclusivamente, por motivos de mantenimiento y/o de seguridad a aquellas carpetas

de usuarios que permitan al administrador detectar, analizar u seguir las pistas de

una determinada sesión o conexión.

3.4 En cualquier caso, el administrador de sistemas tiene el deber de guardar secreto

el contenido de las carpetas de los usuarios, no estando autorizado a permitir que

terceros puedan acceder a esta información.

3.5 En el supuesto de que una política interna expresamente lo autorice, el

administrador de sistemas podrá permitir el accedo a terceros (responsables de

proyectos, directores, jefes…) a determinadas carpetas de otros usuarios, debiendo

contar en todo caso, tanto con la autorización del secretario general de la Asamblea

Nacional y con el propietario de la capeta.

3.6 Los usuarios de los recursos informáticos de la Asamblea Nacional no deben

acceder a ordenadores, aplicaciones, datos, información o redes para las que no

estén debidamente autorizados. Tampoco deberán permitir, de forma intencionada,

que otros lo hagan, independientemente de que el recurso (equipo, aplicación, red,

datos, entre otros) pertenezcan o no a la Asamblea Nacional.

3.7 No está permitido realizar, de forma intencionada, acciones cuyo fin sea la

obtención de contraseña de otros usuarios sin el consentimiento de estos.

3.8 Cualquier defecto o anomalía que se descubra en el sistema o en su seguridad se

debe reportar, con la mayor brevedad posible, a la Dirección de Tecnología

Informática y Comunicaciones de la Asamblea Nacional. La Unidad de Seguridad de

Informática estará encargada de investigar y proponer soluciones al problema.

3.9 Todo aquel usuario que haya sido autorizado a utilizar una cuenta mediante un

sistema de login/password será responsable de mantenerla en secreto y no darla a

conocer a nadie sin la autorización del administrador del sistema Dirección de



Tecnología, Informática y Comunicaciones, además de ser siempre el responsable de

lo que se ejecute en el sistema desde esa cuenta.

3.10 Los usuarios deben evitar tener recursos compartidos (carpetas, directorios,

entre otros) sin los mecanismos de aplicación que garanticen la seguridad de su

equipo y la red y seguridad necesarios y disponibles en cada sistema operativo y /o

sin la autorización del administrador del sistema.

4. Sobre el uso de los servicios de comunicación y difusión de información

El correo electrónico, las lista de distribución y servicios de mensajería instantánea son

herramientas que facilitan la comunicación entre las personas. Por ello, conviene tener en

cuenta una serie de comportamientos a la hora de usar estos medios.

4.1 No se deben usar estas herramientas para el envío de mensajes con

contenido fraudulento, ofensivo, obsceno o amenazante.

4.2 Las listas de distribución de correo se deben usar solo para enviar mensajes

relacionados con las funciones que desempeñan los usuarios en la

Institución.

4.3 Los recursos de la Asamblea Nacional no se deben usar para actividades

personales que no tengan relación con las propias del desempeño laboral. En

este caso el responsable informático no está obligado a prestar soporte.

4.4 No se deben usar estos servicios con fines comerciales.

5. Sobre el uso de la infraestructura de comunicaciones

5.1 No instalar ningún servicio telemático (correo electrónico, servidores Web,

FTP, otros) sin la autorización expresa del responsable administrativo y con

la designación de un administrador del sistema de la Dirección de

Informática, Tecnología y Comunicaciones.

5.2 No se puede realizar conexión, desconexión o reubicación de equipos o

cambios de configuración de estos mismos sin la autorización expresa del



responsable administrativo (director) y del administrador del sistema

Dirección de Informática, Tecnología y Comunicaciones.

5.3 Está prohibido la instalación de dispositivos, tarjetas de acceso remoto,

módems, RDSI, ADSL, routers o cualquier otro dispositivo de

comunicaciones en ordenadores o redes sin la autorización expresa del

responsable administrativo y del administrador del sistema de la Dirección de

Informática, Tecnología y Comunicaciones.

5.4 Está prohibida la conexión de equipos de comunicación para intercambio de

información (rutas, redes,..) entre ordenadores de las redes de la Asamblea

Nacional y otros ajenos a dichas redes.

5.5 Está prohibido el uso de la red y ordenadores de la Asamblea Nacional para

conseguir acceso no autorizado a cualquier ordenador.

5.6 Está prohibido instalar o ejecutar en cualquier punto de la red informática

(ordenadores o software de red) programas o carpetas que traten de

descubrir información distinta de la del propio usuario, en cualquier elemento

de la red. Esto incluye sniffer, escaneadores de puertos, entre otros.

5.7 No se debe facilitar a una tercera entidad acceso, a través de las redes de la

Asamblea Nacional, a la infraestructura de comunicaciones propias de este

organismo; es decir, no se puede proporcionar tránsito a terceras

instituciones, salvo obtención del consentimiento, previamente solicitado, de

la Secretaría General de la Asamblea Nacional, en su calidad de

responsable administrativo de los recursos informáticos de la Asamblea

Nacional.

5.8 Se debe evitar la circulación de información comercial, con excepción de

respuestas a peticiones expresas de información sobre productos o servicios

de interés para las actividades habituales de la Institución.

5.9 No proceder a la destrucción, manipulación o apropiación indebida de la

información que circule por la red.



5.10 Evitar el consumo excesivo de los recursos por parte de cualquier usuario.

5.11 Respetar el derecho de privacidad de los diferentes usuarios de la red.

5.12 La infraestructura de red de la Asamblea Nacional nunca deberá ser

utilizada, bajo ningún concepto, para lo siguiente:

5.12.1 Transmisión de información o acto que viole la legislación vigente

de la República de Panamá.

5.12.2 Fines privados o personales, con o sin ánimo de lucro.

5.12.3 Fines relativos a juegos,

5.12.4 Fines no estrictamente relacionados con las actividades propias del

Organismo.

5.12.5 Creación o transmisión de cualquier tipo de información que sea

ofensiva, obscena o indecente.

5.12.6 Transmitir información difamatoria de cualquier tipo, ya sea contra

entidades o personas.

5.12.7 No divulgar información que viole los derechos de propiedad

intelectual.

5.12.8 No usar cualquier aplicación de la cual se sepa que su uso pueda

suponer una alteración de la red.

6. Sobre las licencias de software y derechos de autor

Los usuarios y administradores deben respetar las condiciones de licencia y derecho de

autor del software que usen en sus equipos.

6.1 Todo software adquirido para la Asamblea nacional (licencias para

estaciones de trabajo o licencias para instalación en servidores

centrales) debe estar debidamente licenciado, y la responsabilidad de

esto recaerá en el director general de Administración y Finanzas, el

director de Tecnología Informática y Comunicaciones, y el responsable

del servicio que haya autorizado su adjudicación.

6.2 Todo software que se use en la Asamblea Nacional para fines

administrativos debe estar debidamente licenciado, con un número de



licencia que corresponda con el número de usuarios simultáneos.

Podrá usarse en equipos de la Asamblea Nacional software “libre”

(Open source, freeware, otros) siempre y cuando cuente con la

autorización de la Dirección de Tecnología Informática y

Comunicaciones.

6.3 Todo software que se use y esté protegido por derecho de autor no

puede ser copiado, salvo con autorización del propietario. No se podrán

usar los medios que la Asamblea Nacional pone a su disposición de

sus funcionarios para copiar software protegido o romper con las

medidas de protección de estos.

6.4 Aparte del software, toda información que también posea derechos

de autor, que esté en formato electrónico y que haya sido obtenida de

otro equipo o red, se debe usar de acuerdo con la legislación vigente.

