Issuu on Google+

MINERALES ANDINOS DE OCCIDENTE S.A.

POLITICAS DE SEGURIDAD INFORMÁTICA

TECNOLOGÍA EN SISTEMAS

ABRIL DE 2011


Contenido

POLITICAS GENERALES DE SEGURIDAD INFORMÁTICA ..................................... 3 POLÍTICA SOBRE EL USO DE LA RED INTERNA ...................................................... 4 POLÍTICA PARA EL SERVICIO DE NAVEGACIÓN EN INTERNET ......................... 5 POLÍTICA PARA EL USO DEL CORREO ELECTRÓNICO CORPORATIVO .......... 6 POLÍTICA DE ACCESO A LA INFORMACIÓN CONTENIDA EN LOS SERVIDORES Y/O EQUIPOS DE LA COMPAÑÍA ....................................................... 9 POLÍTICA DE MANEJO Y USO DE LOS EQUIPOS DE CÓMPUTO, IMPRESIÓN Y FOTOCOPIA. .................................................................................................................. 10 POLÍTICA DE RESPONSABILIDADES CON LOS EQUIPOS PORTABLES. ........ 11 POLÍTICA PARA EL ACCESO A LA RED POR PARTE DE TERCEROS .............. 12 POLITICAS PARA LOS USUARIOS. ............................................................................. 13

2


POLITICAS GENERALES DE SEGURIDAD INFORMÁTICA

En Minerales Andinos de Occidente S.A., el respeto a las normas legales vigentes, a las buenas costumbres, al orden público, los estatutos y reglamentos de la Compañía, el derecho a la educación, y a la intimidad, debe ser una constante, en la utilización de los recursos informáticos, telemáticos y de red proporcionados por la Compañía. Los recursos y servicios de informática que la Compañía proporciona, deben ser utilizados de manera racional y consciente, teniendo en cuenta que se trata de un servicio para la Compañía y los usuarios del servicio y que cualquier falla o daño generado a los mismos repercute en perjuicio de los anteriores. Las Normas acá contempladas son para su aplicación en tiempo laboral específicamente. Para llegar a la plena satisfacción de los usuarios en la utilización de los servicios informáticos, se han definido las siguientes políticas que se enumeran a continuación y que son de obligatorio cumplimiento al interior de la Compañía.

3


POLÍTICA SOBRE EL USO DE LA RED INTERNA

Definición: Los usuarios o empleados que en función de su trabajo necesiten hacer uso de la información contenida en los servidores u otros equipos de cómputo podrán hacer uso de la red interna de la compañía. Para dar cumplimiento a la política: 1. Solicitar a través de Talento Humano, la creación de una cuenta de usuario con su respectiva clave personal. 2. Respetar la privacidad de otros usuarios. No está permitido obtener copias intencionales de archivos, códigos, contraseñas o información ajena; ni suplantar a otra persona en una conexión que no le pertenece o enviar información a nombre de otra persona sin consentimiento del titular de la cuenta. 3. Respetar la protección legal otorgada a programas, textos, artículos y bases de datos según legislación internacional sobre propiedad intelectual y las normas pertinentes de nuestro país. 4. Respetar la integridad de los sistemas de computación. Esto significa que ningún usuario podrá adelantar acciones orientadas a infiltrarse, dañar o atacar la seguridad informática de la Empresa, a través de medio físico o electrónico alguno. 5. No obtener ni suministrar información sin la debida autorización, no dar a conocer códigos de seguridad tales como contraseñas a otras personas, o entorpecer por ningún medio el funcionamiento de los sistemas de información y telecomunicaciones de la Empresa. 6. La creación de nuevas redes o reconfiguración de las existentes, solo podrá ser adelantada por personal autorizado por el departamento de Tecnología. 7. Debe cambiar con frecuencia sus claves de acceso a servicios y no se las comunique a nadie (de preferencia, que sus contraseñas incluyan letras, mayúsculas y minúsculas, números y caracteres especiales, que sean de una longitud mínima de 8 caracteres. Y no formen palabras o información conocidas por ejemplo, la fecha de nacimiento). 8. El Usuario no debe interferir en los procesos computacionales de la compañía mediante acciones que disminuyan el desempeño o la capacidad de los equipos instalados. Así mismo y bajo ningún pretexto debe intentar burlar los esquemas de seguridad de los sistemas de la compañía.

