2021

POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

1|IDOPPRIL

GERENCIA DE TECNOLOGÍA
CONTENIDO

CONSIDERACIONES GENERALES...................................................................................................3
BASE LEGAL...................................................................................................................................3
RESPONSABILIDADES....................................................................................................................3
RECURSOS HUMANOS..................................................................................................................4
VIGENCIA......................................................................................................................................4
I. DISPOSICIONES GENERALES DE SEGURIDAD..............................................................................8
II. RESPONSABILIDADES DEL USUARIO........................................................................................10
Queda prohibido........................................................................................................................11
III. POLITICA DE SEGURIDAD FISICA..........................................................................................12
IV. POLITICA DE SEGURIDAD........................................................................................................13
Antivirus.....................................................................................................................................14
Directorio....................................................................................................................................14
Acceso al Internet.......................................................................................................................15
 Cancelar permiso de VPN.....................................................................................................16
 Monitoreo del acceso y uso de los sistemas.......................................................................16
 Correo electrónico...............................................................................................................17
V. DISPOSICION DE EQUIPOS Y LICENCIAS....................................................................................17
VI. PROCEDIMIENTO DE ELMININACION DE DATOS......................................................................18

2|IDOPPRIL
CONSIDERACIONES GENERALES
La seguridad informática es un proceso de administración de los riesgos de los sistemas de
información y los componentes integrados, que se apoya en políticas y procedimientos para
atender las necesidades del Instituto XXXX (en lo adelante XXXX).

Las políticas y los procedimientos de seguridad informática tienen como objetivo proteger los
activos físicos e intelectuales utilizados en la generación de información del IDOPPRIL. El
Procedimiento de Seguridad Informática aplica a la sede central y sus oficinas regionales y
provinciales, ya sea por requerimiento o cuando se estime necesario por una operación
relacionada o autorizada. Además, aplica a todo el personal del IDOPPRIL, contratistas,
consultores, personal temporero y todo aquel personal que utilice de manera directa o
indirecta los sistemas de información, aplicaciones y plataformas del IDOPPRIL. El
establecimiento de procedimientos y medidas de seguridad tiene como objetivo salvaguardar
las áreas misionales, el cuarto de servidores, estructuras físicas, al personal, procedimientos
operacionales, la información y la documentación generada, contra cualquier evento natural o
humano que, de forma intencional o por accidente, puedan afectarlos.

Es responsabilidad de los usuarios cumplir con las políticas y procedimientos de seguridad

informática. La falta de conocimiento de las políticas aquí descritas no libera al usuario de
sanciones o penalidades por el incumplimiento de las mismas.

Todos los sistemas de tecnología que se utilicen como parte de la propiedad física o intelectual
del IDOPPRIL se consideran protegidos por esta política (y procedimiento procedimientos
aplicables) de seguridad.

BASE LEGAL
Ley núm. 151 del 22 de junio de 2004, conocida como Ley de Gobierno Electrónico, establece
que la Oficina de Gerencia y Presupuesto tendrá la facultad para instrumentar, establecer y
emitir la política pública a seguir y las guías que regirán la adquisición e implantación de los
sistemas, equipos y programas de información tecnológica para los organismos
gubernamentales con el objetivo primordial de lograr la interconexión de los organismos para
facilitar y agilizar los servicios al pueblo.

RESPONSABILIDADES
Las políticas de seguridad informática y cualquier enmienda a las mismas deben ser aprobadas
por el Director Ejecutivo del XXXX y recomendadas por la Gerencia de Tecnología de la
Información, por el Gerente de Tecnología y el Encargado de Operaciones; a su vez tomando en cuenta,
3|IDOPPRIL
 siempre que sea posible, las recomendaciones del Departamento de Riesgos. Las mismas son cónsonas
con la información documentada del Sistema de Gestión de Calidad.

RECURSOS HUMANOS
EL IDOPPRIL debe asegurarse de contar con el personal necesario, ya sea interno o contratado,
para diseñar y mantener la seguridad de los sistemas de información.

Para el proceso de reclutamiento del personal de sistemas de información, especialmente para

el área de seguridad, se debe llevar a cabo un proceso riguroso de selección del candidato para
garantizar que, más allá de las credenciales académicas, en efecto tiene las destrezas
tecnológicas necesarias para el puesto, así como la experiencia mínima requerida.