6.5 Los usuarios responderán siempre, personalmente, por el software

que esté instalado en sus equipos, así como del uso que se efectúe, y

deberán cumplir con las obligaciones y requisitos que se deriven de su

instalación y utilización.

Los usuarios no podrán permitir, en ningún caso, que una persona lleve a cabo la

instalación en sus equipos de software que no estén debidamente licenciados.

El incumplimiento de estas obligaciones por parte de los usuarios dará lugar a la

aplicación de las medidas preventivas, correctivas y disciplinarias previstas en el

Cuadro de Sanciones y, en su caso, al ejercicio de las acciones legales pertinentes.

7. Sobre la adquisición de tecnología

Las tecnologías, además de beneficios, traen consigo riesgos, y debemos velar porque

las tecnologías por adquirir no representen amenaza alguna y/o tomar medidas para su

diminución o erradicación.

La adquisición de tecnología debe ser coordinada con los expertos, con el fin de que sean

adaptables a las ya existentes y asegurar su desempeño óptimo.



7.1 Toda adquisición de tecnología debe ser coordinada con Secretaría

General, la Unidad de Seguridad Informática y la Dirección de

Tecnología, Informática y Comunicaciones.

7.2 La compra de tecnología debe contemplar las medidas de seguridad

pertinentes recomendadas por la Unidad de Seguridad Informática.

En cualquier caso, será responsabilidad de los directores, jefes de departamento o

personas designadas por estos dar la difusión necesaria a estas normas para que sea

conocida por todos los agentes a los que se aplica.

CONSECUENCIA DEL MAL USO DE LOS RECURSOS TECNOLOGÍCOS34

1. Colaboración de los usuarios

Los usuarios, cuando se les solicite, deberán colaborar con los administradores del

sistema (DITIC), en la medida de sus posibilidades, en cualquier investigación que se

haga sobre mal uso de los recursos, apartando la información que se les requiera.

2. Acciones correctivas y preventivas

Si los administradores del sistema (DITIC) general o local, detectan la existencia de un

mal uso de los recursos y éste procede de las actividades o equipo de un usuario

determinado, pueden tomar cualquiera de las siguientes medidas para proteger a los otros

usuarios, redes o equipos:

2.1 Notificar la incidencia al usuario o responsabilidad del sistema. 2.2 Suspender o restringir el acceso o uso de los servicios mientras dure la

investigación. Esta suspensión podrá ser recurrida por el usuario ente la

autoridad competente.

2.3 Con el permiso del responsable de seguridad y la debida justificación,

inspeccionar carpetas o dispositivos de almacenamiento del usuario implicado.

2.4 Informar a los superiores correspondientes de lo sucedido. 2.5 Toda aplicación de medidas disciplinarias se tomaran de acuerdo a lo

establecido en el Reglamento de Administración de Recursos Humanos y

Cuadro de Aplicaciones.

3 Véase en el Manual de Políticas de Seguridad Informática. 4 Resoluciones No.208 y No.209 de 27 de noviembre de 2009.



PROCEDIMIENTOS ADMINISTRATIVOS



MANUAL DE PROCEDIMIENTO DE LA UNIDAD DE SEGURIDAD INFORMÁTICA

NOMBRE DEL PROCEDIMIENTO AUDITORÍA DE SEGURIDAD DEL EQUIPO INFORMÁTICO VERSIÓN No. 1 FECHA DE CONFECCIÓN 2017 VALIDADO POR ING. FELIX SÁNCHEZ DOCUMENTADO POR MGTR. MARKELDA CAÑIZALES DESCRIPCIÓN DEL PROCEDIMIENTO OBJETIVO:

Identificar y administrar de forma continua los equipos informáticos a efecto de reducir los riesgos a los que se encuentra expuesto el sistema todo el tiempo.

Responsable

Descripción

Unida de Seguridad Informática Envía solicitud a la Dirección de Tecnología,

Informática y Comunicaciones, para crear

cuenta de usuario de monitoreo.

Solicita también los datos para acceder a la

cuenta de monitoreo.

Dirección de Tecnología, Informática y Comunicaciones

Recibe solicitud enviada por la Unidad de

Seguridad Informática para la creación de la

cuenta correspondiente.

Crea la cuenta solicitada e informa a la Unidad

de Seguridad Informática de proceder.

Unidad de Seguridad Informática Introduce al sistema la información suministrada

por la Dirección de Tecnología, Informática y

Comunicaciones.

Verifica que los datos recibidos puedan ser

utilizados para los fines solicitados y se inicia el

monitoreo continuo de los sistemas informáticos



cada 30 segundos aproximadamente.

Cuando se detecte una afectación en un

equipo, dependiendo de su característica, se

tomaran las medidas pertinentes.

Se manifiesta la razón de la afectación y la

envía por escrito la instrucción a la unidad

correspondiente para subsanar o corregir el

problema según sea el caso.

Unidades Administrativas Reciben la instrucción y verifican la máquina

afectada con el fin de solucionar el problema.

Envía a la Unidad de Seguridad Informática por

correo electrónico reporte del trabajo realizado.

Unidad de Seguridad Informática Recibe el reporte de la unidad encargada de

subsanar el problema manifestado.

Verifica en campo la información recibida por la

unidad administrativa.

Realiza reporte de lo encontrado (Bitacora)

Ver Anexo Nº2

Interviene el equipo del funcionario, sin previa

autorización del jefe de la unidad administrativa.

Verifica el equipo y notifica por escrito al jefe de

la unidad las anomalías encontradas y el

proceso que se seguirá con la computadora.

Realiza amonestación verbal al usuario directo

del ordenador afectado por incumplir las

recomendaciones realizadas por los técnicos de

informática en otras ocasiones. Ver Anexo Nº1

FIN DEL PROCESO

Nota: Las afectaciones suelen darse por diversos motivos como: mal empleo del ancho de banda, perfil de usuario de navegación,

correo electrónico, puertos abiertos, código malicioso, antivirus programa mal instalado, para cada una de estas causas hay un

departamento encargado de subsanar cualquier inconveniente.

Cuando el usuario persiste en hacer mal uso del equipo informático proporcionado por la institución para desarrollar sus labores

diarias se procederá a tomar medidas más severas.

De ser necesario, se retirará el equipo de la unidad administrativa para evitar mayores daños a la red de usuarios.

Env

ía s

olic

itud

a la

Dir

ecci

ón d

e T

ecno

logí

a, I

nfor

mát

ica

y C

omun

icac

ione

s pa

ra c

rear

cue

nta

de u

suar

io d

e m

onito

reo.

Sol

icita

tam

bién

los

dato

s pa

ra a

cced

er a

la c

uent

a de

mon

itore

o.

Cre

a la

cue

nta

solic

itada

e in

form

a a

la U

nida

d de

Seg

urid

ad I

nfor

mát

ica

de p

roce

der.

Ver

ifica

que

los

dato

s re

cibi

dos

pued

an s

er u

tiliz

ados

par

a lo

s fin

es s

olic

itado

s y

se in

icia

el m

onito

reo

cont

inuo

de

PR

OC

ED

IMIE

NT

O D

E A

UD

ITO

RÍA

DE

SE

GU

RID

AD

DE

L E

QU

IPO

INF

OR

MÁ

TIC

O

Rec

ibe

solic

itud

envi

ada

por

la U

nida

d de

Seg

urid

ad I

nfor

mát

ica

para

la c

reac

ión

de la

cue

nta

corr

espo

ndie

nte.