4


POLÍTICA PARA EL SERVICIO DE NAVEGACIÓN EN INTERNET Definición: Los usuarios que en función de su trabajo necesiten hacer uso del servicio de internet. Este servicio será auditado para garantizar el buen uso del mismo. Para dar cumplimiento a la política: 1. El acceso a internet es suministrado para ayudarle a cumplir las actividades propias de la labor para la cual fue contratado y puede hacer uso del mismo cuando requieran este servicio siempre y cuando esté directamente relacionado con sus funciones frente al perfil del cargo mientras se encuentre en horario laboral. Se puede utilizar el servicio después del horario laboral para actividades culturales, de diversión y otros servicios, siempre y cuando las páginas utilizadas no se encuentre prohibidas por la presente política. 2. Los usuarios utilizarán únicamente los servicios para los cuales están autorizados. No deberán usar la cuenta de otra persona, ni intentar apoderarse de claves de acceso de otros, así como no deberán intentar acceder ni modificar archivos que no son de su propiedad. 3. Internet no es un medio seguro, si por error su navegador llega a un sitio que no es apropiado debe salirse de él inmediatamente. 4. La descarga de archivos de sus correos personales durante su jornada de trabajo está enmarcada en el uso racional de esta opción. 5. No descargar música y video que no estén relacionados con sus funciones laborales dentro de la jornada de trabajo. 6. No participar en juegos de entretenimiento en línea en horas laborales. 7. No utilizar los servicios de Radio y TV por demanda en horas laborales. 8. Emplear el menor número de instancias del explorador de Web en forma simultánea. (No abrir varias ventanas a la vez). 9. Está totalmente prohibido hacer uso de programas de descargas de archivos o de intercambio p2p como, Kazza, Bittorrent, emule y cualquier otro programa que realice descargas usando el servicio de internet. 10. No abra vínculos que le llegue a través de medios de correo a no ser que esté completamente seguro que es una fuente certificada. 11. El servicio de internet es auditado y los registros de navegación se guardan en detalle. 12. Quien necesite validar la información de navegación deberá solicitarlo por escrito al comité de sistemas. 13. No instale software de ninguna naturaleza, que provenga de Internet.

5


POLÍTICA PARA EL USO DEL CORREO ELECTRÓNICO CORPORATIVO Definición: La empresa ha asignado los recursos necesarios para que cada Empleado en función de las necesidades propias de la labor para la cual fue contratado, se le asigne una cuenta de correo y un programa (Microsoft Outlook); el cual le permitirá comunicarse con otros empleados o entes externos a la Compañía. Para dar cumplimiento a la política: 1. La empresa suministra un programa (Microsoft Outlook), el cual le permitirá el uso eficiente del correo Corporativo. Este programa no debe ser cambiado por otro cliente de correo sin previa autorización y se debe dejar configurado con los parámetros estándar que defina la Empresa para su uso. 2. La cuenta y buzón son personales e intransferibles, no pudiéndose ceder a terceros, tengan relación o no con la Empresa. Los usuarios son responsables de todas las actividades realizadas con sus cuentas de acceso y buzones de correo proporcionados para su función laboral. La empresa declina cualquier responsabilidad que pudiese derivarse del mal uso de este servicio. Si necesita ayuda para asignar su clave por favor contacte al área de Tecnología. 3. El servicio de correo electrónico está disponible debido a su vinculación con la empresa, el uso de este servicio debe estar asociado única y exclusivamente a funciones laborales. Evite la propagación de cadenas de correo, el envío o reenvío de mensajes como chistes, videos, imágenes, Fotos (Fiestas, Paseos, Cumpleaños, Bodas, ETC.) Por una parte no son asuntos corporativos, por bonito que pueda ser el mensaje, y por otro lado, este tipo de correos pueden comprometer la disponibilidad del servicio. 4. Está prohibido suministrar la dirección de correo Electrónico de la Empresa a terceros cuya finalidad sea difundir información de carácter personal (Suscripciones de revistas, Noticias, Foros, todo tipo de tarjetas), dicha dirección debe ser utilizada únicamente para asuntos de carácter laboral, ya que podría provocar de esta forma que las direcciones de correos electrónicos de la Empresa sean puestas en Libretas de Direcciones de personas ajenas a la Empresa y con esto aumentar el recibo de correo SPAM (No deseado, Basura) el cual es tan molesto para todos. Se solicita entonces que estos asuntos de carácter personal sean manejados a través de correos electrónicos gratuitos, dados en la Internet bajo Motores de Búsqueda, tales como: Hotmail, Latinmail, Gmail y cualquier otro correo gratuito. A su vez el uso de estos correos electrónicos gratuitos debe ser adquirido por fuera de las instalaciones de la Empresa, de tal manera que cada usuario debe realizar un contrato directamente con la Empresa prestadora del servicio de Internet, en el lugar donde esta vaya a ser usada. 5. Se deben respetar los limites establecidos en los tamaños de mensajes salientes y entrantes, y revisar periódicamente los buzones para limpiar/eliminar los mensajes ya leídos o innecesarios, con esto estaremos optimizando en gran medida la utilización del espacio del servidor de correo. Por favor sea mesurado en el envío de correos con archivos adjuntos; considere previamente el tamaño de la información que va a enviar y tenga en cuenta que videos, sonidos, grupos de imágenes y grandes presentaciones

