ASAMBLEA NACIONAL
MANUAL DE PROCEDIMIENTOS ADMINISTRATIVOS UNIDAD DE SEGURIDAD INFORMÁTICA
2017
Generalidades
Base Legal
Descripción de Conceptos
Estructura Organizativa
Funciones
Políticas de Seguridad
Procedimientos Administrativos
Flujogramas
Anexos
DIRECTIVA
H.D. RUBEN DE LEÓN S. PRESIDENTE H.D. LUIS EDUARDO QUIRÓS PRIMER VICEPRESIDENTE H.D. YANIBEL ÁBREGO SMITH SEGUNDA VICEPRESIDENTA LIC. FRANZ O. WEVER Z. SECRETARIO GENERAL LIC. ANELIS BERNAL SUBSECRETARIA GENERAL
SECRETARÍA GENERAL
DIRECCIÓN DE DESARROLLO INSTITUCIONAL
LIC. LUZ MARINA NAVARRO GUTIÉRREZ
DIRECTORA
PERSONAL TÉCNICO
LIC.MARKELDA CAÑIZALES ANALISTA
LIC.BERTA HISLOP ANALISTA
LIC.MELINA OROCÚ ANALISTA
TEC.GLORIA GIL ASISTENTE ADMINISTRATIVA
SEÑORA MATILDE BUSTAMANTE SECRETARIA
PERSONAL TÉCNICO UNIDAD DE SEGURIDAD INFORMÁTICA
FELIX SÁNCHEZ JEFE
YOSELIN HERNÁNDEZ ANALISTA DE SISTEMA DE SEGURIDAD
ALEJANDRO ANDRADE ANALISTA DE SISTEMA DE SEGURIDAD
KATHIA CHÁVEZ ASISTENTE DE ANALISTA
REVISADO POR: DEPARTAMENTO DE CORRECCIÓN Y ESTILO DE LA DIRECCIÓN NACIONAL
DE ASESORÍA EN ASUNTOS PLENARIOS
LIC. ROSAURA RIVERA CORRECTORA
ÍNDICE
Páginas
Introducción i Generalidades
Objetivo del Manual 1
Ámbito de aplicación y alcance 1
Base legal de la Unidad de Seguridad Informática 2
Descripción de conceptos 3
Estructura Organizativa 6
Objetivo y funciones 7
Normas de seguridad informática 8
Integridad y disponibilidad de los recursos 9
Accesos no autorizados y suplantación de identidad 10
Uso de los servicios de comunicación y difusión de información 12
Uso de la infraestructura de comunicaciones 12
Licencias de software y derechos de autor 14
Adquisición de tecnología 15
Consecuencias del mal uso de los recursos tecnológicos 16
Procedimiento de Auditoría de Seguridad del Equipo Informático 18 Flujograma 20
Procedimiento de Auditoría de Evaluación de Proyectos 21 Flujograma 23 Procedimiento de Auditoría Informática de Sistemas 24 Flujograma 26
Procedimiento de Auditoría Informática de Internet a requerimiento 27 Flujograma 29 Procedimiento de Auditoría Informática de Internet por riesgo e incidente 30 Flujograma 32 Procedimiento de Auditoría Informática de Internet por control periódico 33 Flujograma 35
PROCEDIMIENTOS Y FLUJOGRAMAS
Procedimiento de Instalación de Antivirus 36
Anexo #1 Reglamento para el uso de los Sistemas Informáticos 42
Anexo #2 Control de manejo de informe técnico 43 Instructivo 44
Anexo #3 Control del acceso a información técnica 45 Instructivo 46
Anexo #4 Cuestionario de uso de Internet 47 Instructivo 50 Anexo #5 Política sobre el uso de Internet 52 Anexo #6 Lista de los puntos revisados en las auditorias 53 Anexo #7 Plantilla de propiedades del Sistema Windows 54 Anexo #8 Plantilla de eset remote administrador 55 Anexo #9 Plantilla de certificación de instalador 56 Anexo #10 Plantilla de certificado de agente para la instalación 57 Anexo #11 Plantilla para obtener instaladores 58 Anexo #12 Plantilla de paquetes para descargar 59 Anexo #13 Plantilla de instalación del antivirus 60
ANEXOS
Anexo #14 Plantilla de asistente para la instalación de eset remote administrator agent 61 Anexo #15 Plantilla de Inicio de la instalación del eset remote administrator agent 62 Anexo #16 Plantilla de proceso de instalación 63 Anexo #17 Plantilla de completado la instalación 64 Anexo #18 Plantilla de Bienvenida de eset endpoint Security 65 Anexo #19 Plantilla remove aplications 66 Anexo #20 Plantilla no applications found 67 Anexo #21 Plantilla de eset endpoint Security 68 Anexo #22 Plantilla de acuerdo de licencia de usuario final 69 Anexo #23 Plantilla de eset live grid 70 Anexo #24 Plantilla de detección de aplicaciones potencialmente no deseadas 71 Anexo #25 Plantilla de Activar con clave de licencia 72 Anexo #26 Plantilla de activación del producto 73 Anexo #27 Plantilla de nueva conexión de Red 74 Firma de autorización 75
OTROS
INTRODUCCIÓN
La Asamblea Nacional en su constante proceso de modernización cuenta hoy día con
herramientas tecnológicas que permiten el acceso oportuno a la información y la rápida
comunicación con el mundo.
Esta plataforma tecnológica hace posible que los colaboradores de la Institución realicen
sus tareas de forma eficiente y a la vez se brinde a la población la oportunidad de
mantenerse actualizada de toda la gestión legislativa.
Las computadoras, los servidores y las redes son instrumentos que permiten de forma
eficiente el acceso y distribución de la información, por lo que se consideran una
infraestructura estratégica para el desarrollo de los objetivos de la organización.
Gozar de los privilegios y facilidades que proporcionan estas herramientas tecnológicas
acarrea responsabilidades a los usuarios del sistema y de los recursos físicos, quienes
han de acatar las leyes y regulaciones que se formulen al respecto.
El presente Manual de procedimientos es una herramienta que permite conocer los pasos
que deben ejecutarse para mantener de forma segura la estructura tecnológica en la
Asamblea Nacional, al mismo tiempo busca establecer una cultura de calidad operada de
forma confiable, siendo la seguridad informática, el medio donde se valoran y
administran los riesgos apoyados en estrategias y estándares que cubren las necesidades
en materia de seguridad.
El desarrollo de este Manual, además, tiene como finalidad estructurar los criterios de
seguridad de la información sistematizada en la Institución, establecer un control de
usuarios de la red y plasmar lineamientos en esta materia.
Las políticas de seguridad informática establecidas en este Manual son la base
fundamental para la protección de los activos informáticos y de toda la información que se
esgrime en el Parlamento.
i
Este documento debe ser renovado en la medida en que se realicen cambios y se
incorporen nuevos procesos en dicha Unidad, con el propósito de conservar este material
siempre actualizado.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 1
1. Generalidades El presente Manual contiene los lineamientos y procedimientos que tienen por objeto
establecer medidas y patrones técnicos de administración y organización de las
tecnologías de información y comunicación de todo el personal comprometido en el uso
de los servicios informáticos proporcionados por la Institución.
También se convierte en una herramienta de trabajo que muestra las políticas de
seguridad informática al personal de la Unidad, facilitando una mayor integridad,
confidencialidad y confiabilidad de la información generada, así como el manejo de
datos y el uso de bienes informáticos, tanto de hardware como de software disponible,
minimizando los riesgos en el uso de las tecnologías de información.
1.1 Objetivo del Manual
El Manual de Procedimientos de la Unidad de Seguridad Informática es un
instrumento técnico de automatización que tiene los siguientes objetivos:
1.1.1 Establecer formalmente los procesos requeridos para la ejecución de las
tareas y lograr el cumplimiento de los objetivos funcionales y estratégicos de la
Unidad de Seguridad Informática.
1.1.2 Ser utilizado como instrumento de información y medio de capacitación para
alinear persistentemente al personal.
1.1.3 Instaurar las bases para mantener un firme sistema de control interno que
facilite el proceso de las tareas encomendadas.
1.2 Ámbito de aplicación y alcance El presente Manual se aplica a todas las áreas que conforman la estructura
orgánica de la Asamblea Nacional.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 2
Este documento define los procedimientos que deben cumplir de manera
obligatoria todos los usuarios de la Institución para garantizar el buen uso de los
equipos de cómputo, aplicaciones y servicios informáticos.
2. Base legal de la Unidad de Seguridad Informática
La Unidad de Seguridad Informática, fue creada mediante la Resolución Nº. 263 de 30 de
junio de 2008, integrada al nivel coordinador, posteriormente bajo la Resolución Nº.52 de
12 de agosto de 2009, se modifica la estructura organizativa y pasa a formar parte de la
Dirección de Tecnología, Informática y Comunicaciones y, posteriormente, mediante la
Resolución Nº.47 de 5 de agosto de 2010, se extrae de la Dirección antes mencionada
para ser integrada el nivel fiscalizador bajo el nombre de Unidad de Seguridad
Informática.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 3
Descripción de Conceptos
1. Usuario
Es la persona que utiliza o trabaja con algún objeto o que es destinataria de algún
servicio público, privado, empresarial o profesional.
2. Políticas de seguridad
Es un conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger
y distribuir recursos en una organización para llevar a cabo los objetivos de
seguridad informática dentro de la misma.
3. Password
Es una serie secreta de caracteres que permite a un usuario tener acceso a un
archivo, a un ordenador o a un programa.
4. Sistema de Información
Es un conjunto de componentes relacionados que recolectan (o recuperan),
procesan, almacenan y distribuyen información para apoyar la toma de decisiones y
el control en una organización.
5. Mensajería Instantánea (conocida también en inglés como IM).
Es una forma de comunicación en tiempo real entre dos o más personas basada en
texto. El texto es enviado a través de dispositivos conectados a una red como
Internet.
6. FTP (Protocolo de Transferencia de Archivos).
Es un protocolo de red para la transferencia de archivos entre sistemas conectados a
una red TCP (Transmission Control Protocol), basado en la arquitectura cliente-
servidor.