VIGENCIA
Debido a la evolución de la tecnología, las amenazas de seguridad y las nuevas tendencias, las
políticas y los procedimientos incluidas en este documento se revisarán cada 2 años o según las
necesidades del IDOPPRIL, para realizar actualizaciones y modificaciones necesarias. Esta
política estará vigente a partir de su divulgación y hasta que la autoridad superior o el oficial
principal de la Gerencia de Tecnología así lo determine.

TERMINOS Y DEFINICIONES

Término Definición
Son aquellos accesos que están controlados y restringidos, son
Accesos Privilegiados permitidos sólo a las personas que cumplirán tareas de administración;
base de datos, aplicaciones, administradores del sistema, etc.
Un punto de acceso inalámbrico, en una red de computadoras, es un
dispositivo de red que interconecta equipos de comunicación
Access Point
inalámbricos, para formar una red inalámbrica que interconecta
dispositivos móviles o tarjetas de red inalámbricas.
Es una estructura jerárquica de directorios que almacena, en una base
Active Directory de datos, información sobre redes y dominios, es utilizado por equipos
Microsoft Windows.
Es un programa que se instala inadvertidamente en una computadora y
su principal propósito es desplegar ante el usuario anuncios y
Adware
propaganda, pero también puede tener un comportamiento como el
spyware (véase Spyware).
Antivirus Programa que tiene el propósito de detectar y eliminar virus y otros