Intr

oduc

e al

sis

tem

a la

info

rmac

ión

sum

inis

trad

a po

r la

Dir

ecci

ón d

e T

ecno

logí

a, I

nfor

mát

ica

y P

ublic

acio

nes.

UN

IDA

D D

E S

EG

UR

IDA

D

INF

OR

MÁ

TIC

A

1

DIR

EC

CIÓ

ND

E T

EC

NO

LO

GÍA

IN

FO

RM

ÁT

ICA

Y C

OM

UN

ICA

CIO

NE

S

UN

IDA

D

AD

MIN

IST

RA

TIV

A

2

43 5

1 2 3V

erifi

ca q

ue lo

s da

tos

reci

bido

s pu

edan

ser

util

izad

os p

ara

los

fines

sol

icita

dos

y se

inic

ia e

l mon

itore

o co

ntin

uo d

e

los

sist

emas

info

rmát

icos

cad

a 30

seg

undo

s ap

roxi

mad

amen

te.

per

tinen

tes.

Env

ía a

la U

nida

d de

Seg

urid

ad I

nfor

mát

ica

por

corr

eo e

lect

róni

co r

epor

te d

el t

raba

jo r

ealiz

ado.

Rec

ibe

repo

rte

de la

uni

dad

enca

rgad

a de

sub

sana

r el

pro

blem

a m

anife

stad

o. V

erifi

ca e

n ca

mpo

la in

form

ació

n re

cibi

da

por

la u

nida

d ad

min

istr

ativ

a. R

ealiz

a re

port

e de

lo e

ncon

trad

o (B

itaco

ra)

Inte

rvie

ne e

n el

equ

ipo

del f

unci

onar

io,

sob

re d

e la

s an

omal

ías

enco

ntra

das

y el

pro

ceso

que

se

segu

irá

con

la c

ompu

tado

ra.

Rea

liza

amon

esta

ción

ver

bal a

l

FIN

DE

L P

RO

CE

SO

en o

tras

oca

sion

es.

usua

rio

dire

cto

del o

rden

ador

afe

ctad

o po

r in

cum

plir

las

reco

men

daci

ones

rea

lizad

as p

or lo

s té

cnic

os d

e in

form

átic

a

20

Cua

ndo

sea

dete

ctad

a un

a af

ecta

ción

en

un e

quip

o, d

epen

dien

do d

e su

car

acte

ríst

ica,

se

tom

aran

las

med

idas

Man

ifies

ta la

raz

ón d

e la

afe

ctac

ión

y la

env

ía p

or e

scri

to la

inst

rucc

ión

a la

uni

dad

corr

espo

ndie

nte

para

sub

sana

r o

corr

egir

lo q

ue e

sté

pasa

ndo

segú

n se

a el

cas

o.

Rec

iben

la in

stru

cció

n y

ver

ifica

n la

máq

uina

afe

ctad

a co

n el

fin

de

solu

cion

ar e

l pro

blem

a.

sin

pre

via

auto

riza

ción

del

jefe

de

la u

nida

d ad

min

istr

ativ

a. V

erifi

ca e

l equ

ipo

y no

tific

a po

r es

crito

al j

efe

de la

uni

dad

UN

IDA

D D

E S

EG

UR

IDA

D

INF

OR

MÁ

TIC

A

1

DIR

EC

CIÓ

ND

E T

EC

NO

LO

GÍA

IN

FO

RM

ÁT

ICA

Y C

OM

UN

ICA

CIO

NE

S

UN

IDA

D

AD

MIN

IST

RA

TIV

A

2

43 5

1 2 3 4 5




NOMBRE DEL PROCEDIMIENTO AUDITORÍA DE EVALUACIÓN DE PROYECTOS VERSIÓN No. 1 FECHA DE CONFECCIÓN 2017 VALIDADO POR ING. FELIX SÁNCHEZ DOCUMENTADO POR MGTR. MARKELDA CAÑIZALES DESCRIPCIÓN DEL PROCEDIMIENTO OBJETIVO:

Garantizar que todo el producto o servicio tecnológico adquirido por la Asamblea

Nacional sea eficiente y de calidad.

Responsable

Descripción


Envía nota o correo electrónico a la Unidad de

Seguridad Informática para ponerla en

conocimiento del proyecto.

Unidad de Seguridad Informática Recibe notificación y prepara los términos para

ser debatidos y ordena la lista de

recomendaciones.


Presenta el pliego de cargos con las

(especificaciones del proyecto, garantías,

sustentación, objetivos y alcance entre otros

detalles), a la Unidad de Seguridad Informática.

Unidad de Seguridad Informática Verifica, analiza y aporta información sustancial

al pliego de cargos.

Remite el análisis de la información a la

Dirección de Tecnología, Informática y

Comunicaciones.




Recibe el análisis de la información.

Realiza las correcciones necesarias al pliego de

cargos.

Organiza reunión de seguimiento para tratar los

últimos detalles con relación al pliego.

Presenta al equipo de trabajo el pliego con las

acotaciones realizadas en reuniones anteriores.

Unidad de Seguridad Informática Verifica que los puntos sugeridos se encuentren

en el pliego de cargos y que el documento

tenga la información completa.


Presenta el pliego a las autoridades competente

para su Vo.Bo. y posteriormente se realiza la

compra.

FIN DEL PROCEDIMIENTO

Nota: Dependerá de las características de la adquisición que se va a realizar.

La unidad de seguridad informática, realiza una importante aportación al pliego de cargos tales como las garantías, las capacitaciones, los cumplimientos del contrato y el mantenimiento al sistema.

Env

ía n

ota

o co

rreo

ele

ctró

nico

a

la U

nida

d de

Seg

urid

ad I

nfor

mát

ica

para

pon

erlo

en

con

ocim

ient

o so

bre

la r

euni

ón p

oste

rior

.

Ord

ena

la li

sta

de r

ecom

enda

cion

es.

Pre

sent

a el

plie

go d

e ca

rgos

(es

peci

ficac

ione

s de

l pro

yect

o, g

aran

tías

, su

sten

taci

ón,

obje

tivos

y a

lcan

ce e

ntre

otr

os d

etal

les)

,

PR

OC

ED

IMIE

NT

O D

E A

UD

ITO

RÍA

DE

EV

AL

UA

CIÓ

N D

E P

RO

YE

CT

OS

Rec

ibe

notif

icac

ión

y pr

epar

a lo

s té

rmin

os p

ara

ser

deba

tidos

en

la r

euni

ón.

UN

IDA

D D

E S

EG

UR

IDA

D

INF

OR

MÁ

TIC

A

1

DIR

EC

CIÓ

ND

E T

EC

NO

LO

GÍA

Y

CO

MU

NIC

AC

ION

ES

2

1 2 3

34

56

7

Pre

sent

a el

plie

go d

e ca

rgos

(es

peci

ficac

ione

s de

l pro

yect

o, g

aran

tías

, su

sten

taci

ón,

obje

tivos

y a

lcan

ce e

ntre

otr

os d

etal

les)

,

a la

Uni

dad

de S

egur

idad

Inf

orm

átic

a.

Info

rmát

ica

y C

omun

icac

ione

s.

Pre

sent

a al

equ

ipo

de t

raba

jo e

l plie

go c

on la

s ac

otac

ione

s re

aliz

adas

en

reun

ione

s an

teri

ores

.

Ver

ifica

que

los

punt

os s

uger

idos

se

encu

entr

en e

n el

plie

go y

que

el d

ocum

ento

ten

ga la

info

rmac

ión

com

plet

a.