7. Servidor Web
Es un programa informático que procesa una aplicación del lado del servidor,
realizando conexiones bidireccionales o unidireccionales y síncronas o asíncronas
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 4
con el cliente y generando o cediendo una respuesta en cualquier lenguaje o
Aplicación del lado del cliente.
8. RDSI
Es una red que procede por evolución de la Red Telefónica Básica (RTB) o Red
Telefónica Conmutada (RTC) convencional, que facilita conexiones digitales de
extremo a extremo entre los terminales conectados a ella (teléfono, fax, ordenador,
etc.).
9. ADSL
Es una tecnología de acceso a Internet de banda ancha, lo que implica una velocidad
superior a una conexión por módem en la transferencia de datos, ya que el módem
utiliza la banda de voz y por tanto impide el servicio de voz mientras se use y
viceversa.
10. Routers
Es un dispositivo de hardware que permite la interconexión de ordenadores en red.
11. Módem
Es un dispositivo que convierte las señales digitales en analógicas (modulación) y
viceversa (desmodulación), y permite así la comunicación entre computadoras a
través de la línea telefónica o del cable módem.
12. Redes
Conjunto de equipos informáticos conectados mediante dispositivos físicos de
transporte de datos.
13. Sniffer
Es una aplicación especial para redes informáticas, que permite como tal capturar los
paquetes que viajan por una red.
14. Freeware
Se refiere a aplicaciones o software de ordenador gratis.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 5
15. Open Sourse(Código abierto).
Es el término con el que se conoce al software distribuido y desarrollado libremente.
El código abierto tiene un punto de vista más orientado a los beneficios prácticos de
compartir el código que a las cuestiones éticas y morales, las cuales destacan en el
llamado software libre.
16. Cookies
Pequeña información enviada por un sitio Web y es almacenada en el navegador del
usuario.
17. Auditoria externa
Es un examen crítico, objetivo, sistemático y detallado de un sistema de información
informático.
18. Auditoria interna
Ayuda a cumplir los objetivos de la Institución aportando un enfoque sistemático y
disciplinado que permite evaluar y mejorar la eficacia de los procesos de gestión de
los riesgos informáticos y su respectivo control.
19. Incidente
Acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada
de información. Un impedimento en la operación normal de las redes, sistemas o
recursos informáticos o cualquier acto que implique una violación a la política de la
seguridad informática de la Institución.
20. Riesgo
Es una medida de la magnitud de los daños frente a una situación peligrosa.
Ocurrencia potencial de perjuicio o daño para cualquier recurso informático.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 6
ESTRUCTURA ORGANIZATIVA
PRESIDENCIA
PRIMERA VICEPRESIDENCIA
SEGUNDA VICEPRESIDENCIA
UNIDAD DE SEGURIDAD
INFORMÁTICA
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 7
UNIDAD DE SEGURIDAD INFORMÁTICA
OBJETIVO
Asegurar que se cumplan las políticas de seguridad, normas y procedimientos de acceso
y utilización de los sistemas de informática en la Asamblea Nacional.
FUNCIONES
- Diseñar políticas para la implementación, administración y uso seguro de los sistemas
de informática y comunicaciones que se administren a nivel institucional.
- Contribuir al desarrollo del modelo de aseguramiento de la calidad de los sistemas y
servicios informáticos que provee la Dirección de Tecnología Informática y
Comunicaciones.
- Promover el cumplimiento de las normas de seguridad para el acceso a los sistemas
de informática y comunicaciones instalados en la Institución.
- Garantizar los planes de seguridad para minimizar la vulnerabilidad de los sistemas
de informática institucional y para asegurar la recuperación de las operaciones de
cómputo ante fallas menores y/o mayores.
- Evaluar periódicamente las políticas y normas de seguridad informática,
adecuándolas a los riesgos y vulnerabilidades vigentes.
- Elaborar el plan anual de trabajo de sus actividades y proyectos.
- Confeccionar los informes de seguimiento sobre la ejecución de sus labores.
- Elaborar los informes de evaluación de resultados.
- Formular el anteproyecto de presupuesto de la Unidad.
- Las demás funciones que se le asignen afines a su área de especialidad.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 8
Políticas
1. Normas de seguridad informática
Las normas de seguridad informática son un conjunto de lineamientos, reglas,
recomendaciones y controles con el propósito de dar respaldo a los procedimientos y
objetivos desarrollados por estas, a través de funciones, delegación de responsabilidades
y otras técnicas, con un objetivo claro, acorde a las necesidades de seguridad
establecidas en el entorno administrativo de la red institucional.
Estas normas constituyen un canal formal de actuación, en relación con los recursos y
servicios informáticos de la organización, las cuales establecen los procedimientos que
regulan la forma en que la organización previene, protege y maneja los riesgos de los
posibles daños, sin importar el origen de estos.
1.1 Nuevos usuarios
Cada vez que la Institución contrate personal nuevo, la Dirección de Recursos
Humanos debe notificar a la Unidad de Seguridad Informática, con el propósito de
asignarle los derechos que le corresponden en cuanto al uso del equipo informático y
de la información que manejará. De igual manera, en caso de retiro de un funcionario
de la Asamblea Nacional también se debe comunicar a esta Unidad para efectos de
anular y cancelar los derechos otorgados.
1.2 Capacitación en seguridad informática
Todo nuevo funcionario de la Asamblea Nacional deberá recibir inducción sobre las
Políticas de Seguridad Informática contempladas en el del Manual de Usuarios de la
Institución, que les permitirá conocer las obligaciones y las sanciones que conlleva el
uso indebido del equipo informático.
1.3 Sanciones para usuarios
Las violaciones graves están descritas en el cuadro de aplicación de sanciones,
establecidas en el Reglamento de Seguridad Informática. Anexo No.1
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 9
2. Sobre la integridad y disponibilidad de los recursos12
Los usuarios deben respetar la integridad de los recursos y sistemas de información. Para
ello, se enumeran una serie de regulaciones a saber:
2.1 Un usuario no debe tratar de alterar o eliminar ordenadores (hardware o
configuración del SO), software o periféricos que estén asignados a el u/a otros
usuarios, sin la debida autorización de la Dirección de Tecnología Informática y
Comunicaciones.
2.2 Los usuarios no deben entorpecer o absorber recursos compartidos de forma tal
que impidan a otros realizar sus tareas de una forma eficiente. Esto incluye, lo
siguiente:
2.2.1 Envío a través de correo electrónico de cartas encomendadas o mensajes excesivamente voluminosos o con muchos destinatarios, ya sean locales o ajenos a la Institución.
2.2.2 Uso de programas que puedan saturar los servidores a las redes de la
Asamblea Nacional, cuando haya alternativas más eficientes o no tengan una
prioridad alta. En cualquier caso, se deberá solicitar con la suficiente antelación al
responsable informático.
2.2.3 Modificaciones no autorizadas de privilegios o permisos.
2.2.4 Intentos de desactivar servidores o cortar el funcionamiento de las redes.
2.2.5 Intento de realizar cualquier tipo de daño (físico o lógico) a las herramientas
informáticas (equipos, aplicaciones, documentos, entre otros) de la Asamblea
Nacional.
Los usuarios no deberán, intencionadamente, desarrollar o usar programas cuyo
objetivo sea dañar otras máquinas o acceder a recursos restringidos (malware: virus,
troyanos, puertas traseras, entre otros). Más aún, deberán controlar que no se les
infecte su equipo con este tipo de software, para lo cual la Dirección de Tecnología
deberá proporcionar las herramientas y utilidades adecuadas. El uso de este tipo de
programas, contra un agente externo o contra la propia Asamblea Nacional, puede
incluso implicar acciones legales por la parte afectada.
1 Véase en el Manual de Políticas de Seguridad Informática. 2 Resoluciones No.208 y No.209 de 27 de noviembre de 2009.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 10
2.3 Al usuario a quien se le asigne un equipo de tecnología, será responsable de
este y deberá informar inmediatamente si el equipo es robado, dañado y, en
general, si por cualquier causa resulta inutilizable. Para el efecto de implementar
los reportes de daños, el usuario deberá llamar, a la brevedad posible, al
escritorio de ayuda (HELP DESK) institucional, a la extensión especial para ello
al Nº8000# o al correo electrónico [email protected].
2.4 Al usuario a quien se le asigne un equipo de tecnología móvil, estará autorizado
para movilizar el equipo fuera de la institución, siempre que sea necesario, por
medio de nota de asignación del equipo por parte de la autoridad correspondiente
(Secretaría General, Dirección General de Administración y Finanzas y/o
Dirección de Tecnología Informática y Comunicación). La autorización estará
vigente mientras el usuario sea funcionario de la Asamblea Nacional, hasta que
las autoridades correspondientes tengan a bien suspender la orden o en caso de
que se le asigne un equipo no móvil en su reemplazo.
2.5 Ninguna computadora o equipo de telefónica fijo o móvil podrá ser reparado por
los usuarios. En caso de presentarse algún daño en los equipos, se debe notificar
inmediatamente al escritorio de ayuda de la Dirección de Tecnología, Informática
y Comunicaciones para que sea revisada, y si la garantía estuviese vigente,
hacerla efectiva ante el correspondiente proveedor.
2.6 Los usuarios de las redes no deben utilizar los enlaces de red para otros usos
que no sean los permitidos o los propios necesarios para el buen desempeño de
sus actividades.
3. Sobre accesos no autorizados y suplantación de identidad
3.1 Los usuarios no deben tratar de conseguir accesos a sistemas o recursos a los
que no estén autorizados y tampoco permitir o facilitar que otros lo hagan.
3.2 Los usuarios deben respetar los derechos del resto de usuarios. La mayoría de
los sistemas de uso compartidos proporcionan mecanismos para proteger los
datos e información privada de posibles consultas por parte de otros. Los intentos
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 11
de saltarse estos mecanismos para conseguir accesos no autorizados a
información calificada como personal supondrán una violación de esta política.
3.3 Los administradores de sistemas que estén autorizados podrán acceder,
exclusivamente, por motivos de mantenimiento y/o de seguridad a aquellas carpetas
de usuarios que permitan al administrador detectar, analizar u seguir las pistas de
una determinada sesión o conexión.
3.4 En cualquier caso, el administrador de sistemas tiene el deber de guardar secreto
el contenido de las carpetas de los usuarios, no estando autorizado a permitir que
terceros puedan acceder a esta información.