4|IDOPPRIL
 programas perjudiciales antes o después de que ingresen al sistema
para evitar robo y pérdida de información, alteración del
funcionamiento, disrupción del sistema y propagación hacia otras
computadoras.
Es el proceso por el cual una persona presenta información que lo
identifica ante un sistema de información con el propósito obtener
Autenticación
acceso; el sistema compara la información contra su base de datos para
validar que es un usuario autorizado.
Es el proceso por el cual se adjudican privilegios específicos a una
Autorización
persona para el uso de recursos en los sistemas de información.
Toda aquella comunicación fuera de la red IDOPPRIL y sus
Comunicación externa
dependencias.
Es la característica que se le da a una información para que pueda ser
Confidencialidad
vista solamente por personas autorizadas.
Datos que contienen información financiera, de los ciudadanos, de los
Datos sensitivos recursos humanos u otra información crítica para la operación de la
agencia.
Proceso de eliminar equipo perteneciente a la agencia. El proceso de
Disposición de equipo eliminar puede implicar el transferir el equipo a otra oficina u agencia,
donarlo a una entidad sin fines de lucro o decomisarlo.
Empleado terminado Empleado que ya no trabaja para el Departamento de Educación.
Proceso por el cual unos datos se transforman en información no
Encriptación
entendible por aquellos que no están autorizados a verlos.
Incluye, pero no se limita a: computadoras, impresoras, cables, hubs,
Equipo routers, switches, servidores, access points, baterías (UPS), escáneres y
demás accesorios.
Aplicación, equipo o conjunto de ambos, que protege los recursos de la
red de accesos no autorizados. En el caso de las aplicaciones, son
programas que residen en una computadora o en un equipo
Firewall
especializado y que permiten controlan el tráfico de información entre
varias redes. Tradicionalmente protegen la red interna de una entidad
del acceso indebido de usuarios por medio de Internet.
Serie de informes de investigación que muestra "fortalezas" y
"advertencias" detalladas y las necesidades de tecnología. Tiene como
Gartner
objetivo proporcionar un análisis cualitativo, su dirección, madurez y
participantes.
Personal que, en conjunto de recursos tecnológicos, presta servicios
con la posibilidad de gestionar y solucionar todas las posibles
incidencias relacionadas a las Tecnologías de la Información y la
Help Desk
Comunicación. Generalmente, el propósito es solucionar problemas o
para orientar acerca de computadoras, equipos electrónicos o
software.
5|IDOPPRIL
 Proceso en que se instala a una (1) computadora el sistema operativo,
Imagen de computadora los programas y las aplicaciones necesarias con sus licencias para que el
suplidor replique estos programas en computadoras autorizadas.
Integridad Es el proceso de proteger la información de alteraciones indebidas.
Es un contrato entre el autor del programa y el usuario, que permite
utilizar el programa en forma legal. Las licencias contienen un acuerdo
donde normalmente se estipula quiénes pueden utilizar el programa,
Licencia para programas los usos permitidos, si se pueden hacer copias del mismo, entre otras.
Las compañías dedicadas a la venta de programación normalmente
tienen disponibles diferentes tipos de licenciamiento, que se adaptan a
las circunstancias y necesidades del cliente.
Implica la calendarización de actividades tales como respaldo de
Planeación de prevención sistemas, autenticación y autorización (seguridad), verificación de la
presencia de virus y monitoreo de la utilización de los sistemas. Este
de pérdidas
último con el objetivo de verificar la capacidad y ejecutoria de los
mismos.
Conjunto de instrucciones que permite que una computadora lleve a
cabo una función. Los programas de sistema controlan el
Programa funcionamiento de las computadoras y las redes de informática. Los
programas de aplicación facilitan y/o automatizan las operaciones que
se realizan de forma manual, o que se lleven a cabo efectivamente.
Proceso que elimina el contenido de los medios para almacenamiento
de datos (discos duros, cintas magnéticas, memorias y otros), de tal
manera que dicho contenido no pueda recuperarse en el futuro. Al
Remoción de contenido
momento existen diferentes métodos para la remoción de datos:
overwriting, degaussing y la destrucción física del medio de
almacenamiento.
Sistema de detección de Es un programa que reside en una computadora o en un equipo
especializado para detectar ataques o intentos indebidos de acceso
intrusos
hacia un sistema de información.
Protección de los sistemas de información en contra del acceso o la
modificación física o electrónica no autorizada; de la información de
protección en contra de la negación de servicios a usuarios autorizados
o de la disponibilidad de servicios a usuarios no autorizados; las
políticas, las normas, las medidas, el proceso y las herramientas
Seguridad informática
necesarias para detectar, documentar, prevenir y contrarrestar los
ataques a la información o servicios antes descritos; los procesos y
herramientas necesarias para la restauración de la información o los
sistemas afectados por las brechas en la seguridad, disponibilidad y
protección de los recursos requeridos para establecer dicha seguridad.
Spyware Es un programa que se instala inadvertidamente en una computadora y
se propaga sin autorización a la información sobre el usuario y sus
6|IDOPPRIL
 hábitos de utilización de Internet.
Programas que se introducen en el ordenador por diversos medios, se
instalan de forma permanente y por el cual tratan de tomar el control
del sistema afectado. Llegan por medio de un programa aparentemente
Troyan inofensivo que al ejecutarse instala el troyano. Aunque no suelen ser
virus destructivos, pueden capturar datos personales y enviarlos al
atacante o abrir brechas de seguridad para que este pueda tomar el
control de la máquina de forma remota
Persona que utiliza una computadora personal, tableta o portátil para
Usuario
realizar múltiples operaciones con aplicaciones, sistemas o plataformas.
Malware que tiene por objeto alterar el funcionamiento normal del
ordenador, sin el permiso o el conocimiento del usuario. Los virus,
habitualmente, reemplazan archivos ejecutables por otros infectados
Virus con el código de este. Los virus pueden destruir, de manera
intencionada, los datos almacenados en una computadora, aunque
también existen otros más inofensivos que solo se caracterizan por ser
molestos.
Tecnología de red que permite una extensión segura de la red local
sobre una red pública o no controlada como Internet. Permite que la
VPN (Virtual Private computadora en la red envíe y reciba datos sobre redes compartidas o
públicas como si fuera una red privada con toda la funcionalidad,
Network)
seguridad y políticas de gestión de una red privada. Esto se realiza
estableciendo una conexión virtual punto a punto mediante el uso de
conexiones dedicadas, cifrado o la combinación de ambos métodos.