6


6.

7.

8.

9.

10.

PowerPoint impactan seriamente el acceso a Internet. Envíos de más de 1000 Kilobytes (1 MB) ya comienzan a afectar el rendimiento. Siempre que pueda, COMPRIMA los archivos adjuntos ó utilice formatos económicos. Por ejemplo, las imágenes tipo “.jpg” ocupan muchísimo menos que la misma imagen en formato “.bmp”. Si no tiene un programa para comprimir sus datos, por favor solicite ayuda al Área de Tecnología. No Abrir Correos Con Archivos Adjuntos de remitentes desconocidos, puesto que estos mensajes pueden traer Virus ocultos; software maligno, de esta medida puede depender que no ingrese un Virus en nuestra Red y se propague por medio de la libreta de contactos. El fin de los servicios de Internet, entre ellos, el correo electrónico es el intercambio de información, no la difusión masiva e indiscriminada. No se puede enviar correo a personas que no deseen recibirlo. Sólo debe enviar correos si se conoce con certeza que dicho envío no molestara al destinatario. No está permitido el envío de correos masivos a toda la Organización, solo a grupos de trabajo a los cuales se quiera dirigir el mismo, si se necesita enviar un correo masivo lo debe solicitar al comité de Comunicaciones Corporativas. Se prohíbe disociar, difamar, injuriar, calumniar, tratar con vocabulario inadecuado frente a las normas laborales a los compañeros de trabajo y superiores a través de este medio electrónico. Cuando tenga problemas, dé aviso inmediatamente por teléfono o por correo electrónico. Cuanto más tiempo deje pasar menos probable será que se pueda solucionar el problema. Mantenga una copia del mensaje de error. En general, ante una comunicación fallida lo mejor que puede hacer es reintentar un par de veces con un intervalo prudencial entre intentos. Si el error continúa, informe al área de Tecnología.

7


11. Parámetros de configuración básicos del cliente de correo Microsoft Outlook: - Tener activas las opciones de: - En panel de lectura, desactivar la Opción “Marcar como leído al cambiar la selección” - El formato de correo predeterminado es HTML. - Los correos nuevos llevarán la siguiente firma

__ Nombre Usuario Cargo Empresa Minerales Empresa Medoro Teléfono / Celular; Ciudad / Colombia Cláusula de confidencialidad

__ William Alfonso Sánchez R. Geólogo Ambiental Minerales Andinos de Occidente S.A. MEDORO Resources Ltd. PBX: +57(4) 444 7515; Medellin – Colombia The information transmitted is intended only for the person or entity to which it is addressed and contains confidential and privileged material. If you are not the intended recipient for this message, you are on notice that any review, transmission, dissemination, distribution, copying or other use or taking any action based upon or relative to the information contained in this message is prohibited. If you received this message in error, please contact the sender and delete the material from your computer.