3.5 En el supuesto de que una política interna expresamente lo autorice, el
administrador de sistemas podrá permitir el accedo a terceros (responsables de
proyectos, directores, jefes…) a determinadas carpetas de otros usuarios, debiendo
contar en todo caso, tanto con la autorización del secretario general de la Asamblea
Nacional y con el propietario de la capeta.
3.6 Los usuarios de los recursos informáticos de la Asamblea Nacional no deben
acceder a ordenadores, aplicaciones, datos, información o redes para las que no
estén debidamente autorizados. Tampoco deberán permitir, de forma intencionada,
que otros lo hagan, independientemente de que el recurso (equipo, aplicación, red,
datos, entre otros) pertenezcan o no a la Asamblea Nacional.
3.7 No está permitido realizar, de forma intencionada, acciones cuyo fin sea la
obtención de contraseña de otros usuarios sin el consentimiento de estos.
3.8 Cualquier defecto o anomalía que se descubra en el sistema o en su seguridad se
debe reportar, con la mayor brevedad posible, a la Dirección de Tecnología
Informática y Comunicaciones de la Asamblea Nacional. La Unidad de Seguridad de
Informática estará encargada de investigar y proponer soluciones al problema.
3.9 Todo aquel usuario que haya sido autorizado a utilizar una cuenta mediante un
sistema de login/password será responsable de mantenerla en secreto y no darla a
conocer a nadie sin la autorización del administrador del sistema Dirección de
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 12
Tecnología, Informática y Comunicaciones, además de ser siempre el responsable de
lo que se ejecute en el sistema desde esa cuenta.
3.10 Los usuarios deben evitar tener recursos compartidos (carpetas, directorios,
entre otros) sin los mecanismos de aplicación que garanticen la seguridad de su
equipo y la red y seguridad necesarios y disponibles en cada sistema operativo y /o
sin la autorización del administrador del sistema.
4. Sobre el uso de los servicios de comunicación y difusión de información
El correo electrónico, las lista de distribución y servicios de mensajería instantánea son
herramientas que facilitan la comunicación entre las personas. Por ello, conviene tener en
cuenta una serie de comportamientos a la hora de usar estos medios.
4.1 No se deben usar estas herramientas para el envío de mensajes con
contenido fraudulento, ofensivo, obsceno o amenazante.
4.2 Las listas de distribución de correo se deben usar solo para enviar mensajes
relacionados con las funciones que desempeñan los usuarios en la
Institución.
4.3 Los recursos de la Asamblea Nacional no se deben usar para actividades
personales que no tengan relación con las propias del desempeño laboral. En
este caso el responsable informático no está obligado a prestar soporte.
4.4 No se deben usar estos servicios con fines comerciales.
5. Sobre el uso de la infraestructura de comunicaciones
5.1 No instalar ningún servicio telemático (correo electrónico, servidores Web,
FTP, otros) sin la autorización expresa del responsable administrativo y con
la designación de un administrador del sistema de la Dirección de
Informática, Tecnología y Comunicaciones.
5.2 No se puede realizar conexión, desconexión o reubicación de equipos o
cambios de configuración de estos mismos sin la autorización expresa del
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 13
responsable administrativo (director) y del administrador del sistema
Dirección de Informática, Tecnología y Comunicaciones.
5.3 Está prohibido la instalación de dispositivos, tarjetas de acceso remoto,
módems, RDSI, ADSL, routers o cualquier otro dispositivo de
comunicaciones en ordenadores o redes sin la autorización expresa del
responsable administrativo y del administrador del sistema de la Dirección de
Informática, Tecnología y Comunicaciones.
5.4 Está prohibida la conexión de equipos de comunicación para intercambio de
información (rutas, redes,..) entre ordenadores de las redes de la Asamblea
Nacional y otros ajenos a dichas redes.
5.5 Está prohibido el uso de la red y ordenadores de la Asamblea Nacional para
conseguir acceso no autorizado a cualquier ordenador.
5.6 Está prohibido instalar o ejecutar en cualquier punto de la red informática
(ordenadores o software de red) programas o carpetas que traten de
descubrir información distinta de la del propio usuario, en cualquier elemento
de la red. Esto incluye sniffer, escaneadores de puertos, entre otros.
5.7 No se debe facilitar a una tercera entidad acceso, a través de las redes de la
Asamblea Nacional, a la infraestructura de comunicaciones propias de este
organismo; es decir, no se puede proporcionar tránsito a terceras
instituciones, salvo obtención del consentimiento, previamente solicitado, de
la Secretaría General de la Asamblea Nacional, en su calidad de
responsable administrativo de los recursos informáticos de la Asamblea
Nacional.
5.8 Se debe evitar la circulación de información comercial, con excepción de
respuestas a peticiones expresas de información sobre productos o servicios
de interés para las actividades habituales de la Institución.
5.9 No proceder a la destrucción, manipulación o apropiación indebida de la
información que circule por la red.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 14
5.10 Evitar el consumo excesivo de los recursos por parte de cualquier usuario.
5.11 Respetar el derecho de privacidad de los diferentes usuarios de la red.
5.12 La infraestructura de red de la Asamblea Nacional nunca deberá ser
utilizada, bajo ningún concepto, para lo siguiente:
5.12.1 Transmisión de información o acto que viole la legislación vigente
de la República de Panamá.
5.12.2 Fines privados o personales, con o sin ánimo de lucro.
5.12.3 Fines relativos a juegos,
5.12.4 Fines no estrictamente relacionados con las actividades propias del
Organismo.
5.12.5 Creación o transmisión de cualquier tipo de información que sea
ofensiva, obscena o indecente.
5.12.6 Transmitir información difamatoria de cualquier tipo, ya sea contra
entidades o personas.
5.12.7 No divulgar información que viole los derechos de propiedad
intelectual.
5.12.8 No usar cualquier aplicación de la cual se sepa que su uso pueda
suponer una alteración de la red.
6. Sobre las licencias de software y derechos de autor
Los usuarios y administradores deben respetar las condiciones de licencia y derecho de
autor del software que usen en sus equipos.
6.1 Todo software adquirido para la Asamblea nacional (licencias para
estaciones de trabajo o licencias para instalación en servidores
centrales) debe estar debidamente licenciado, y la responsabilidad de
esto recaerá en el director general de Administración y Finanzas, el
director de Tecnología Informática y Comunicaciones, y el responsable
del servicio que haya autorizado su adjudicación.
6.2 Todo software que se use en la Asamblea Nacional para fines
administrativos debe estar debidamente licenciado, con un número de
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 15
licencia que corresponda con el número de usuarios simultáneos.
Podrá usarse en equipos de la Asamblea Nacional software “libre”
(Open source, freeware, otros) siempre y cuando cuente con la
autorización de la Dirección de Tecnología Informática y
Comunicaciones.
6.3 Todo software que se use y esté protegido por derecho de autor no
puede ser copiado, salvo con autorización del propietario. No se podrán
usar los medios que la Asamblea Nacional pone a su disposición de
sus funcionarios para copiar software protegido o romper con las
medidas de protección de estos.
6.4 Aparte del software, toda información que también posea derechos
de autor, que esté en formato electrónico y que haya sido obtenida de
otro equipo o red, se debe usar de acuerdo con la legislación vigente.
6.5 Los usuarios responderán siempre, personalmente, por el software
que esté instalado en sus equipos, así como del uso que se efectúe, y
deberán cumplir con las obligaciones y requisitos que se deriven de su
instalación y utilización.
Los usuarios no podrán permitir, en ningún caso, que una persona lleve a cabo la
instalación en sus equipos de software que no estén debidamente licenciados.
El incumplimiento de estas obligaciones por parte de los usuarios dará lugar a la
aplicación de las medidas preventivas, correctivas y disciplinarias previstas en el
Cuadro de Sanciones y, en su caso, al ejercicio de las acciones legales pertinentes.
7. Sobre la adquisición de tecnología
Las tecnologías, además de beneficios, traen consigo riesgos, y debemos velar porque
las tecnologías por adquirir no representen amenaza alguna y/o tomar medidas para su
diminución o erradicación.
La adquisición de tecnología debe ser coordinada con los expertos, con el fin de que sean
adaptables a las ya existentes y asegurar su desempeño óptimo.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 16
7.1 Toda adquisición de tecnología debe ser coordinada con Secretaría
General, la Unidad de Seguridad Informática y la Dirección de
Tecnología, Informática y Comunicaciones.
7.2 La compra de tecnología debe contemplar las medidas de seguridad
pertinentes recomendadas por la Unidad de Seguridad Informática.
En cualquier caso, será responsabilidad de los directores, jefes de departamento o
personas designadas por estos dar la difusión necesaria a estas normas para que sea
conocida por todos los agentes a los que se aplica.
CONSECUENCIA DEL MAL USO DE LOS RECURSOS TECNOLOGÍCOS34
1. Colaboración de los usuarios
Los usuarios, cuando se les solicite, deberán colaborar con los administradores del
sistema (DITIC), en la medida de sus posibilidades, en cualquier investigación que se
haga sobre mal uso de los recursos, apartando la información que se les requiera.
2. Acciones correctivas y preventivas
Si los administradores del sistema (DITIC) general o local, detectan la existencia de un
mal uso de los recursos y éste procede de las actividades o equipo de un usuario
determinado, pueden tomar cualquiera de las siguientes medidas para proteger a los otros
usuarios, redes o equipos:
2.1 Notificar la incidencia al usuario o responsabilidad del sistema. 2.2 Suspender o restringir el acceso o uso de los servicios mientras dure la
investigación. Esta suspensión podrá ser recurrida por el usuario ente la
autoridad competente.
2.3 Con el permiso del responsable de seguridad y la debida justificación,
inspeccionar carpetas o dispositivos de almacenamiento del usuario implicado.
2.4 Informar a los superiores correspondientes de lo sucedido. 2.5 Toda aplicación de medidas disciplinarias se tomaran de acuerdo a lo
establecido en el Reglamento de Administración de Recursos Humanos y
Cuadro de Aplicaciones.