7|IDOPPRIL
 I. DISPOSICIONES GENERALES DE SEGURIDAD
Con el fin de establecer las políticas, los procedimientos y los requisitos para asegurar la seguridad
informática para el XXXX, queda establecido que:

• El usuario no tendrá ninguna expectativa de intimidad con relación a la información

almacenada en los equipos informáticos que tenga asignado o en cualquiera otro que utilice.
Esto aplica a aquellos de propiedad del empleado y que, por voluntad y para beneficio de su
propio desempeño, son autorizadas a conectarse a través de la red institucional y estarán
sujetas a todas las auditorías y políticas de seguridad aquí contenidas. Además, estos equipos
deben tener instalado un antivirus actualizado y autorizado.

• IDOPPRIL se reserva el derecho de auditar, vigilar y fiscalizar los sistemas de correspondencia

electrónica y todos los servicios computarizados para garantizar que los mismos se utilicen
para las gestiones y los propósitos relacionados al trabajo. Estas auditorías se realizarán
periódicamente, al azar o cuando exista una investigación sobre una situación en particular.
Por estas circunstancias, el personal del XXXX no tiene derecho a la intimidad en relación con
cualquier información, documento o mensaje creado, recibido o enviado por el sistema de
correo electrónico institucional, al usar las computadoras de la institución o algún equipo de
carácter público o personal mediante el cual se acceda al servicio de correo electrónico del
IDOPPRIL.

• Para salvaguardar la confidencialidad de la información del XXXX, no está permitido el envío

de documentos electrónicos o mensajes por medio del correo electrónico fuera del IDOPPRIL
que contengan información confidencial sin previa autorización por la entidad superior.

• Se podrán utilizar cuentas personales de servicios de correo electrónico y acceso a Internet

(Hotmail, Gmail, Yahoo, entre otros) en los equipos del IDOPPRIL, siempre y cuando que se
cumpla con los procedimientos y políticas establecidas. Sin embargo, se prohíbe modificar los
privilegios de acceso a las redes internas o externas para obtener acceso a dichos recursos.

• Ningún usuario podrá modificar o asignar contraseñas, o modificar de manera alguna la

información, mensajes de correo electrónico o archivos que son propiedad del IDOPPRIL, para
lo siguiente:
 Impedir que alguien pueda leerlos, entenderlos o utilizarlos
 Falsificar o alterar el nombre del usuario
 Falsificar o alterar la fecha de creación
 Modificar información que se utilice para identificar documentación, mensajes o
archivos.

• En el caso de que, por razones de seguridad, se permita codificar, asignar contraseñas o

8|IDOPPRIL
 modificar alguna información a fines de evitar que otras personas puedan leerlas, la Gerencia
de Tecnología estará facultada para decodificar la misma o restituirla a su condición original.
EI usuario será responsable de proveer todos los datos para lograr acceso a la información o
el archivo.

• La modificación de los parámetros o configuración de las computadoras del IDOPPRIL para

ampliar las capacidades de la red de la institución serán realizadas por personal asignado y
autorizado por la Gerencia de Tecnología.

• Los medios de almacenaje de información portátiles que sean utilizados en el IDOPPRIL

deben ser revisados y certificados para garantizar que están libres de virus.

• Todos los archivos que sean guardados en directorios asignados, serán protegidos mediante
mecanismos de resguardo (backup) existentes.

• La seguridad de la información debe ser parte integral del diseño de cualquier programa de
aplicación que se adquiera o se desarrolle en el XXXX para facilitar las operaciones de la
institución o mejorar el servicio a los ciudadanos.

• La información y los programas de aplicación que se utilizan en las operaciones de la

institución tienen controles de acceso, de tal manera que solamente el personal autorizado
pueda dar acceso a los datos y las aplicaciones (o módulo de la aplicación) que necesita
utilizar. Estos controles incluyen mecanismos de autenticación y autorización (véase la
sección de Definiciones).

• Todos los mecanismos de autenticación deben incluir una contraseña combinada de números
y letras mayúsculas, minúsculas y caracteres especiales tales como: @!#$%^&*()<>. Esta
nomenclatura no será menor de ocho (8) caracteres.

• Los privilegios de acceso de los usuarios se reevalúan anualmente (Véase Sección VIII:
Mantenimiento de Cuentas de Usuarios en el XXXX) o cuando la máxima autoridad de la
institución así lo determine.