FIN

DE

L P

RO

CE

SO

Org

aniz

a re

unió

n de

seg

uim

ient

o pa

ra t

rata

r lo

s úl

timos

det

alle

s co

n re

laci

ón a

l plie

go.

23

Pre

sent

a pl

iego

a la

s au

tori

dade

s co

mpe

tent

es p

ara

su V

o.B

o. y

pos

teri

orm

ente

se

real

iza

la c

ompr

a.

Ver

ifica

, an

aliz

a y

apor

ta in

form

ació

n su

stan

cial

al p

liego

de

carg

os.

Rem

ite in

form

ació

n a

la D

irec

ción

de

Tec

nolo

gía,

Rec

ibe

info

rmac

ión.

Rea

liza

corr

ecci

ones

nec

esar

ias

al p

liego

car

gos.

UN

IDA

D D

E S

EG

UR

IDA

D

INF

OR

MÁ

TIC

A

1

DIR

EC

CIÓ

ND

E T

EC

NO

LO

GÍA

Y

CO

MU

NIC

AC

ION

ES

2

1 2 3 4 5 6 7

34

56

7




NOMBRE DEL PROCEDIMIENTO AUDITORÍA INFORMÁTICA DE SISTEMAS VERSIÓN No. 1 FECHA DE CONFECCIÓN 2017 VALIDADO POR ING. FELIZ SÁNCHEZ DOCUMENTADO POR MGTR. MARKELDA CAÑIZALES DESCRIPCIÓN DEL PROCEDIMIENTO OBJETIVO:

Analizar y revisar los controles y efectividad, enfocándonos en el entorno general de sistemas operativos, software básicos, aplicaciones y administración de case de datos.

Responsable

Descripción

Unidad Administrativa

Solicita a la Unidad de Seguridad Informática

mediante nota, que realice una revisión a los

sistemas, en caso de algún incidente (perdida de

información, filtración de correo electrónico no

deseado, cambio de usuario, perfiles y

credenciales, fuga de información, cambio en la

estructura de los sistemas).

Unidad de Seguridad Informática Recibe nota y establece el día de la inspección.

Realiza inspección del equipo y analiza los puntos

débiles.

Envía nota al jefe de la unidad con la descripción

de los hallazgos encontrados en el equipo y las

recomendaciones a seguir.

Procede a realizar los cambios recomendados a la

unidad, esperando que transcurra un periodo de



tiempo prudente probatorio de los cambios

realizados. FIN DEL PROCESO

Nota: La auditoría de sistemas se puede realizar por requerimiento o de oficio.

Sol

icita

a la

Uni

dad

de S

egur

idad

Inf

orm

átic

a m

edia

nte

nota

, qu

e se

rea

lice

una

revi

sión

a lo

s si

stem

as,

en c

aso

de a

lgún

inci

dent

e (p

erdi

da d

e in

form

ació

n, f

iltra

ción

de

corr

eo e

lect

róni

co n

o de

sead

o, c

ambi

o de

usu

ario

, pe

rfile

s y

cred

enci

ales

,

fuga

de

info

rmac

ión,

cam

bio

en la

est

ruct

ura

de lo

s si

stem

as).

Env

ía n

ota

al je

fe d

e la

uni

dad

con

la d

escr

ipci

ón d

e lo

s ha

llazg

os e

ncon

trad

os e

n el

equ

ipo

y la

s re

com

enda

cion

es a

seg

uir.

PR

OC

ED

IMIE

NT

O D

E A

UD

ITO

RÍA

DE

INF

OR

MÁ

TIC

A D

E S

IST

EM

AS

Rec

ibe

nota

y

esta

blec

e el

día

de

la in

spec

ción

.

Rea

liza

insp

ecci

ón d

el e

quip

o y

anal

iza

los

punt

os d

ébile

s.

Pro

cede

a r

ealiz

ar lo

s ca

mbi

os r

ecom

enda

dos

a la

uni

dad,

esp

eran

do q

ue t

rans

curr

a un

per

iodo

de

tiem

po p

rude

nte

prob

ator

io

UN

IDA

D D

E S

EG

UR

IDA

D

INF

OR

MÁ

TIC

A

1

UN

IDA

D A

DM

INIS

TR

AT

IVA

2

1 2

de

los

cam

bios

rea

lizad

os.

FIN

DE

L P

RO

CE

SO

26

Pro

cede

a r

ealiz

ar lo

s ca

mbi

os r

ecom

enda

dos

a la

uni

dad,

esp

eran

do q

ue tr

ansc

urra

un

perio

do d

e tie

mpo

pru

dent

e pr

obat

orio




NOMBRE DEL PROCEDIMIENTO AUDITORÍA INFORMÁTICA DE INTERNET A REQUERIMIENTO Se determina por requerimiento cuando la administración solicita que se examine el equipo informático por algún tema específico.

VERSIÓN No. 1 FECHA DE CONFECCIÓN 2017 VALIDADO POR ING. FELIX SÁNCHEZ DOCUMENTADO POR MGTR. MARKELDA CAÑIZALES DESCRIPCIÓN DEL PROCEDIMIENTO OBJETIVO:

Analizar el desempeño y funcionamiento de la Red (Internet) por parte del usuario, a fin de lograr la utilización eficiente y segura de la información.

Responsable

Descripción

Unidad Administrativa Remite nota a la Unidad de Seguridad

Informática.

Unidad de Seguridad Informática Recibe nota de la unidad solicitante.

Remite cuestionario al solicitante.

Unidad Administrativa Recibe y completa el cuestionario

correspondiente.

Remite cuestionario con la información

solicitada por la Unidad de Seguridad

Informática.

Unidad de Seguridad Informática Recibe cuestionario completo.

Evalúa y procede a ejecutar la solicitud de

acceso o negación de la solicitud.

Revisa el Firewall para el control de

aplicaciones y filtrado de Web (habilitar o

deshabilitar).



Verifica tipo de usuario.

Confirma las aplicaciones permitidas al usuario.

Comprueba el sistema operativo (si necesita

actualización o no).

Establece las aplicaciones de control (antivirus

o anti SPAM).

Unidad Administrativa Usuario firma las políticas sobre el uso del

Internet y nota de aceptación.*Ver Anexo Nº5

Unidad de Seguridad Informática Remite informe a Secretaría General.**

FIN DEL PROCESO

Nota: *La nota de aceptación consiste en poner en conocimiento de forma escrita al usuario de cuales fueron las medidas tomadas para el uso de su equipo. ** El informe que es remitido a Secretaría General lleva como documentación el cuestionario llenado por el usuario, desglose de lo que se le habilito o bien lo que fue bloqueado para este usuario y las medidas que fueron establecidas para el uso del sistema.

Rea

liza

nota

a la

Uni

dad

de S

egur

idad

Inf

orm

átic

a.

Rem

ite c

uest

iona

rio

al s

olic

itant

e.

Rem

ite c

uest

iona

rio

con

la in

form

ació

n so

licita

da p

or

la U

nida

d de

Seg

urid

ad I

nfor

mát

ica.

PR

OC

ED

IMIE

NT

O D

E A

UD

ITO

RÍA

INF

OR

MÁ

TIC

A D

E IN

TE

RN

ET

A R

EQ

UE

RIM

IEN

TO

Rec

ibe

y co

mpl

eta

el c

uest

iona

rio

corr

espo

ndie

nte.

Rec

ibe

nota

de

la u

nida

d so

licita

nte.