3 Véase en el Manual de Políticas de Seguridad Informática. 4 Resoluciones No.208 y No.209 de 27 de noviembre de 2009.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 17
PROCEDIMIENTOS ADMINISTRATIVOS
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 18
MANUAL DE PROCEDIMIENTO DE LA UNIDAD DE SEGURIDAD INFORMÁTICA
NOMBRE DEL PROCEDIMIENTO AUDITORÍA DE SEGURIDAD DEL EQUIPO INFORMÁTICO VERSIÓN No. 1 FECHA DE CONFECCIÓN 2017 VALIDADO POR ING. FELIX SÁNCHEZ DOCUMENTADO POR MGTR. MARKELDA CAÑIZALES DESCRIPCIÓN DEL PROCEDIMIENTO OBJETIVO:
Identificar y administrar de forma continua los equipos informáticos a efecto de reducir los riesgos a los que se encuentra expuesto el sistema todo el tiempo.
Responsable
Descripción
Unida de Seguridad Informática Envía solicitud a la Dirección de Tecnología,
Informática y Comunicaciones, para crear
cuenta de usuario de monitoreo.
Solicita también los datos para acceder a la
cuenta de monitoreo.
Dirección de Tecnología, Informática y Comunicaciones
Recibe solicitud enviada por la Unidad de
Seguridad Informática para la creación de la
cuenta correspondiente.
Crea la cuenta solicitada e informa a la Unidad
de Seguridad Informática de proceder.
Unidad de Seguridad Informática Introduce al sistema la información suministrada
por la Dirección de Tecnología, Informática y
Comunicaciones.
Verifica que los datos recibidos puedan ser
utilizados para los fines solicitados y se inicia el
monitoreo continuo de los sistemas informáticos
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 19
cada 30 segundos aproximadamente.
Cuando se detecte una afectación en un
equipo, dependiendo de su característica, se
tomaran las medidas pertinentes.
Se manifiesta la razón de la afectación y la
envía por escrito la instrucción a la unidad
correspondiente para subsanar o corregir el
problema según sea el caso.
Unidades Administrativas Reciben la instrucción y verifican la máquina
afectada con el fin de solucionar el problema.
Envía a la Unidad de Seguridad Informática por
correo electrónico reporte del trabajo realizado.
Unidad de Seguridad Informática Recibe el reporte de la unidad encargada de
subsanar el problema manifestado.
Verifica en campo la información recibida por la
unidad administrativa.
Realiza reporte de lo encontrado (Bitacora)
Ver Anexo Nº2
Interviene el equipo del funcionario, sin previa
autorización del jefe de la unidad administrativa.
Verifica el equipo y notifica por escrito al jefe de
la unidad las anomalías encontradas y el
proceso que se seguirá con la computadora.
Realiza amonestación verbal al usuario directo
del ordenador afectado por incumplir las
recomendaciones realizadas por los técnicos de
informática en otras ocasiones. Ver Anexo Nº1
FIN DEL PROCESO
Nota: Las afectaciones suelen darse por diversos motivos como: mal empleo del ancho de banda, perfil de usuario de navegación,
correo electrónico, puertos abiertos, código malicioso, antivirus programa mal instalado, para cada una de estas causas hay un
departamento encargado de subsanar cualquier inconveniente.
Cuando el usuario persiste en hacer mal uso del equipo informático proporcionado por la institución para desarrollar sus labores
diarias se procederá a tomar medidas más severas.
De ser necesario, se retirará el equipo de la unidad administrativa para evitar mayores daños a la red de usuarios.
Env
ía s
olic
itud
a la
Dir
ecci
ón d
e T
ecno
logí
a, I
nfor
mát
ica
y C
omun
icac
ione
s pa
ra c
rear
cue
nta
de u
suar
io d
e m
onito
reo.
Sol
icita
tam
bién
los
dato
s pa
ra a
cced
er a
la c
uent
a de
mon
itore
o.
Cre
a la
cue
nta
solic
itada
e in
form
a a
la U
nida
d de
Seg
urid
ad I
nfor
mát
ica
de p
roce
der.
Ver
ifica
que
los
dato
s re
cibi
dos
pued
an s
er u
tiliz
ados
par
a lo
s fin
es s
olic
itado
s y
se in
icia
el m
onito
reo
cont
inuo
de
PR
OC
ED
IMIE
NT
O D
E A
UD
ITO
RÍA
DE
SE
GU
RID
AD
DE
L E
QU
IPO
INF
OR
MÁ
TIC
O
Rec
ibe
solic
itud
envi
ada
por
la U
nida
d de
Seg
urid
ad I
nfor
mát
ica
para
la c
reac
ión
de la
cue
nta
corr
espo
ndie
nte.
Intr
oduc
e al
sis
tem
a la
info
rmac
ión
sum
inis
trad
a po
r la
Dir
ecci
ón d
e T
ecno
logí
a, I
nfor
mát
ica
y P
ublic
acio
nes.
UN
IDA
D D
E S
EG
UR
IDA
D
INF
OR
MÁ
TIC
A
1
DIR
EC
CIÓ
ND
E T
EC
NO
LO
GÍA
IN
FO
RM
ÁT
ICA
Y C
OM
UN
ICA
CIO
NE
S
UN
IDA
D
AD
MIN
IST
RA
TIV
A
2
43 5
1 2 3V
erifi
ca q
ue lo
s da
tos
reci
bido
s pu
edan
ser
util
izad
os p
ara
los
fines
sol
icita
dos
y se
inic
ia e
l mon
itore
o co
ntin
uo d
e
los
sist
emas
info
rmát
icos
cad
a 30
seg
undo
s ap
roxi
mad
amen
te.
per
tinen
tes.
Env
ía a
la U
nida
d de
Seg
urid
ad I
nfor
mát
ica
por
corr
eo e
lect
róni
co r
epor
te d
el t
raba
jo r
ealiz
ado.
Rec
ibe
repo
rte
de la
uni
dad
enca
rgad
a de
sub
sana
r el
pro
blem
a m
anife
stad
o. V
erifi
ca e
n ca
mpo
la in
form
ació
n re
cibi
da
por
la u
nida
d ad
min
istr
ativ
a. R
ealiz
a re
port
e de
lo e
ncon
trad
o (B
itaco
ra)
Inte
rvie
ne e
n el
equ
ipo
del f
unci
onar
io,
sob
re d
e la
s an
omal
ías
enco
ntra
das
y el
pro
ceso
que
se
segu
irá
con
la c
ompu
tado
ra.
Rea
liza
amon
esta
ción
ver
bal a
l
FIN
DE
L P
RO
CE
SO
en o
tras
oca
sion
es.
usua
rio
dire
cto
del o
rden
ador
afe
ctad
o po
r in
cum
plir
las
reco
men
daci
ones
rea
lizad
as p
or lo
s té
cnic
os d
e in
form
átic
a
20
Cua
ndo
sea
dete
ctad
a un
a af
ecta
ción
en
un e
quip
o, d
epen
dien
do d
e su
car
acte
ríst
ica,
se
tom
aran
las
med
idas
Man
ifies
ta la
raz
ón d
e la
afe
ctac
ión
y la
env
ía p
or e
scri
to la
inst
rucc
ión
a la
uni
dad
corr
espo
ndie
nte
para
sub
sana
r o
corr
egir
lo q
ue e
sté
pasa
ndo
segú
n se
a el
cas
o.
Rec
iben
la in
stru
cció
n y
ver
ifica
n la
máq
uina
afe
ctad
a co
n el
fin
de
solu
cion
ar e
l pro
blem
a.
sin
pre
via
auto
riza
ción
del
jefe
de
la u
nida
d ad
min
istr
ativ
a. V
erifi
ca e
l equ
ipo
y no
tific
a po
r es
crito
al j
efe
de la
uni
dad
UN
IDA
D D
E S
EG
UR
IDA
D
INF
OR
MÁ
TIC
A
1
DIR
EC
CIÓ
ND
E T
EC
NO
LO
GÍA
IN
FO
RM
ÁT
ICA
Y C
OM
UN
ICA
CIO
NE
S
UN
IDA
D
AD
MIN
IST
RA
TIV
A
2
43 5
1 2 3 4 5
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 21
MANUAL DE PROCEDIMIENTO DE LA UNIDAD DE SEGURIDAD INFORMÁTICA
NOMBRE DEL PROCEDIMIENTO AUDITORÍA DE EVALUACIÓN DE PROYECTOS VERSIÓN No. 1 FECHA DE CONFECCIÓN 2017 VALIDADO POR ING. FELIX SÁNCHEZ DOCUMENTADO POR MGTR. MARKELDA CAÑIZALES DESCRIPCIÓN DEL PROCEDIMIENTO OBJETIVO:
Garantizar que todo el producto o servicio tecnológico adquirido por la Asamblea
Nacional sea eficiente y de calidad.
Responsable
Descripción
Dirección de Tecnología, Informática y Comunicaciones
Envía nota o correo electrónico a la Unidad de
Seguridad Informática para ponerla en
conocimiento del proyecto.
Unidad de Seguridad Informática Recibe notificación y prepara los términos para
ser debatidos y ordena la lista de
recomendaciones.
Dirección de Tecnología, Informática y Comunicaciones
Presenta el pliego de cargos con las
(especificaciones del proyecto, garantías,
sustentación, objetivos y alcance entre otros
detalles), a la Unidad de Seguridad Informática.
Unidad de Seguridad Informática Verifica, analiza y aporta información sustancial
al pliego de cargos.
Remite el análisis de la información a la
Dirección de Tecnología, Informática y
Comunicaciones.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 22
Dirección de Tecnología, Informática y Comunicaciones
Recibe el análisis de la información.
Realiza las correcciones necesarias al pliego de
cargos.
Organiza reunión de seguimiento para tratar los
últimos detalles con relación al pliego.
Presenta al equipo de trabajo el pliego con las
acotaciones realizadas en reuniones anteriores.
Unidad de Seguridad Informática Verifica que los puntos sugeridos se encuentren
en el pliego de cargos y que el documento
tenga la información completa.
Dirección de Tecnología, Informática y Comunicaciones
Presenta el pliego a las autoridades competente
para su Vo.Bo. y posteriormente se realiza la
compra.
FIN DEL PROCEDIMIENTO
Nota: Dependerá de las características de la adquisición que se va a realizar.
La unidad de seguridad informática, realiza una importante aportación al pliego de cargos tales como las garantías, las capacitaciones, los cumplimientos del contrato y el mantenimiento al sistema.