• Las aplicaciones y los sistemas críticos o sensitivos (SISRALEP PLUS, SISDIGI, SOFTLAND,
SISTEMA DE ARCHIVO), que están instalados en los servidores que residen y operan en el
Centro de Cómputos del IDOPPRIL, cuentan con la funcionalidad y capacidad de registrar y
monitorear las actividades y transacciones de los usuarios.

Es responsabilidad del área de Seguridad Informática:

 Mantener este documento actualizado.
 Investigar y documentar cualquier incidente, según sea necesario.
 Mantener a todas las partes informadas de cualquier incidente o situación de seguridad
9|IDOPPRIL
 que se presente. (Gerente de Tecnología, Encargado de Operaciones, Encargado de
Soporte Técnico y entre otros.)
 Establecer los términos razonables de respuesta para detectar, reportar y responder a
incidentes de seguridad.
 Divulgar entre los empleados y contratistas los procedimientos de cómo informar los
diferentes tipos de incidentes.

II. RESPONSABILIDADES DEL USUARIO

Todos los colaboradores (as) de IDOPPRIL, tienen que estar conscientes de la importancia de mantener la
seguridad de información y de la responsabilidad que tienen con respecto a mantener controles de acceso
efectivos, en particular en el buen manejo y uso que le deben dar a los activos informáticos.

 Los usuarios (as) deberán evitar utilizar los equipos asignados en redes o conexiones de internet
públicas y a la vez esta prohíba la instalación de aplicaciones o programas que perjudiquen la
información guardada en las flotas.

 Los usuarios (as) no debe utilizar los dispositivos móviles asignados para uso personal tampoco para
transmitir, procesar o retener información del XXXX a entidades externas.

 Los recursos informáticos, datos, programación (software), redes y sistemas de comunicación

electrónica están disponibles exclusivamente para realizar las funciones para la que fueron
diseñados e implantados. Todo el personal usuario de dichos recursos debe saber que no tiene
el derecho de confidencialidad en su uso. Los usuarios son responsables de toda actividad
relacionada al uso de su acceso autorizado.

 Los usuarios notificarán a su supervisor inmediato sobre cualquier incidente que detecten que
afecte o pueda afectar a la seguridad de los datos, o por sospecha de uso indebido del acceso
autorizado por otras personas.

 Todo usuario es responsable de proteger y no compartir sus credenciales de acceso (en

especial su contraseña). En caso de que algún usuario piense que su contraseña ha sido
descubierta, debe notificar al Encargado de Seguridad del Departamento de Operaciones
inmediatamente. El personal responsable de la administración de credenciales definirá una
contraseña temporera, la cual será cambiada por el usuario.

 El usuario o funcionario deberá reportar de forma inmediata cuando detecte algún riesgo real
o potencial sobre equipos de computadoras o de comunicaciones, tales como caídas de agua,
choques eléctricos, caídas, golpes, peligro de incendio, entre otros. De igual forma, tiene la
obligación de proteger las unidades de almacenamiento que se encuentren bajo su
responsabilidad y que contengan información confidencial o importante.
10 | I D O P P R I L
 Los usuarios (as) deben reportar a través de Mesa de Ayuda, si se sospecha que personas no
autorizadas han tenido acceso a la data del MAPRE a través de dispositivos móviles asignados a él.

 Cuando el usuario (a) notifique el robo o la pérdida de su dispositivo móvil asignado, deberá llevar un
certificado de robo o pérdida a la DA y esta deberá archivarla como evidencia del caso.

 En caso de no cumplir con los lineamientos mencionados en esta política la Dirección de Recursos
Humanos estará en el derecho de establecer sanciones según el sistema de consecuencias
establecido.

 Todo usuario que accede a los Sistemas de Información del IDOPPRIL debe utilizar únicamente
las versiones de los programas autorizados, siguiendo los procedimientos y manuales de
utilización.

 Cuando se requiera el movimiento de un activo de información (equipos), debe solicitarlo a la

Gerencia de Tecnología a través de mesa de ayuda.

 Cuando se realice una renuncia, cancelación o jubilación, el colaborador (a) debe entregar los activos
de información que ha tenido en custodia o asignado dirigiéndose a la Gerencia de Recursos Humanos.

Queda prohibido

 Instalar cualquier dispositivo que altere la configuración actual de la red, entiéndase la

instalación de: routers, access points, switch, hubs, impresoras, dispositivos alternos para
conexión a Internet, entre otros.