UN

IDA

D D

E S

EG

UR

IDA

D

INF

OR

MÁ

TIC

A

1

UN

IDA

D A

DM

INIS

TR

AT

IVA

2

1 2 3

34

56

Rem

ite c

uest

iona

rio

con

la in

form

ació

n so

licita

da p

or

la U

nida

d de

Seg

urid

ad I

nfor

mát

ica.

Com

prue

ba e

l sis

tem

a op

erat

ivo

(si n

eces

ita a

ctua

lizac

ión

o no

).

Est

able

ce la

s ap

licac

ione

s de

con

trol

(an

tivir

us o

ant

i SP

AM

).

Usu

ario

fir

ma

las

polít

icas

sob

re e

l uso

del

Int

erne

t y

nota

de

acep

taci

ón.

FIN

DE

L P

RO

CE

SO

Con

firm

a la

s ap

licac

ione

s pe

rmiti

das

al u

suar

io.

29

Rem

ite in

form

e a

Sec

reta

ría

Gen

eral

.

Rec

ibe

cues

tiona

rio

com

plet

o.

Eva

lúa

y pr

oced

e a

ejec

utar

la s

olic

itud

de a

cces

o o

nega

ción

de

la s

olic

itud.

Rev

isa

el F

irew

all p

ara

el c

ontr

ol d

e ap

licac

ione

s y

filtr

ado

de W

eb (

habi

litar

o d

esha

bilit

ar).

Ver

ifica

tip

o de

usu

ario

.

UN

IDA

D D

E S

EG

UR

IDA

D

INF

OR

MÁ

TIC

A

1

UN

IDA

D A

DM

INIS

TR

AT

IVA

2

1 2 3 4 5 6

34

56




NOMBRE DEL PROCEDIMIENTO AUDITORÍA INFORMÁTICA DE INTERNET POR RIESGO E INCIDENTE Se determina por riesgo cuando se tiene la incertidumbre por la posibilidad de un suceso con la amenaza de daño respecto al recurso informático. Se determina por incidente cuando se da algún impedimento en la operación normal de las redes, sistemas o recursos informáticos o cualquier acto que viole las políticas de seguridad informática.


Evaluar los riesgos que representa cualquier incidente en los equipos informáticos de la

Institución y aplicar las medidas correspondientes según el caso.

Responsable

Descripción

Unidad de Seguridad Informática

Aísla los equipos o sistemas involucrados.

Envía nota a Secretaría General, comunicando

el tipo de afectación que se tenga o se puede

tener.

Secretaría General Recibe nota y autoriza la revisión del sistema o

los equipos.

Unidad de Seguridad Informática Recibe Vo.Bo. por Secretaría General y ejecuta.

Envía nota a la unidad correspondiente con la

autorización para revisar los equipos o sistema.

Elabora informe sobre el incidente o riesgo

encontrado.

Elabora cuestionario al usuario del equipo

involucrado.*

Realizar análisis al equipo.**



Entrega evidencia a Secretaría General.***

FIN DEL PROCESO

Nota: *Se le pregunta al usuario (hora y fecha aproximada del incidente). **Tipo de usuario, estado del sistema operativo, aplicación de control, análisis de factores externos (medios extraíbles, dispositivos móviles o equipo de comunicación). ***Se entrega la evidencia, medidas para prevenir y corrección, sanciones si son requeridos de acuerdo al Reglamento de Recursos Humanos.

Env

ía n

ota

a S

ecre

tarí

a G

ener

al,

com

unic

ando

el t

ipo

de a

fect

ació

n qu

e se

ten

ga o

se

pued

e te

ner.

Rec

ibe

nota

y a

utor

iza

la r

evis

ión

del s

iste

ma

o lo

s eq

uipo

s.

Env

ía n

ota

a la

uni

dad

corr

espo

ndie

nte

con

la a

utor

izac

ión

para

rev

isar

los

equi

pos

o si

stem

a.

PR

OC

ED

IMIE

NT

O D

E A

UD

ITO

RÍA

INF

OR

MÁ

TIC

A D

E IN

TE

RN

ET

PO

R R

IES

GO

E IN

CID

EN

TE

Aís

la lo

s eq

uipo

s o

sist

emas

invo

lucr

ados

.

Rec

ibe

Vo.

Bo.

por

S

ecre

tarí

a G

ener

al y

eje

cuta

.

SE

CR

ET

AR

ÍA G

EN

ER

AL

1

UN

IDA

D D

E S

EG

UR

IDA

D

INF

OR

MÁ

TIC

A

2

1 2 3

3

Env

ía n

ota

a la

uni

dad

corr

espo

ndie

nte

con

la a

utor

izac

ión

para

rev

isar

los

equi

pos

o si

stem

a.

Ela

bora

cue

stio

nari

o al

usu

ario

del

equ

ipo

invo

lucr

ado.

Rea

lizar

aná

lisis

al e

quip

o.

Ent

rega

de

evid

enci

a a

Sec

reta

ría

Gen

eral

.

FIN

DE

L P

RO

CE

SO

32

Ela

bora

info

rme

sobr

e el

inci

dent

e o

ries

go e

ncon

trad

o.

SE

CR

ET

AR

ÍA G

EN

ER

AL

1

UN

IDA

D D

E S

EG

UR

IDA

D

INF

OR

MÁ

TIC

A

2

1 2 3

3




NOMBRE DEL PROCEDIMIENTO AUDITORÍA INFORMÁTICA DE INTERNET POR CONTROL PERIÓDICO Se determina por control periódico ya que se realiza de oficio dos veces al año, cinco unidades administrativas son analizadas por cada ejecutoria.


Controlar y verificar el cumplimiento de las políticas de seguridad informática de la Institución.

Responsable

Descripción

Unidad de Seguridad Informática Selecciona las unidades administrativas donde

se realizará el análisis.

Envía nota a Secretaría General para su

Vo.Bo., con detalle de fecha calendario de

cuando se realizará la auditoria al equipo y a los

sistemas.

Secretaría General Recibe nota y autoriza la revisión del sistema o

los equipos.

Unidad de Seguridad Informática Recibe Vo.Bo. de la Secretaría General y

ejecuta.

Envía nota a la unidad correspondiente con la

autorización para revisar los equipos o sistema.

Unidad Administrativa

Recibe nota y queda notificado de la revisión

de los equipos o sistema.

Unidad de Seguridad Informática Ejecuta el análisis planificado.

Solicita al usuario del equipo analizado que



llene el cuestionario.*

Elabora informe de lo encontrado en los

equipos analizados y lo envía a la Secretaría

General.

Secretaría General Recibe nota y autoriza a realizar las medidas

correspondientes, según sea el caso.**

Unidad de Seguridad Informática Recibe nota con las indicaciones

correspondientes a realizar.

FIN DEL PROCESO

Nota: *Tipo de usuario, estado del sistema operativo, aplicación de control, análisis de factores externos (medios extraíbles, dispositivos móviles o equipo de comunicación). **Se entrega la evidencia, medidas de corrección, sanciones si son requeridos de acuerdo con el Reglamento de Recursos Humanos.

Env

ía n

ota

a S

ecre

tarí

a G

ener

al p

ara

su V

o.B

o.,

con

deta

lle d

e fe

cha

cale

ndar

io d

e cu

ando

se

real

izar

á

la a

udito

ria

al e

quip

o y

a lo

s si

stem

as.

Rec

ibe

nota

y a

utor

iza

la r

evis

ión

del s

iste

ma

o lo

s eq

uipo

s.

PR

OC

ED

IMIE

NT

O D

E A

UD

ITO

RÍA

INF

OR

MÁ

TIC

A D

E IN

TE

RN

ET

PO

R C

ON

TR

OL

PE

RIÓ

DIC

O

Sel

ecci

ona

las

unid

ades

adm

inis

trat

ivas

don

de s

e re

aliz

ará

el a

nális

is.