Env
ía n
ota
o co
rreo
ele
ctró
nico
a
la U
nida
d de
Seg
urid
ad I
nfor
mát
ica
para
pon
erlo
en
con
ocim
ient
o so
bre
la r
euni
ón p
oste
rior
.
Ord
ena
la li
sta
de r
ecom
enda
cion
es.
Pre
sent
a el
plie
go d
e ca
rgos
(es
peci
ficac
ione
s de
l pro
yect
o, g
aran
tías
, su
sten
taci
ón,
obje
tivos
y a
lcan
ce e
ntre
otr
os d
etal
les)
,
PR
OC
ED
IMIE
NT
O D
E A
UD
ITO
RÍA
DE
EV
AL
UA
CIÓ
N D
E P
RO
YE
CT
OS
Rec
ibe
notif
icac
ión
y pr
epar
a lo
s té
rmin
os p
ara
ser
deba
tidos
en
la r
euni
ón.
UN
IDA
D D
E S
EG
UR
IDA
D
INF
OR
MÁ
TIC
A
1
DIR
EC
CIÓ
ND
E T
EC
NO
LO
GÍA
Y
CO
MU
NIC
AC
ION
ES
2
1 2 3
34
56
7
Pre
sent
a el
plie
go d
e ca
rgos
(es
peci
ficac
ione
s de
l pro
yect
o, g
aran
tías
, su
sten
taci
ón,
obje
tivos
y a
lcan
ce e
ntre
otr
os d
etal
les)
,
a la
Uni
dad
de S
egur
idad
Inf
orm
átic
a.
Info
rmát
ica
y C
omun
icac
ione
s.
Pre
sent
a al
equ
ipo
de t
raba
jo e
l plie
go c
on la
s ac
otac
ione
s re
aliz
adas
en
reun
ione
s an
teri
ores
.
Ver
ifica
que
los
punt
os s
uger
idos
se
encu
entr
en e
n el
plie
go y
que
el d
ocum
ento
ten
ga la
info
rmac
ión
com
plet
a.
FIN
DE
L P
RO
CE
SO
Org
aniz
a re
unió
n de
seg
uim
ient
o pa
ra t
rata
r lo
s úl
timos
det
alle
s co
n re
laci
ón a
l plie
go.
23
Pre
sent
a pl
iego
a la
s au
tori
dade
s co
mpe
tent
es p
ara
su V
o.B
o. y
pos
teri
orm
ente
se
real
iza
la c
ompr
a.
Ver
ifica
, an
aliz
a y
apor
ta in
form
ació
n su
stan
cial
al p
liego
de
carg
os.
Rem
ite in
form
ació
n a
la D
irec
ción
de
Tec
nolo
gía,
Rec
ibe
info
rmac
ión.
Rea
liza
corr
ecci
ones
nec
esar
ias
al p
liego
car
gos.
UN
IDA
D D
E S
EG
UR
IDA
D
INF
OR
MÁ
TIC
A
1
DIR
EC
CIÓ
ND
E T
EC
NO
LO
GÍA
Y
CO
MU
NIC
AC
ION
ES
2
1 2 3 4 5 6 7
34
56
7
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 24
MANUAL DE PROCEDIMIENTO DE LA UNIDAD DE SEGURIDAD INFORMÁTICA
NOMBRE DEL PROCEDIMIENTO AUDITORÍA INFORMÁTICA DE SISTEMAS VERSIÓN No. 1 FECHA DE CONFECCIÓN 2017 VALIDADO POR ING. FELIZ SÁNCHEZ DOCUMENTADO POR MGTR. MARKELDA CAÑIZALES DESCRIPCIÓN DEL PROCEDIMIENTO OBJETIVO:
Analizar y revisar los controles y efectividad, enfocándonos en el entorno general de sistemas operativos, software básicos, aplicaciones y administración de case de datos.
Responsable
Descripción
Unidad Administrativa
Solicita a la Unidad de Seguridad Informática
mediante nota, que realice una revisión a los
sistemas, en caso de algún incidente (perdida de
información, filtración de correo electrónico no
deseado, cambio de usuario, perfiles y
credenciales, fuga de información, cambio en la
estructura de los sistemas).
Unidad de Seguridad Informática Recibe nota y establece el día de la inspección.
Realiza inspección del equipo y analiza los puntos
débiles.
Envía nota al jefe de la unidad con la descripción
de los hallazgos encontrados en el equipo y las
recomendaciones a seguir.
Procede a realizar los cambios recomendados a la
unidad, esperando que transcurra un periodo de
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 25
tiempo prudente probatorio de los cambios
realizados. FIN DEL PROCESO
Nota: La auditoría de sistemas se puede realizar por requerimiento o de oficio.
Sol
icita
a la
Uni
dad
de S
egur
idad
Inf
orm
átic
a m
edia
nte
nota
, qu
e se
rea
lice
una
revi
sión
a lo
s si
stem
as,
en c
aso
de a
lgún
inci
dent
e (p
erdi
da d
e in
form
ació
n, f
iltra
ción
de
corr
eo e
lect
róni
co n
o de
sead
o, c
ambi
o de
usu
ario
, pe
rfile
s y
cred
enci
ales
,
fuga
de
info
rmac
ión,
cam
bio
en la
est
ruct
ura
de lo
s si
stem
as).
Env
ía n
ota
al je
fe d
e la
uni
dad
con
la d
escr
ipci
ón d
e lo
s ha
llazg
os e
ncon
trad
os e
n el
equ
ipo
y la
s re
com
enda
cion
es a
seg
uir.
PR
OC
ED
IMIE
NT
O D
E A
UD
ITO
RÍA
DE
INF
OR
MÁ
TIC
A D
E S
IST
EM
AS
Rec
ibe
nota
y
esta
blec
e el
día
de
la in
spec
ción
.
Rea
liza
insp
ecci
ón d
el e
quip
o y
anal
iza
los
punt
os d
ébile
s.
Pro
cede
a r
ealiz
ar lo
s ca
mbi
os r
ecom
enda
dos
a la
uni
dad,
esp
eran
do q
ue t
rans
curr
a un
per
iodo
de
tiem
po p
rude
nte
prob
ator
io
UN
IDA
D D
E S
EG
UR
IDA
D
INF
OR
MÁ
TIC
A
1
UN
IDA
D A
DM
INIS
TR
AT
IVA
2
1 2
de
los
cam
bios
rea
lizad
os.
FIN
DE
L P
RO
CE
SO
26
Pro
cede
a r
ealiz
ar lo
s ca
mbi
os r
ecom
enda
dos
a la
uni
dad,
esp
eran
do q
ue tr
ansc
urra
un
perio
do d
e tie
mpo
pru
dent
e pr
obat
orio
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 27
MANUAL DE PROCEDIMIENTO DE LA UNIDAD DE SEGURIDAD INFORMÁTICA
NOMBRE DEL PROCEDIMIENTO AUDITORÍA INFORMÁTICA DE INTERNET A REQUERIMIENTO Se determina por requerimiento cuando la administración solicita que se examine el equipo informático por algún tema específico.
VERSIÓN No. 1 FECHA DE CONFECCIÓN 2017 VALIDADO POR ING. FELIX SÁNCHEZ DOCUMENTADO POR MGTR. MARKELDA CAÑIZALES DESCRIPCIÓN DEL PROCEDIMIENTO OBJETIVO:
Analizar el desempeño y funcionamiento de la Red (Internet) por parte del usuario, a fin de lograr la utilización eficiente y segura de la información.
Responsable
Descripción
Unidad Administrativa Remite nota a la Unidad de Seguridad
Informática.
Unidad de Seguridad Informática Recibe nota de la unidad solicitante.
Remite cuestionario al solicitante.
Unidad Administrativa Recibe y completa el cuestionario
correspondiente.
Remite cuestionario con la información
solicitada por la Unidad de Seguridad
Informática.
Unidad de Seguridad Informática Recibe cuestionario completo.
Evalúa y procede a ejecutar la solicitud de
acceso o negación de la solicitud.
Revisa el Firewall para el control de
aplicaciones y filtrado de Web (habilitar o
deshabilitar).
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 28
Verifica tipo de usuario.
Confirma las aplicaciones permitidas al usuario.
Comprueba el sistema operativo (si necesita
actualización o no).
Establece las aplicaciones de control (antivirus
o anti SPAM).
Unidad Administrativa Usuario firma las políticas sobre el uso del
Internet y nota de aceptación.*Ver Anexo Nº5
Unidad de Seguridad Informática Remite informe a Secretaría General.**
FIN DEL PROCESO
Nota: *La nota de aceptación consiste en poner en conocimiento de forma escrita al usuario de cuales fueron las medidas tomadas para el uso de su equipo. ** El informe que es remitido a Secretaría General lleva como documentación el cuestionario llenado por el usuario, desglose de lo que se le habilito o bien lo que fue bloqueado para este usuario y las medidas que fueron establecidas para el uso del sistema.
Rea
liza
nota
a la
Uni
dad
de S
egur
idad
Inf
orm
átic
a.
Rem
ite c
uest
iona
rio
al s
olic
itant
e.
Rem
ite c
uest
iona
rio
con
la in
form
ació
n so
licita
da p
or
la U
nida
d de
Seg
urid
ad I
nfor
mát
ica.
PR
OC
ED
IMIE
NT
O D
E A
UD
ITO
RÍA
INF
OR
MÁ
TIC
A D
E IN
TE
RN
ET
A R
EQ
UE
RIM
IEN
TO
Rec
ibe
y co
mpl
eta
el c
uest
iona
rio
corr
espo
ndie
nte.
Rec
ibe
nota
de
la u
nida
d so
licita
nte.
UN
IDA
D D
E S
EG
UR
IDA
D
INF
OR
MÁ
TIC
A
1
UN
IDA
D A
DM
INIS
TR
AT
IVA
2
1 2 3
34
56
Rem
ite c
uest
iona
rio
con
la in
form
ació
n so
licita
da p
or
la U
nida
d de
Seg
urid
ad I
nfor
mát
ica.
Com
prue
ba e
l sis
tem
a op
erat
ivo
(si n
eces
ita a
ctua
lizac
ión
o no
).