 Los activos de la información que no pertenezcan a IDOPPRIL como: portátiles, teléfonos

inteligentes, tabletas y otros, no deben ser conectados de la red local, sistemas o servicios del
IDOPPRIL a menos que sea previamente aprobado por el área de Seguridad y Monitoreo TI.

 Destruir, alterar, inutilizar o dañar de cualquier otra forma los datos, programas o
documentos electrónicos.

 Los usuarios (as) y/o colaboradores (as) no deben instalar, copiar o reproducir programas o
softwares adquiridos o desarrollados por el IDOPPRIL en equipos propios o de terceros.

 Albergar datos de carácter personal en las unidades locales de disco de las computadoras de
trabajo.

11 | I D O P P R I L
  Intentar obtener otros derechos o accesos distintos a aquellos que les han sido asignados.

 Intentar acceder a áreas restringidas de los sistemas de información o de la red, software o

hardware, cuartos de telecomunicaciones, gabinetes de telecomunicaciones (caja negra) y
centro de cómputos, entre otros.

 Intentar distorsionar o falsear los registros (log) de los sistemas de información.

 Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el trabajo de otros
usuarios, ni dañar o alterar los recursos informáticos.

 Intentar utilizar las áreas y espacios físicos designados para las telecomunicaciones como
almacén o área para guardar los efectos y materiales de limpieza. Las cajas y papeles
acumulan humedad y polvo y se pueden incendiar fácilmente. Los detergentes emiten gases
químicos que deterioran los cables y corroen los equipos.

 Desarrollar procedimientos para que los cambios a la seguridad de los sistemas que se
realicen, sean documentados adecuadamente y estén almacenados en medio físico o
electrónico de manera segura.

 Coordinar adiestramientos a la gerencia sobre los controles de seguridad, requerimientos y

beneficios correspondientes.

 Adiestrar o coordinar adiestramiento para el personal de sistemas de información y

telecomunicaciones sobre técnicas modernas de seguridad de sus áreas.

 Divulgar a todos los empleados los procedimientos de seguridad que les apliquen.

III. POLITICA DE SEGURIDAD FISICA

 Las áreas seguras destinadas al procesamiento o almacenamiento de información sensible, así como
aquellas en las que se encuentren los equipos y demás infraestructura de soporte a los sistemas de
información y comunicaciones, se consideran áreas de acceso restringido.

 La entrada a las áreas seguras será autorizada al personal de la Gerencia de Tecnología según su rol y
área perteneciente, para accesos y mantenimientos programados para ejecutar.

 La entrada y salida de personal al centro de datos deberá ser registrada en el Control de Ingreso al
12 | I D O P P R I L
 Datacenter. Este libro de firmas deberá ser registrado y supervisado periódicamente por el Encargado
de DOTIC.

 Está prohibido comer, beber o fumar en el centro de datos, ni en los alrededores del mismo. Así como
acceder al mismo con materiales que pongan en peligro el funcionamiento de los equipos.

 Todos los equipos deben estar protegidos contra cualquier interrupción o falla energética que se
presente, teniendo alternativas de suministro de energía.

IV. POLITICA DE SEGURIDAD

 Los usuarios (as) no tendrán acceso al cambio de fondo de pantalla de los equipos asignados del
MAPRE.

 Los usuarios (as) al momento de retirarse por el motivo que fuere deben bloquear la pantalla de su
computador personal o portátil de forma que nadie pueda acceder a la red de la institución ni a su
información personal.

 El usuario (a) debe respetar la confidencialidad de la información por lo que debe abstenerse a
información confidencial que no le corresponda tener.

 El departamento de Operaciones TIC programará los equipos conectados a la red del IDOPPRIL para
que se bloqueen automáticamente luego de 15 minutos de inactividad del usuario.
 Operaciones TIC deberá monitorear el rendimiento de los servicios tecnológicos del IDOPPRIL y de los
componentes que lo soportan.

 IDOPPRIL deberá ejecutar actividades de optimización para eficientizar el uso de recursos, hasta
concluir el proceso de solicitud y firma de aprobación de los mismos.