SE

CR

ET

AR

ÍA G

EN

ER

AL

1

UN

IDA

D D

E S

EG

UR

IDA

D

INF

OR

MÁ

TIC

A

2

7534

6

UN

IDA

DA

DM

INIS

TR

AT

IVA

1

2R

ecib

e no

ta y

aut

oriz

a la

rev

isió

n de

l sis

tem

a o

los

equi

pos.

Env

ía n

ota

a la

uni

dad

corr

espo

ndie

nte

con

la a

utor

izac

ión

para

rev

isar

los

equi

pos

o si

stem

a.

Rec

ibe

nota

y

qued

an a

nuen

tes

de la

rev

isió

n de

los

equi

pos

o si

stem

a.

Rec

ibe

nota

y a

utor

iza

a re

aliz

ar la

s m

edid

as c

orre

spon

dien

tes

segú

n se

a el

cas

o.

Rec

ibe

nota

con

las

indi

caci

ones

cor

resp

ondi

ente

s a

real

izar

.

FIN

DE

L P

RO

CE

SO

35

Rec

ibe

Vo.

Bo.

por

par

te d

e S

ecre

tarí

a G

ener

al y

eje

cuta

.

Eje

cuta

el

anál

isis

pla

nific

ado.

Sol

icita

al u

suar

io d

el e

quip

o an

aliz

ado,

llen

e c

uest

iona

rio.

Rea

liza

info

rme

de lo

enc

ontr

ado

en lo

s eq

uipo

s an

aliz

ados

y e

nvía

a S

ecre

tarí

a G

ener

al.

SE

CR

ET

AR

ÍA G

EN

ER

AL

1

UN

IDA

D D

E S

EG

UR

IDA

D

INF

OR

MÁ

TIC

A

2

7534

6

UN

IDA

DA

DM

INIS

TR

AT

IVA

1

2 3 4 5 6 7




NOMBRE DEL PROCEDIMIENTO INSTALACIÓN DE ANTIVIRUS VERSIÓN No. 1 FECHA DE CONFECCIÓN 2017 VALIDADO POR ING. FELIX SÁNCHEZ DOCUMENTADO POR MGTR. MARKELDA CAÑIZALES DESCRIPCIÓN DEL PROCEDIMIENTO OBJETIVO:

Mantener la seguridad perimetral como método de defensa de la red, permitiéndonos definir niveles de confianza, acceso de usuarios internos y denegando cualquier tipo de acceso a otros.

Responsable

Descripción

Unidad de Seguridad Informática Seleccionan las unidades administrativas donde se

instalaran los antivirus.

Levanta cuadro estableciendo las fechas de las

visitas, incluyendo los nombres de las unidades

administrativas.

Instalar en cada computadora los siguientes programas:

1. Agente ESET remote administrator. 2. Endpoint Antivirus

Instala el Agent ESET remote administrator.

Verifica que los sistemas operativos de su servidor

y sus equipos sean compatibles con ESET.

Versión 6 de AGENT ESET REMOTE ADMINISTRATOR

Microsoft Windows 8.1 / 8 / 7 / Vista / XP SP3 32-bit / XP SP2 64-bit



Desinstale cualquier producto antivirus instalado

previamente.

Observe la sección TIPO DE SISTEMA de la

ventana de propiedades.

Identifique el tipo de arquitectura de su sistema

operativo.

(32-bit o 64-bit) y (SP1 o SP2 o SP3) Windows XP, Windows Vista y Windows 7.

Abra la Consola Web de ESET Remote

Aministrator (ERA WEB CONSOLE) en su

navegador e inicie sesión. Ver Anexo #7

Expanda el menú de la izquierda y haga click en

Instaladores Agent Live… Ver Anexo #8

Ingrese el hostname dentro del campo Nombre del

host de servidor y seleccione Certificado ERA y

haga click en elegir. Ver Anexo #9

Seleccione el Certificado del Agente y haga click

en aceptar. Ver Anexo #10

Haga click en Obtener Instaladores.Ver Anexo #11

Haga click en el enlace Descargar correspondiente

a la categoría adecuada (en este ejemplo,

instalador de agente para Windows).

Ver Anexo #12

Guarde el Instalador en su escritorio.

Ejecute el instalador en su equipo en el cual desee

implementar el Agente. Ver Anexo #13

Haga click en Siguiente. Ver Anexo #14

Haga click en Instalar. Ver Anexo #15

Espere mientras en asistente de instalación,

instala el ESET Administrator Agent.

Ver Anexo #16

Haga click en Finalizar. Después de haber

terminado el asistente la instalación del ESET



Remote Administrator Agent. Ver Anexo #17

Instalar ESET ENDPOINT SECURITY en un

equipo (6x)

Verifique que los sistemas operativos de su servidor y sus equipos sean compatibles con ESET. Versión 6 de ESET Endpoint Security/ESET Endpoint Antivirus Microsoft Windows 8.1 / 8 / 7 / Vista / XP SP3 32-bit / XP SP2 64-bit

Desinstale cualquier producto antivirus

previamente.

Identifique cualquier producto antivirus instalado

previamente. Cuando el Asistente de instalación

se abra, seleccione el casillero próximo a I want to

uninstall unwanted antivirus applications using

ESET AV Remover y haga click en continúe.

Haga click en Continúe para explorar y remover

productos antivirus (esta acción ayudará a prevenir

conflictos de software y a asegurarse de que su

producto ESET se ejecute adecuadamente).

Ver Anexo Nº18 y Nº19

Lea el acuerdo de licencia del usuario de ESET y

haga click en Accept si acuerda con los términos.

ESET AV Remover notificará si encuentra

aplicaciones que necesitan ser removidas. Si no

se encuentran aplicaciones, haga click en

Continue installation. Si necesita quitar una

aplicación, guarde este artículo en sus marcadores

de cómo que pueda retornar a él cuando reinicie el

equipo y luego siga las instrucciones para remover

el programa. Continúe con el paso 8 cuando

finalice. Ver Anexo Nº20



Haga click en Siguiente. Ver Anexo Nº21

Lea el acuerdo de licencia de usuario final.

Seleccione Acepto las condiciones del acuerdo de

licencia y haga click en Siguiente si esta de

acuerdo. Ver Anexo Nº22

Recomendamos que conserve seleccionado el

casillero correspondiente a Habilitar ESET Live

Grid.

Haga clic en siguiente para Continuar.

Ver Anexo Nº23

En la ventana detección de Detección de

aplicaciones potenciales no deseadas, seleccione

su opción de preferencia (ver ¿Qué es una

aplicación potencialmente no deseada?) y haga

clic en Instalar. Si luego decide cambiar este ajuste

podrá hacerlo accediendo a la configuración

avanzada. Ver Anexo Nº24

Cuando la instalación finalice, se le solicitará

activar el producto.

Ingrese su clave de licencia dentro del campo

vacío y haga clic en Activar. Si se encuentra

actualizando desde una versión previa en la cual

utilizaba Nombre de usuario y Contraseña,

convierta ambos datos en una Clave de licencia

mediante ESET License Administrator. Si no

cuenta con la Clave de licencia expedida por

ESET (o el Nombre de usuario y la Contraseña)

haga clic aquí para recuperarlos. Ver Anexo Nº25

Haga clic en Listo si la activación fue correcta.