Est
able
ce la
s ap
licac
ione
s de
con
trol
(an
tivir
us o
ant
i SP
AM
).
Usu
ario
fir
ma
las
polít
icas
sob
re e
l uso
del
Int
erne
t y
nota
de
acep
taci
ón.
FIN
DE
L P
RO
CE
SO
Con
firm
a la
s ap
licac
ione
s pe
rmiti
das
al u
suar
io.
29
Rem
ite in
form
e a
Sec
reta
ría
Gen
eral
.
Rec
ibe
cues
tiona
rio
com
plet
o.
Eva
lúa
y pr
oced
e a
ejec
utar
la s
olic
itud
de a
cces
o o
nega
ción
de
la s
olic
itud.
Rev
isa
el F
irew
all p
ara
el c
ontr
ol d
e ap
licac
ione
s y
filtr
ado
de W
eb (
habi
litar
o d
esha
bilit
ar).
Ver
ifica
tip
o de
usu
ario
.
UN
IDA
D D
E S
EG
UR
IDA
D
INF
OR
MÁ
TIC
A
1
UN
IDA
D A
DM
INIS
TR
AT
IVA
2
1 2 3 4 5 6
34
56
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 30
MANUAL DE PROCEDIMIENTO DE LA UNIDAD DE SEGURIDAD INFORMÁTICA
NOMBRE DEL PROCEDIMIENTO AUDITORÍA INFORMÁTICA DE INTERNET POR RIESGO E INCIDENTE Se determina por riesgo cuando se tiene la incertidumbre por la posibilidad de un suceso con la amenaza de daño respecto al recurso informático. Se determina por incidente cuando se da algún impedimento en la operación normal de las redes, sistemas o recursos informáticos o cualquier acto que viole las políticas de seguridad informática.
VERSIÓN No. 1 FECHA DE CONFECCIÓN 2017 VALIDADO POR ING. FELIX SÁNCHEZ DOCUMENTADO POR MGTR. MARKELDA CAÑIZALES DESCRIPCIÓN DEL PROCEDIMIENTO OBJETIVO:
Evaluar los riesgos que representa cualquier incidente en los equipos informáticos de la
Institución y aplicar las medidas correspondientes según el caso.
Responsable
Descripción
Unidad de Seguridad Informática
Aísla los equipos o sistemas involucrados.
Envía nota a Secretaría General, comunicando
el tipo de afectación que se tenga o se puede
tener.
Secretaría General Recibe nota y autoriza la revisión del sistema o
los equipos.
Unidad de Seguridad Informática Recibe Vo.Bo. por Secretaría General y ejecuta.
Envía nota a la unidad correspondiente con la
autorización para revisar los equipos o sistema.
Elabora informe sobre el incidente o riesgo
encontrado.
Elabora cuestionario al usuario del equipo
involucrado.*
Realizar análisis al equipo.**
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 31
Entrega evidencia a Secretaría General.***
FIN DEL PROCESO
Nota: *Se le pregunta al usuario (hora y fecha aproximada del incidente). **Tipo de usuario, estado del sistema operativo, aplicación de control, análisis de factores externos (medios extraíbles, dispositivos móviles o equipo de comunicación). ***Se entrega la evidencia, medidas para prevenir y corrección, sanciones si son requeridos de acuerdo al Reglamento de Recursos Humanos.
Env
ía n
ota
a S
ecre
tarí
a G
ener
al,
com
unic
ando
el t
ipo
de a
fect
ació
n qu
e se
ten
ga o
se
pued
e te
ner.
Rec
ibe
nota
y a
utor
iza
la r
evis
ión
del s
iste
ma
o lo
s eq
uipo
s.
Env
ía n
ota
a la
uni
dad
corr
espo
ndie
nte
con
la a
utor
izac
ión
para
rev
isar
los
equi
pos
o si
stem
a.
PR
OC
ED
IMIE
NT
O D
E A
UD
ITO
RÍA
INF
OR
MÁ
TIC
A D
E IN
TE
RN
ET
PO
R R
IES
GO
E IN
CID
EN
TE
Aís
la lo
s eq
uipo
s o
sist
emas
invo
lucr
ados
.
Rec
ibe
Vo.
Bo.
por
S
ecre
tarí
a G
ener
al y
eje
cuta
.
SE
CR
ET
AR
ÍA G
EN
ER
AL
1
UN
IDA
D D
E S
EG
UR
IDA
D
INF
OR
MÁ
TIC
A
2
1 2 3
3
Env
ía n
ota
a la
uni
dad
corr
espo
ndie
nte
con
la a
utor
izac
ión
para
rev
isar
los
equi
pos
o si
stem
a.
Ela
bora
cue
stio
nari
o al
usu
ario
del
equ
ipo
invo
lucr
ado.
Rea
lizar
aná
lisis
al e
quip
o.
Ent
rega
de
evid
enci
a a
Sec
reta
ría
Gen
eral
.
FIN
DE
L P
RO
CE
SO
32
Ela
bora
info
rme
sobr
e el
inci
dent
e o
ries
go e
ncon
trad
o.
SE
CR
ET
AR
ÍA G
EN
ER
AL
1
UN
IDA
D D
E S
EG
UR
IDA
D
INF
OR
MÁ
TIC
A
2
1 2 3
3
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 33
MANUAL DE PROCEDIMIENTO DE LA UNIDAD DE SEGURIDAD INFORMÁTICA
NOMBRE DEL PROCEDIMIENTO AUDITORÍA INFORMÁTICA DE INTERNET POR CONTROL PERIÓDICO Se determina por control periódico ya que se realiza de oficio dos veces al año, cinco unidades administrativas son analizadas por cada ejecutoria.
VERSIÓN No. 1 FECHA DE CONFECCIÓN 2017 VALIDADO POR ING. FELIX SÁNCHEZ DOCUMENTADO POR MGTR. MARKELDA CAÑIZALES DESCRIPCIÓN DEL PROCEDIMIENTO OBJETIVO:
Controlar y verificar el cumplimiento de las políticas de seguridad informática de la Institución.
Responsable
Descripción
Unidad de Seguridad Informática Selecciona las unidades administrativas donde
se realizará el análisis.
Envía nota a Secretaría General para su
Vo.Bo., con detalle de fecha calendario de
cuando se realizará la auditoria al equipo y a los
sistemas.
Secretaría General Recibe nota y autoriza la revisión del sistema o
los equipos.
Unidad de Seguridad Informática Recibe Vo.Bo. de la Secretaría General y
ejecuta.
Envía nota a la unidad correspondiente con la
autorización para revisar los equipos o sistema.
Unidad Administrativa
Recibe nota y queda notificado de la revisión
de los equipos o sistema.
Unidad de Seguridad Informática Ejecuta el análisis planificado.
Solicita al usuario del equipo analizado que
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 34
llene el cuestionario.*
Elabora informe de lo encontrado en los
equipos analizados y lo envía a la Secretaría
General.
Secretaría General Recibe nota y autoriza a realizar las medidas
correspondientes, según sea el caso.**
Unidad de Seguridad Informática Recibe nota con las indicaciones
correspondientes a realizar.
FIN DEL PROCESO
Nota: *Tipo de usuario, estado del sistema operativo, aplicación de control, análisis de factores externos (medios extraíbles, dispositivos móviles o equipo de comunicación). **Se entrega la evidencia, medidas de corrección, sanciones si son requeridos de acuerdo con el Reglamento de Recursos Humanos.
Env
ía n
ota
a S
ecre
tarí
a G
ener
al p
ara
su V
o.B
o.,
con
deta
lle d
e fe
cha
cale
ndar
io d
e cu
ando
se
real
izar
á
la a
udito
ria
al e
quip
o y
a lo
s si
stem
as.
Rec
ibe
nota
y a
utor
iza
la r
evis
ión
del s
iste
ma
o lo
s eq
uipo
s.
PR
OC
ED
IMIE
NT
O D
E A
UD
ITO
RÍA
INF
OR
MÁ
TIC
A D
E IN
TE
RN
ET
PO
R C
ON
TR
OL
PE
RIÓ
DIC
O
Sel
ecci
ona
las
unid
ades
adm
inis
trat
ivas
don
de s
e re
aliz
ará
el a
nális
is.
SE
CR
ET
AR
ÍA G
EN
ER
AL
1
UN
IDA
D D
E S
EG
UR
IDA
D
INF
OR
MÁ
TIC
A
2
7534
6
UN
IDA
DA
DM
INIS
TR
AT
IVA
1
2R
ecib
e no
ta y
aut
oriz
a la
rev
isió
n de
l sis
tem
a o
los
equi
pos.
Env
ía n
ota
a la
uni
dad
corr
espo
ndie
nte
con
la a
utor
izac
ión
para
rev
isar
los
equi
pos
o si
stem
a.
Rec
ibe
nota
y
qued
an a
nuen
tes
de la
rev
isió
n de
los
equi
pos
o si
stem
a.
Rec
ibe
nota
y a
utor
iza
a re
aliz
ar la
s m
edid
as c
orre
spon
dien
tes
segú
n se
a el
cas
o.
Rec
ibe
nota
con
las
indi
caci
ones
cor
resp
ondi
ente
s a
real
izar
.
FIN
DE
L P
RO
CE
SO
35
Rec
ibe
Vo.
Bo.
por
par
te d
e S
ecre
tarí
a G
ener
al y
eje
cuta
.
Eje
cuta
el
anál
isis
pla
nific
ado.
Sol
icita
al u
suar
io d
el e
quip
o an
aliz
ado,
llen
e c
uest
iona
rio.
Rea
liza
info
rme
de lo
enc
ontr
ado
en lo
s eq
uipo
s an
aliz
ados
y e
nvía
a S
ecre
tarí
a G
ener
al.
SE
CR
ET
AR
ÍA G
EN
ER
AL
1
UN
IDA
D D
E S
EG
UR
IDA
D
INF
OR
MÁ
TIC
A
2
7534
6
UN
IDA
DA
DM
INIS
TR
AT
IVA
1
2 3 4 5 6 7
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 36
MANUAL DE PROCEDIMIENTO DE LA UNIDAD DE SEGURIDAD INFORMÁTICA
NOMBRE DEL PROCEDIMIENTO INSTALACIÓN DE ANTIVIRUS VERSIÓN No. 1 FECHA DE CONFECCIÓN 2017 VALIDADO POR ING. FELIX SÁNCHEZ DOCUMENTADO POR MGTR. MARKELDA CAÑIZALES DESCRIPCIÓN DEL PROCEDIMIENTO OBJETIVO:
Mantener la seguridad perimetral como método de defensa de la red, permitiéndonos definir niveles de confianza, acceso de usuarios internos y denegando cualquier tipo de acceso a otros.