- La respuesta de un correo llevará como firma: __

Nombre del Usuario Ejemplo __

William Alfonso Sánchez R.

8


POLÍTICA DE ACCESO A LA INFORMACIÓN CONTENIDA EN LOS SERVIDORES Y/O EQUIPOS DE LA COMPAÑÍA Definición: La Empresa tiene preparado para la buena labor de sus empleados unos servidores de cómputo los cuales se encuentran en las diferentes sedes de la misma, y a la cual pueden acceder siempre y cuando tengan los permisos adecuados. Los usuarios que tengan contacto directo o indirecto con los activos de información tienen la responsabilidad de protegerlos, hacer buen uso de éstos e informar las amenazas, vulnerabilidades e incidentes de seguridad de la información a los que se encuentran expuestos. Adicionalmente deberán cumplir con las políticas, procedimientos, estándares y buenas prácticas que determine la organización para proteger dichos activos, dentro de los cuales se encuentra el uso aceptable de los recursos, la clasificación de la información su etiquetado y manejo. Para dar cumplimiento a la política: 1. Solicitar al área de Tecnología los permisos adecuados sobre la información a la que en función de su labor tenga derecho y necesidad de acceder. 2. Haciendo uso adecuado de los activos de información de la organización de acuerdo con los objetivos para los cuales la organización los tiene destinados, no para usos personales. 3. Protegiendo los activos de información que le son suministrados para el desempeño de sus labores. Comunicando las amenazas y vulnerabilidades identificadas. 4. Reportando y gestionando los incidentes de seguridad de la información. 5. Seleccionando e implantando controles para mitigar o eliminar las vulnerabilidades identificadas. 6. Realizando procedimientos que garanticen el buen uso de los activos de información. 7. Clasificando y etiquetando la información de acuerdo al grado de sensibilidad de ésta y de acuerdo a los estándares definidos. 8. Evitando hacer uso de los recursos tecnológicos de la organización para convertirse en generador de amenazas para terceros por dentro y fuera de la organización. 9. Entregando los activos de información que le fueron suministrados por la compañía una vez se haya terminado el contrato o acuerdo para el cual estaban siendo utilizados. 10. Respetar las condiciones en las cuales se le da acceso a la información de la Empresa. No tratar de acceder a esta sino tiene permiso. 11. No suministrar su clave de acceso a otras personas, y si en un momento determinado lo debe hacer por un servicio del área de Tecnología, cambiar la clave inmediatamente.

9


POLÍTICA DE MANEJO Y USO DE LOS EQUIPOS DE CÓMPUTO, IMPRESIÓN Y FOTOCOPIA. Definición: La Empresa, pone a disposición de sus empleados en función de la labor para la cual fue contratado equipos de cómputo, impresión, escaneo y comunicaciones para que pueda desarrollar su labor a cabalidad. Para dar cumplimiento a la Política: 1. Solicitar al área de Tecnología los equipos apropiados para desempeñar su labor. 2. Cuidar del buen estado de los equipos que le son suministrados y si detecta una posible falla en ellos, informarlo al área de Sistemas. 3. No instalar ningún tipo de software que no esté debidamente licenciado por la Empresa. 4. Al finalizar la jornada deberá apagar los equipos. 5. Si es la última persona en abandonar su área de trabajo, verificar que todos los equipos hayan quedado apagados. 6. Solo deberá imprimir lo estrictamente necesario para su labor, y aún cuando tenga que imprimir piense primero si realmente es necesario la impresión. Esto le generará un ahorro a la Empresa y al medio ambiente. 7. Ser responsable por lo que imprima (No dejarlo en la impresora). 8. En la medida de lo posible reutilizar las hojas que ya estén impresas por un lado.