Ver Anexo Nº26

Solo en ESET Endpoint Security: aparecerá la ventana de Nueva conexión de red detectada. Seleccione Red de trabajo/hogar si efectúa la



instalación en una oficina u hogar dentro de una red segura. Solo seleccione Red pública si se traslada con su equipo y ESET Endpoint Security detecta una nueva red en un entorno público. Ver Anexo Nº27.

FIN DEL PROCESO

Nota: Este procedimiento puede ser modificado de acuerdo al antivirus que se utilice.



ANEXOS

FORMULARIOS E INSTRUCTIVOS



Anexo No. 1



Anexo Nº2



INSTRUCTIVO DEL FORMULARIO DE CONTROL DE MANEJO DE INFORME TÉCNICO

1. Departamento: Se colocará el nombre de la unidad administrativa.

2. Fecha: Se anotará el día, mes y año en curso.

3. Funcionario Responsable: Se anotará el nombre del funcionario que solicita la revisión.

4. Hora: Se anotará en forma numérica el tiempo en que se realiza la revisión.

5. Motivo de la solicitud/auditoria: Se colocará un gancho cuando se revise el equipo para saber si cumple con las políticas de seguridad informática necesaria.

6. Motivo de la solicitud/soporte: Se colocará un gancho cuando el usuario del equipo necesita cualquier tipo de apoyo.

7. Motivo de la solicitud/monitoreo: Se colocará un gancho cuando el equipo este funcionando correctamente.

8. Motivo de la solicitud/incidente: Se colocará un gancho cuando la revisión de hace por algún incidente (caso fortuito, fluctuaciones, daños de red, etc.)

9. Procedimiento a realizar: Se anotará el detalle del trabajo a realizar.

10. Sistema afectado: Se anotará que sistema se encuentra afectado (computadora, impresora, scaner, servidores, base de datos, etc.)

11. Estatus de trabajo realizado: Se anotará el detalle de la situación real del equipo, una vez hecha la revisión.

12. Verificado por: Se colocará detalles importantes que complementen la recepción del material.

13. Duración del Trabajo: Se colocará de forma numérica el costo unitario de la mercancía adquirida.

14. Personal Externo (de ser necesario)/Nombre: Se anotará el nombre completo de la persona.

15. Personal Externo (de ser necesario)/Cédula: Se anotará el número de identificación personal.

16. Personal Externo (de ser necesario)/Empresa: Se anotará el nombre de la empresa a la que pertenece de ser necesario.

17. Personal Externo (de ser necesario)/Fecha: Se anotará el día, mes y año en que se hizo uso de esta atención.

18. Personal Externo (de ser necesario)/Hora: Se anotará en forma numérica la hora en que se realizó el trabajo.

19. Personal Externo (de ser necesario)/Firma: Se colocará la signatura de la persona que realizo el trabajo.



Anexo Nº3



INSTRUCTIVO DEL FORMULARIO DE CONTROL DE ACCESO A INFORMACIÓN TÉCNICA

1. Funcionario Responsable de la entrega de información:

Se anotará el nombre del funcionario que hace entrega de la información.

2. Nombre y Número de Cédula: Se anotará en forma numérica el tiempo en que se realiza la revisión.

3. Empresa: Se colocará el nombre de la empresa que realizó el trabajo.

4. Firma: Se colocará la firma del responsable de realizar el trabajo.

5. Activo a revisar: Se colocará un gancho de acuerdo al activo que se vaya a revisar.

6. Motivo de la solicitud/Acceso para consulta: Se colocará un gancho en esta opción cuando sea cualquier tipo de consulta que se realice del recurso informático.

7. Motivo de la solicitud/Cambio: Se colocará un gancho en esta opción cuando se realice cualquier tipo de cambio que se le haga al recurso informático.

8. Motivo de la solicitud/Entrega: Se colocará un gancho en esta opción cuando se realice la entrega de cualquier suministro (Pieza o Software).

9. Motivo de la solicitud/Backup: Se colocará un gancho en esta opción cuando se tenga que realizar copia del equipo a revisar.

10. Motivo de la solicitud/Verificación: Se colocará un gancho en esta opción cuando se verifique que todo cumpla con lo establecido.

11. Procedimiento a realizar: Se anotará una breve explicación de todo lo que se va a realizar.

12. Verificado por: Se anotará la firma legible del personal de la Asamblea Nacional que va a verificar.



Anexo Nº4

ASAMBLEA NACIONAL SECRETARIA GENERAL

UNIDAD DE SEGURIDAD INFORMATICA

FORMULARIO DE CONTROL PARA EL USO DE INTERNET

CUESTIONARIO DE USO DE INTERNET

1. CON QUE FRECUENCIA USA INTERNET?

a. 1 día a la semana.

b. 3 días a la semana.

c. Todos los días.

2. ENUMERE 5 FUNCIONES DENTRO DE LA UNIDAD ADMINISTRATIVA

a. ______________________________________________________________

b. ______________________________________________________________

c. ______________________________________________________________

d. ______________________________________________________________

e. ______________________________________________________________

3. ¿QUÉ TIPO DE PÁGINAS VISITA CON MÁS FRECUENCIA?

NUMERA DE 1 A 7 (1 = LA MÁS VISITADA; 7 = LA MENOS VISITADA)

a. Noticias, prensa, correo electrónico personal ____

b. Redes sociales (Facebook, Twitter, LinkdIn) ____

c. Entretenimiento (Youtube, Juegos) _____

d. Descarga de Archivos _____

e. Recursos educativos (Wikipedia, blogs, foros educativos) _____

f. Servicios (Banca en línea, escuelas, pagos) _____

g. Recursos varios (paginas web gubernamentales, extranjeras, Google)______



4. DE LA PREGUNTA ANTERIOR MENCIONE, ¿CUÁLES CONSIDERA USTED SON LAS

PAGINAS VISITADAS MAS RELEVANTES CON SUS FUNCIONES?

a. _____________________________________

b. _____________________________________

c. _____________________________________

d. _____________________________________

5. DE LA PREGUNTA 4, EXPLIQUE BREVEMENTE, ¿QUE TIPO DE APOYO LE DA A SUS

FUNCIONES CADA UNA DE LAS RESPUESTAS MENCIONADAS?

a. _____________________________________________________________

_____________________________________________________________

b. _____________________________________________________________

_____________________________________________________________

c. _____________________________________________________________

_____________________________________________________________

d. _____________________________________________________________

_____________________________________________________________

6. DE LA PREGUNTA 3, ¿MENCIONE CUALES PÁGINAS VISITADAS CONSIDERA USTED

IRRELEVANTES EN SUS FUNCIONES?

a. __________________________________________

b. __________________________________________

c. __________________________________________

d. __________________________________________

7. CONSIDERA USTED QUE EL INTERNET LE SIRVE DE APOYO EN SUS FUNCIONES

DIARIAS?

a. Nunca

b. A veces

c. Con frecuencia

d. Siempre



8. ¿ADEMÁS DEL USO QUE LE DA AL INTERNET PARA SUS FUNCIONES DIARIAS,

PARA QUE OTRA ACTIVIDAD LO UTILIZA?

a. Buscar información para trabajos (escolares, universitarios)

b. Aclarar dudas, investigaciones, cursos(en foros, wikipedia)

c. Diccionarios, traductores

d. Otros______________________________________________________

Realizado por:________________________________________

Verificado Por:______________________________________________

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

Para uso exclusivo de la Unidad de Seguridad Informática

Unidad Administrativa Solicitante: ___________________________________________________ Nombre: ___________________________________ Usuario______________________________ Cargo: ___________________________ Fecha:________________ Perfil Asignado:___________ Nombre de Equipo:_________________________ # IP:___________________________ Tipo de conexión: WiFi:____________ UTP:____________ Correo Electrónico Institucional _______________________________________________



INSTRUCTIVO DE FORMULARIO DE CONTROL PARA EL USO DE INTERNET

1. Con que frecuencia uso internet: Coloque un círculo en la letra que defina cada que tiempo usted usa el servicio de internet.