Responsable
Descripción
Unidad de Seguridad Informática Seleccionan las unidades administrativas donde se
instalaran los antivirus.
Levanta cuadro estableciendo las fechas de las
visitas, incluyendo los nombres de las unidades
administrativas.
Instalar en cada computadora los siguientes programas:
1. Agente ESET remote administrator. 2. Endpoint Antivirus
Instala el Agent ESET remote administrator.
Verifica que los sistemas operativos de su servidor
y sus equipos sean compatibles con ESET.
Versión 6 de AGENT ESET REMOTE ADMINISTRATOR
Microsoft Windows 8.1 / 8 / 7 / Vista / XP SP3 32-bit / XP SP2 64-bit
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 37
Desinstale cualquier producto antivirus instalado
previamente.
Observe la sección TIPO DE SISTEMA de la
ventana de propiedades.
Identifique el tipo de arquitectura de su sistema
operativo.
(32-bit o 64-bit) y (SP1 o SP2 o SP3) Windows XP, Windows Vista y Windows 7.
Abra la Consola Web de ESET Remote
Aministrator (ERA WEB CONSOLE) en su
navegador e inicie sesión. Ver Anexo #7
Expanda el menú de la izquierda y haga click en
Instaladores Agent Live… Ver Anexo #8
Ingrese el hostname dentro del campo Nombre del
host de servidor y seleccione Certificado ERA y
haga click en elegir. Ver Anexo #9
Seleccione el Certificado del Agente y haga click
en aceptar. Ver Anexo #10
Haga click en Obtener Instaladores.Ver Anexo #11
Haga click en el enlace Descargar correspondiente
a la categoría adecuada (en este ejemplo,
instalador de agente para Windows).
Ver Anexo #12
Guarde el Instalador en su escritorio.
Ejecute el instalador en su equipo en el cual desee
implementar el Agente. Ver Anexo #13
Haga click en Siguiente. Ver Anexo #14
Haga click en Instalar. Ver Anexo #15
Espere mientras en asistente de instalación,
instala el ESET Administrator Agent.
Ver Anexo #16
Haga click en Finalizar. Después de haber
terminado el asistente la instalación del ESET
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 38
Remote Administrator Agent. Ver Anexo #17
Instalar ESET ENDPOINT SECURITY en un
equipo (6x)
Verifique que los sistemas operativos de su servidor y sus equipos sean compatibles con ESET. Versión 6 de ESET Endpoint Security/ESET Endpoint Antivirus Microsoft Windows 8.1 / 8 / 7 / Vista / XP SP3 32-bit / XP SP2 64-bit
Desinstale cualquier producto antivirus
previamente.
Identifique cualquier producto antivirus instalado
previamente. Cuando el Asistente de instalación
se abra, seleccione el casillero próximo a I want to
uninstall unwanted antivirus applications using
ESET AV Remover y haga click en continúe.
Haga click en Continúe para explorar y remover
productos antivirus (esta acción ayudará a prevenir
conflictos de software y a asegurarse de que su
producto ESET se ejecute adecuadamente).
Ver Anexo Nº18 y Nº19
Lea el acuerdo de licencia del usuario de ESET y
haga click en Accept si acuerda con los términos.
ESET AV Remover notificará si encuentra
aplicaciones que necesitan ser removidas. Si no
se encuentran aplicaciones, haga click en
Continue installation. Si necesita quitar una
aplicación, guarde este artículo en sus marcadores
de cómo que pueda retornar a él cuando reinicie el
equipo y luego siga las instrucciones para remover
el programa. Continúe con el paso 8 cuando
finalice. Ver Anexo Nº20
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 39
Haga click en Siguiente. Ver Anexo Nº21
Lea el acuerdo de licencia de usuario final.
Seleccione Acepto las condiciones del acuerdo de
licencia y haga click en Siguiente si esta de
acuerdo. Ver Anexo Nº22
Recomendamos que conserve seleccionado el
casillero correspondiente a Habilitar ESET Live
Grid.
Haga clic en siguiente para Continuar.
Ver Anexo Nº23
En la ventana detección de Detección de
aplicaciones potenciales no deseadas, seleccione
su opción de preferencia (ver ¿Qué es una
aplicación potencialmente no deseada?) y haga
clic en Instalar. Si luego decide cambiar este ajuste
podrá hacerlo accediendo a la configuración
avanzada. Ver Anexo Nº24
Cuando la instalación finalice, se le solicitará
activar el producto.
Ingrese su clave de licencia dentro del campo
vacío y haga clic en Activar. Si se encuentra
actualizando desde una versión previa en la cual
utilizaba Nombre de usuario y Contraseña,
convierta ambos datos en una Clave de licencia
mediante ESET License Administrator. Si no
cuenta con la Clave de licencia expedida por
ESET (o el Nombre de usuario y la Contraseña)
haga clic aquí para recuperarlos. Ver Anexo Nº25
Haga clic en Listo si la activación fue correcta.
Ver Anexo Nº26
Solo en ESET Endpoint Security: aparecerá la ventana de Nueva conexión de red detectada. Seleccione Red de trabajo/hogar si efectúa la
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 40
instalación en una oficina u hogar dentro de una red segura. Solo seleccione Red pública si se traslada con su equipo y ESET Endpoint Security detecta una nueva red en un entorno público. Ver Anexo Nº27.
FIN DEL PROCESO
Nota: Este procedimiento puede ser modificado de acuerdo al antivirus que se utilice.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 41
ANEXOS
FORMULARIOS E INSTRUCTIVOS
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 42
Anexo No. 1
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 44
INSTRUCTIVO DEL FORMULARIO DE CONTROL DE MANEJO DE INFORME TÉCNICO
1. Departamento: Se colocará el nombre de la unidad administrativa.
2. Fecha: Se anotará el día, mes y año en curso.
3. Funcionario Responsable: Se anotará el nombre del funcionario que solicita la revisión.
4. Hora: Se anotará en forma numérica el tiempo en que se realiza la revisión.
5. Motivo de la solicitud/auditoria: Se colocará un gancho cuando se revise el equipo para saber si cumple con las políticas de seguridad informática necesaria.
6. Motivo de la solicitud/soporte: Se colocará un gancho cuando el usuario del equipo necesita cualquier tipo de apoyo.
7. Motivo de la solicitud/monitoreo: Se colocará un gancho cuando el equipo este funcionando correctamente.
8. Motivo de la solicitud/incidente: Se colocará un gancho cuando la revisión de hace por algún incidente (caso fortuito, fluctuaciones, daños de red, etc.)
9. Procedimiento a realizar: Se anotará el detalle del trabajo a realizar.
10. Sistema afectado: Se anotará que sistema se encuentra afectado (computadora, impresora, scaner, servidores, base de datos, etc.)
11. Estatus de trabajo realizado: Se anotará el detalle de la situación real del equipo, una vez hecha la revisión.
12. Verificado por: Se colocará detalles importantes que complementen la recepción del material.
13. Duración del Trabajo: Se colocará de forma numérica el costo unitario de la mercancía adquirida.
14. Personal Externo (de ser necesario)/Nombre: Se anotará el nombre completo de la persona.
15. Personal Externo (de ser necesario)/Cédula: Se anotará el número de identificación personal.
16. Personal Externo (de ser necesario)/Empresa: Se anotará el nombre de la empresa a la que pertenece de ser necesario.
17. Personal Externo (de ser necesario)/Fecha: Se anotará el día, mes y año en que se hizo uso de esta atención.
18. Personal Externo (de ser necesario)/Hora: Se anotará en forma numérica la hora en que se realizó el trabajo.
19. Personal Externo (de ser necesario)/Firma: Se colocará la signatura de la persona que realizo el trabajo.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 46
INSTRUCTIVO DEL FORMULARIO DE CONTROL DE ACCESO A INFORMACIÓN TÉCNICA
1. Funcionario Responsable de la entrega de información:
Se anotará el nombre del funcionario que hace entrega de la información.
2. Nombre y Número de Cédula: Se anotará en forma numérica el tiempo en que se realiza la revisión.
3. Empresa: Se colocará el nombre de la empresa que realizó el trabajo.
4. Firma: Se colocará la firma del responsable de realizar el trabajo.
5. Activo a revisar: Se colocará un gancho de acuerdo al activo que se vaya a revisar.
6. Motivo de la solicitud/Acceso para consulta: Se colocará un gancho en esta opción cuando sea cualquier tipo de consulta que se realice del recurso informático.
7. Motivo de la solicitud/Cambio: Se colocará un gancho en esta opción cuando se realice cualquier tipo de cambio que se le haga al recurso informático.
8. Motivo de la solicitud/Entrega: Se colocará un gancho en esta opción cuando se realice la entrega de cualquier suministro (Pieza o Software).
9. Motivo de la solicitud/Backup: Se colocará un gancho en esta opción cuando se tenga que realizar copia del equipo a revisar.
10. Motivo de la solicitud/Verificación: Se colocará un gancho en esta opción cuando se verifique que todo cumpla con lo establecido.
11. Procedimiento a realizar: Se anotará una breve explicación de todo lo que se va a realizar.
12. Verificado por: Se anotará la firma legible del personal de la Asamblea Nacional que va a verificar.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 47
Anexo Nº4
ASAMBLEA NACIONAL SECRETARIA GENERAL
UNIDAD DE SEGURIDAD INFORMATICA
FORMULARIO DE CONTROL PARA EL USO DE INTERNET
CUESTIONARIO DE USO DE INTERNET
1. CON QUE FRECUENCIA USA INTERNET?
a. 1 día a la semana.
b. 3 días a la semana.
c. Todos los días.
2. ENUMERE 5 FUNCIONES DENTRO DE LA UNIDAD ADMINISTRATIVA
a. ______________________________________________________________
b. ______________________________________________________________
c. ______________________________________________________________
d. ______________________________________________________________
e. ______________________________________________________________
3. ¿QUÉ TIPO DE PÁGINAS VISITA CON MÁS FRECUENCIA?