10


POLÍTICA DE RESPONSABILIDADES CON LOS EQUIPOS PORTABLES. Definición: La Empresa, pone a disposición de sus empleados en función de la labor para la cual fue contratado equipos de cómputo portátiles para que puedan desarrollar su labor a cabalidad. Para dar cumplimiento a la Política: 1- Solicitar al área de Sistemas los equipos portátiles apropiados para desempeñar su labor. 2- Cuidar del buen estado de los equipos que le son suministrados y si detecta una posible falla en ellos, informarlo al área de Sistemas. 3- El portátil es para trabajos relativos a la Empresa, y esto se hace extensivo para cuando se está fuera de la misma (NO es para realizar trabajos personales). 4- Es su responsabilidad el buen trato a los portátiles, y generar actos seguros al transportarlos fuera de la Empresa (No llevarlos a eventos multitudinarios, ni a rumbas).

11


POLÍTICA PARA EL ACCESO A LA RED POR PARTE DE TERCEROS Definición: La Compañía requiere de Proveedores para la administración y soporte de soluciones tecnológicas con base en relaciones de confianza, sustentadas en un contrato cuando así lo requiera, como son:     

Correo electrónico. Seguridad perimetral sobre la red Wan. Interconexión entre las diferentes sedes de forma segura. Telefonía de la Compañía con el mundo y entre las diferentes sedes. Monitoreo del uso de los canales de comunicación (Internet y telefonía).

Para poder cumplir con los anteriores servicios se requiere hacer trabajo de mantenimiento, revisión y actualización en los computadores (Servidores Linux) configurados para este fin. Para dar cumplimiento a la política es necesario: 1- Solicitar autorización al personal de Tecnología para conectarse o recibir de este por escrito la solicitud de conexión, con la debida sustentación de la solicitud o requerimiento. 2- Realizar única y exclusivamente la actividad que se le solicita, en cada requerimiento por la persona debidamente autorizado por el Jefe de Tecnología. 3- No acceder a ningún otro computador diferente a los servidores Linux, a no ser por solicitud expresa de personal de Tecnología por escrito. 4- Generar un registro automático que será enviado al personal de Tecnología designado para esto, en que conste: La fecha y hora en que se hizo la conexión, lo mismo que la desconexión y el registro de los comandos ejecutados. 5- Reportar por escrito la tarea que se realizó y en qué estado queda. 6- Cuando se esté en la sede directamente, solo acceder al servidor para el cual fue a realizar la tarea encomendada.

12


POLITICAS PARA LOS USUARIOS. Definición: Los Empleados de la Empresa deberán cumplir las siguientes normas Para dar cumplimiento a la norma: 1- Los dispositivos portátiles de transmisión de documentos como: USB, Discos Externos, DVD´S, CD’S, Ipods, Celulares, Disquete o cualquier otro tipo de transmisión de archivos, facilitan la transmisión de información dentro y fuera de la Compañía, aparte que son un bug (hueco) de un posible factor de medio de transmisión de virus, por lo que obliga a los usuarios a un manejo responsable, ético y legal, de lo contrario el usuario asumirá la responsabilidad de los riesgos y perjuicios que le ocasione a la Compañía. 2- Otro medio más seguro de transmitir la información que se considere pertinente, es solicitando acceso a los de recursos de la Compañía como: (Intranet, FTP, Carpetas Compartidas). Para lo anterior se deberá solicitar ayuda al área de Tecnología de la Compañía. 3- El uso del correo electrónico debe ser usado única y exclusivamente con fines laborales. 4- Podrá hacer uso de su equipo portátil personal en las instalaciones de la compañía después de su jornada laboral; en cada una de las sedes se podrá instalar un sistema de conexión inalámbrica para hacer uso únicamente del servicio de internet. 5- La Compañía no se hace responsable por la información personal que se encuentre en los equipos suministrados por la misma. 6- Los usuarios que en función de su trabajo requiera hacer uso de conexión externa a la compañía deberá hacerlo únicamente mediante una conexión segura VPN; para hacer uso de este medio debe solicitar un acceso justificando su labor externa al comité de sistemas, pues es la única forma que la compañía podrá asegurar la información que está usando en el momento de conexión, cualquier otro tipo de conexión será entendido como violación a las normas que en este documento se describen. 7- Si un usuario requiere conexión a internet para uso personal y fuera de su jornada laboral puede hacer uso de un Modem de Internet Portable Personal o uso de la conexión a internet publica que podrá disponer la empresa. 8- No está permitido hacer trabajos personales dentro de la jornada laboral.

13


Políticas de Seguridad Informática