2. Enumere 5 funciones dentro de la unidad administrativa: Coloque las funciones más relevantes que usted realiza en su puesto de trabajo diariamente.

3. Qué tipo de páginas visitas con mas frecuencia?. Enumera del 1 al 7 las páginas más visitadas en internet por ti siendo el (7) la más visitada y la (1) la menos visitada.

4. De la pregunta anterior mencione, ¿Cuáles considera usted son las páginas más relevantes con sus

funciones?. De acuerdo a su respuesta de la pregunta #3 describa cuales de las páginas visitadas son las más relevantes de acuerdo a sus funciones.

5. De la pregunta 4, Explique brevemente, ¿Qué tipo de apoyo le da a sus funciones cada una de las

respuestas mencionadas?. Enumere en los siguientes renglones de que forma le facilita sus tareas las herramientas de internet que usted describió en la pregunta #4.

6. De la pregunta 3, ¿mencione cuales páginas visitadas considera usted irrelevantes en sus funciones?. Coloque que página de internet que usted visita de acuerdo a la pregunta #3, no son relevantes para el trabajo que usted realiza.

7. Considera usted que el internet le sirve de apoyo en sus funciones diarias? Encierre en un circulo la letra de acuerdo a la frase que considere sea la respuesta indicada a esta pregunta.

8. ¿Además del uso que le da al internet para sus funciones diarias, para que otra actividad lo utiliza? Seleccione y encierre en un círculo la letra que corresponda a la respuesta que usted considere.

9. Realizado por: Se colocará el nombre del funcionario que lleno el documento.

10. Verificado por: Se colocará la firma de la persona encargada de verificar que se haya completado a cabalidad el documento. Para uso exclusivo de la unidad de Seguridad Informática

11. Unidad administrativa solicitante: Se colocará el nombre de la Dirección, departamento o unidad administrativa que realice la solicitud.

12. Nombre: Colocará el nombre completo del usuario.

13. Usuario: Se colocará el nombre que se le asigna a cada funcionario al otorgarle el derecho del uso de la computadora.

14. Cargo: Se colocará el nombre del cargo que tenga el usuario.

15. Fecha: Colocar el día, mes y año en el que se llena dicha solicitud.

16. Perfil Asignado: Se colocará el nombre del perfil asignado según sea el caso (administrador, debugger, usuario).

17. Nombre del Equipo: Se colocará el nombre de acuerdo a la Dirección, Departamento o Unidad a la que pertenezca el equipo.



18. # IP: Se anotará el código ó dirección numérica que contiene cada computadora.

19. Tipo de conexión: WIFi___ UTP___ Se colocará un gancho en el tipo de conexión que utilice el usuario según sea el caso.

20. Correo electrónico institucional: Se anotará la dirección de correo electrónico asignado al usuario para recibir correos institucionales.



Anexo Nº5

ASAMBLEA NACIONAL SECRETARIA GENERAL

UNIDAD DE SEGURIDAD INFORMÁTICA POLÍTICA SOBRE EL USO DEL INTERNET

UNIDAD ADMINISTRATIVA_________________________ FECHA:____________________ FECHA:_________________ USUARIO:_________________________ DIRECCION MAC:____________________________ DHCP:________________________ MEDIANTE SU SOLICITUD PARA EL DESBLOQUEO PARCIAL DEL SERVICIO DE INTERNET QUE PRESTA LA INSTITUCIÓN, CON LA FINALIDAD DE USARLO COMO APOYO A LA GESTIÓN DE SUS FUNCIONES. DESPUES DE APROBADA LA SOLICITUD SE LE INFORMA QUE DEBERÁN CUMPLIR CON LAS POLITICAS ESTABLECIDAS DE SEGURIDAD INFORMÁTICA, QUEDANDO PROHIBIDO LO SIGUIENTE: El acceso a sitios Web relacionados con apuestas o actividades ilegales en general; Acceso a material pornográfico o a sitios Web de contenido para adultos relacionados con

desnudismo, erotismo o pornografía. Acceso a sitios de música, juegos, videos u otros sitios de entretenimientos EN LINEA; Acceso a sitios Web de carácter discriminatorio, racista, o material potencialmente ofensivo

incluyendo, bromas de mal gusto, prejuicios, menosprecio, o acoso explicito. Acceso a sitios de “hacking” o sitios reconocidos como inseguros, los cuales puedan poner en

riesgo la integridad y confidencialidad de la información y los equipos de la Institución. Descarga desde Internet de CUALQUIER material (incluyendo software) que sea catalogado como

amenaza a la seguridad de la RED tecnológica de la institución o que esté protegido por derecho de propiedad, o archivos electrónicos para usos no relacionados con la actividad de la ASAMBLEA NACIONAL. (Ej. Archivos de música, video, PROXY, CHAT, ETC).

Participación en cualquier actividad ilegal o criminal. Solicitud no autorizada de dinero o la operación de negocios personales. El uso del YOUTUBE deberá ser única y exclusivamente para lo solicitado en la encuesta que se le

realizó. No podrá disponer de este servicio para ver otro contenido ajeno a lo solicitado. COMO MEDIDA DE CONTROL, LA UNIDAD DE SEGURIDAD INFORMÁTICA CUENTA CON EQUIPOS PARA MONITOREAR CUALQUIER ACTIVIDAD QUE HAYA SIDO DESCRITA COMO PROHIBIDA EN LAS POLÍTICAS DEL USO DEL INTERNET. DE COMPROBARSE ALGUNA FALTA COMETIDA EN EL USO DEL INTERNET SE ESTARÁ ACTIVANDO EL BLOQUEO PERMANENTE DEL SERVICIO DE INTERNET Y EL INFORME CON LAS PRUEBAS SE LE ESTARÁ REMITIENDO A SU JEFE DIRECTO PARA QUE SE TOMEN LAS SANCIONES ESPECIFICADAS EN EL MANUAL DE RRHH.

Firma del Funcionario: ___________________________________________



Anexo Nº6

En las auditorías de Internet se revisan los siguientes aspectos:

1. Historia de Navegación Web (Explorer, Arrome, Mozilas, etc.)

2. Cookies de funcionamiento de las páginas Web.

3. Revisión de la versión y la actualización del Antivirus.

4. Programas descargados de Internet.

5. Programas instalados no permitidos.

6. Accesos no permitidos a cada usuario (youtube, facebook, etc.

7. Revisión de sitios Web permitidos y no permitidos (pornografía, juegos, etc.).



Anexo Nº7



Anexo Nº8



Anexo Nº9



Anexo Nº10



Anexo Nº11



Ver Anexo Nº12



Anexo Nº13



Anexo Nº14



Anexo Nº15



Anexo Nº16



Anexo Nº17



Anexo Nº18



Anexo Nº19



Anexo Nº20



Anexo Nº21



Anexo Nº22



Anexo Nº23



Anexo Nº24



Anexo Nº25



Anexo Nº26



Anexo Nº27

GENERALES 2 Modificado,,,,, · Procedimiento de Auditoría Informática de Internet a requerimiento...

Documents

Transcript of GENERALES 2 Modificado,,,,, · Procedimiento de Auditoría Informática de Internet a requerimiento...