NUMERA DE 1 A 7 (1 = LA MÁS VISITADA; 7 = LA MENOS VISITADA)
a. Noticias, prensa, correo electrónico personal ____
b. Redes sociales (Facebook, Twitter, LinkdIn) ____
c. Entretenimiento (Youtube, Juegos) _____
d. Descarga de Archivos _____
e. Recursos educativos (Wikipedia, blogs, foros educativos) _____
f. Servicios (Banca en línea, escuelas, pagos) _____
g. Recursos varios (paginas web gubernamentales, extranjeras, Google)______
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 48
4. DE LA PREGUNTA ANTERIOR MENCIONE, ¿CUÁLES CONSIDERA USTED SON LAS
PAGINAS VISITADAS MAS RELEVANTES CON SUS FUNCIONES?
a. _____________________________________
b. _____________________________________
c. _____________________________________
d. _____________________________________
5. DE LA PREGUNTA 4, EXPLIQUE BREVEMENTE, ¿QUE TIPO DE APOYO LE DA A SUS
FUNCIONES CADA UNA DE LAS RESPUESTAS MENCIONADAS?
a. _____________________________________________________________
_____________________________________________________________
b. _____________________________________________________________
_____________________________________________________________
c. _____________________________________________________________
_____________________________________________________________
d. _____________________________________________________________
_____________________________________________________________
6. DE LA PREGUNTA 3, ¿MENCIONE CUALES PÁGINAS VISITADAS CONSIDERA USTED
IRRELEVANTES EN SUS FUNCIONES?
a. __________________________________________
b. __________________________________________
c. __________________________________________
d. __________________________________________
7. CONSIDERA USTED QUE EL INTERNET LE SIRVE DE APOYO EN SUS FUNCIONES
DIARIAS?
a. Nunca
b. A veces
c. Con frecuencia
d. Siempre
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 49
8. ¿ADEMÁS DEL USO QUE LE DA AL INTERNET PARA SUS FUNCIONES DIARIAS,
PARA QUE OTRA ACTIVIDAD LO UTILIZA?
a. Buscar información para trabajos (escolares, universitarios)
b. Aclarar dudas, investigaciones, cursos(en foros, wikipedia)
c. Diccionarios, traductores
d. Otros______________________________________________________
Realizado por:________________________________________
Verificado Por:______________________________________________
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
Para uso exclusivo de la Unidad de Seguridad Informática
Unidad Administrativa Solicitante: ___________________________________________________ Nombre: ___________________________________ Usuario______________________________ Cargo: ___________________________ Fecha:________________ Perfil Asignado:___________ Nombre de Equipo:_________________________ # IP:___________________________ Tipo de conexión: WiFi:____________ UTP:____________ Correo Electrónico Institucional _______________________________________________
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 50
INSTRUCTIVO DE FORMULARIO DE CONTROL PARA EL USO DE INTERNET
1. Con que frecuencia uso internet: Coloque un círculo en la letra que defina cada que tiempo usted usa el servicio de internet.
2. Enumere 5 funciones dentro de la unidad administrativa: Coloque las funciones más relevantes que usted realiza en su puesto de trabajo diariamente.
3. Qué tipo de páginas visitas con mas frecuencia?. Enumera del 1 al 7 las páginas más visitadas en internet por ti siendo el (7) la más visitada y la (1) la menos visitada.
4. De la pregunta anterior mencione, ¿Cuáles considera usted son las páginas más relevantes con sus
funciones?. De acuerdo a su respuesta de la pregunta #3 describa cuales de las páginas visitadas son las más relevantes de acuerdo a sus funciones.
5. De la pregunta 4, Explique brevemente, ¿Qué tipo de apoyo le da a sus funciones cada una de las
respuestas mencionadas?. Enumere en los siguientes renglones de que forma le facilita sus tareas las herramientas de internet que usted describió en la pregunta #4.
6. De la pregunta 3, ¿mencione cuales páginas visitadas considera usted irrelevantes en sus funciones?. Coloque que página de internet que usted visita de acuerdo a la pregunta #3, no son relevantes para el trabajo que usted realiza.
7. Considera usted que el internet le sirve de apoyo en sus funciones diarias? Encierre en un circulo la letra de acuerdo a la frase que considere sea la respuesta indicada a esta pregunta.
8. ¿Además del uso que le da al internet para sus funciones diarias, para que otra actividad lo utiliza? Seleccione y encierre en un círculo la letra que corresponda a la respuesta que usted considere.
9. Realizado por: Se colocará el nombre del funcionario que lleno el documento.
10. Verificado por: Se colocará la firma de la persona encargada de verificar que se haya completado a cabalidad el documento. Para uso exclusivo de la unidad de Seguridad Informática
11. Unidad administrativa solicitante: Se colocará el nombre de la Dirección, departamento o unidad administrativa que realice la solicitud.
12. Nombre: Colocará el nombre completo del usuario.
13. Usuario: Se colocará el nombre que se le asigna a cada funcionario al otorgarle el derecho del uso de la computadora.
14. Cargo: Se colocará el nombre del cargo que tenga el usuario.
15. Fecha: Colocar el día, mes y año en el que se llena dicha solicitud.
16. Perfil Asignado: Se colocará el nombre del perfil asignado según sea el caso (administrador, debugger, usuario).
17. Nombre del Equipo: Se colocará el nombre de acuerdo a la Dirección, Departamento o Unidad a la que pertenezca el equipo.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 51
18. # IP: Se anotará el código ó dirección numérica que contiene cada computadora.
19. Tipo de conexión: WIFi___ UTP___ Se colocará un gancho en el tipo de conexión que utilice el usuario según sea el caso.
20. Correo electrónico institucional: Se anotará la dirección de correo electrónico asignado al usuario para recibir correos institucionales.
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 52
Anexo Nº5
ASAMBLEA NACIONAL SECRETARIA GENERAL
UNIDAD DE SEGURIDAD INFORMÁTICA POLÍTICA SOBRE EL USO DEL INTERNET
UNIDAD ADMINISTRATIVA_________________________ FECHA:____________________ FECHA:_________________ USUARIO:_________________________ DIRECCION MAC:____________________________ DHCP:________________________ MEDIANTE SU SOLICITUD PARA EL DESBLOQUEO PARCIAL DEL SERVICIO DE INTERNET QUE PRESTA LA INSTITUCIÓN, CON LA FINALIDAD DE USARLO COMO APOYO A LA GESTIÓN DE SUS FUNCIONES. DESPUES DE APROBADA LA SOLICITUD SE LE INFORMA QUE DEBERÁN CUMPLIR CON LAS POLITICAS ESTABLECIDAS DE SEGURIDAD INFORMÁTICA, QUEDANDO PROHIBIDO LO SIGUIENTE: El acceso a sitios Web relacionados con apuestas o actividades ilegales en general; Acceso a material pornográfico o a sitios Web de contenido para adultos relacionados con
desnudismo, erotismo o pornografía. Acceso a sitios de música, juegos, videos u otros sitios de entretenimientos EN LINEA; Acceso a sitios Web de carácter discriminatorio, racista, o material potencialmente ofensivo
incluyendo, bromas de mal gusto, prejuicios, menosprecio, o acoso explicito. Acceso a sitios de “hacking” o sitios reconocidos como inseguros, los cuales puedan poner en
riesgo la integridad y confidencialidad de la información y los equipos de la Institución. Descarga desde Internet de CUALQUIER material (incluyendo software) que sea catalogado como
amenaza a la seguridad de la RED tecnológica de la institución o que esté protegido por derecho de propiedad, o archivos electrónicos para usos no relacionados con la actividad de la ASAMBLEA NACIONAL. (Ej. Archivos de música, video, PROXY, CHAT, ETC).
Participación en cualquier actividad ilegal o criminal. Solicitud no autorizada de dinero o la operación de negocios personales. El uso del YOUTUBE deberá ser única y exclusivamente para lo solicitado en la encuesta que se le
realizó. No podrá disponer de este servicio para ver otro contenido ajeno a lo solicitado. COMO MEDIDA DE CONTROL, LA UNIDAD DE SEGURIDAD INFORMÁTICA CUENTA CON EQUIPOS PARA MONITOREAR CUALQUIER ACTIVIDAD QUE HAYA SIDO DESCRITA COMO PROHIBIDA EN LAS POLÍTICAS DEL USO DEL INTERNET. DE COMPROBARSE ALGUNA FALTA COMETIDA EN EL USO DEL INTERNET SE ESTARÁ ACTIVANDO EL BLOQUEO PERMANENTE DEL SERVICIO DE INTERNET Y EL INFORME CON LAS PRUEBAS SE LE ESTARÁ REMITIENDO A SU JEFE DIRECTO PARA QUE SE TOMEN LAS SANCIONES ESPECIFICADAS EN EL MANUAL DE RRHH.
Firma del Funcionario: ___________________________________________
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 53
Anexo Nº6
En las auditorías de Internet se revisan los siguientes aspectos:
1. Historia de Navegación Web (Explorer, Arrome, Mozilas, etc.)
2. Cookies de funcionamiento de las páginas Web.
3. Revisión de la versión y la actualización del Antivirus.
4. Programas descargados de Internet.
5. Programas instalados no permitidos.
6. Accesos no permitidos a cada usuario (youtube, facebook, etc.
7. Revisión de sitios Web permitidos y no permitidos (pornografía, juegos, etc.).
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 57
Anexo Nº10
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 58
Anexo Nº11
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 59
Ver Anexo Nº12
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 60
Anexo Nº13
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 61
Anexo Nº14
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 62
Anexo Nº15
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 63
Anexo Nº16
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 64
Anexo Nº17
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 65
Anexo Nº18
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 66
Anexo Nº19
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 67
Anexo Nº20
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 68
Anexo Nº21
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 69
Anexo Nº22
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 70
Anexo Nº23
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 71
Anexo Nº24
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 72
Anexo Nº25
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 73
Anexo Nº26
UNIDAD DE SEGURIDAD INFORMÁTICA 2017
Asamblea Nacional-Manual de Procedimientos Página 74
Anexo Nº27