 Es responsabilidad del departamento de Operaciones TIC proteger los activos de la información en

IDOPPRIL (Equipos PC, Laptops y servidores) contra malware y/o amenazas que violenten la seguridad
de los sistemas. Los activos de la información deben tener instalado antivirus y antispyware para la
protección y seguridad de los mismos.

 Está prohibido el uso e instalación de software no autorizado en los equipos pertenecientes a

IDOPPRIL.

 Deben estar inhabilitados o bloqueados todos puertos con acceso a: USB, Disco Duro Externos y/o
CD-ROM de todos los equipos de la institución exceptuando aquellos que tienen la autorización de
uso.
13 | I D O P P R I L
  Para habilitar el uso de los medios removibles los usuarios (as) deben solicitar la autorización de los
mismos con su Director (a) o Encargado (a) siguiendo los procedimientos establecidos por IDOPPRIL.
Ver Procedimiento “Gestión de Medios Removibles”.

 Los usuarios (as) tiene la responsabilidad de eliminar la información contenida en el medio

removible cuando no sea de su utilidad.

 Los usuarios (as) del IDOPPRIL con medios removibles asignados deben cuidarlos y protegerlos, en
especial si este contiene de información confidencial. También los usuarios (as) deben ser custodios
de los accesos de medios removibles habilitados en sus equipos.

Antivirus
 Como parte de las políticas de seguridad establecidas, toda computadora, ya sea portátil o de
escritorio y servidor, tendrá instalada el sistema de protección de activos vigente (actualmente
Bitdefender Endpoint Security).

 El administrador de seguridad es responsable de administrar (remover, eliminar, aplicar

cuarentena) a las amenazas detectadas. Estos incidentes se deben documentar y comunicar a
los incumbentes de los departamentos en la Gerencia de Tecnología y a todos los usuarios si
esto fuere necesario como medida de concienciación.

Directorio
Los accesos a cada sistema se otorgan al usuario, de acuerdo con las funciones que tienen
asignadas. Estos accesos tienen que ser aprobados por el supervisor inmediato.
Así mismo, se llevará a cabo el Procedimiento de Baja de Cuenta de usuario del IDOPPRIL,
cuando un empleado deja de pertenecer a la institución por una de las siguientes razones:
 Licencia indefinida
 Renuncia
 Despido
 Jubilación
 Muerte
 Cancelación de contrato

Los privilegios de acceso de los usuarios se reevaluarán anualmente. El dominio en la red del IDOPPRIL
(Active Directory Domain Server), mantendrá activo por seis (6) meses el historial de seguridad; pasado
este periodo, el historial se eliminará automáticamente.

Las cuentas de usuario de dominio permiten acceder a los siguientes programas o aplicaciones:
14 | I D O P P R I L
 1. Correo electrónico
2. Sistema de Registro de Accidentes Laborales y Enfermedades Profesionales Plus
(SISRALEP Plus)
3. Internet
4. Acceso Remoto

Las cuentas de usuario para acceder a los siguientes programas se realizan directamente en la
aplicación:
5. Enterprise Resource Planning (SOFTLAND)
6. Sistema de Digitalización Plus (SISDIGI+)

Acceso al Internet
Los medios de redes de comunicaciones y computadoras personales para acceso a los servicios
de Internet se proveen a aquellos empleados que requieran de esta para realizar las tareas y
actividades en el desempeño de sus funciones. Todas las actividades en Internet deben estar
relacionadas a las tareas y actividades en el desempeño de su trabajo. El Manual de
Procedimientos para el Uso del Internet, correo electrónico y otros recursos de tecnología del
IDOPPRIL, indican el uso adecuado, el no adecuado y las medidas disciplinarias en caso de
incumplimiento.

 El Departamento de Operaciones TIC será la encargada de dar los permisos de navegación a internet y
asignar a cada grupo de usuario acceso según su posición.

 Para el uso adecuado o aceptable de redes locales alámbricas o inalámbricas los usuarios (as) o
colaboradores (as) de IDOPPRIL deberán tomar en cuenta las siguientes medidas:
 Se prohíbe hacer uso de programas que recolectan paquetes de datos de la red.
 Se prohíbe manipular las conexiones físicas hacia los equipos de escritorio.
 No se debe extender el alcance de la red por medio de dispositivos físicos.
 No se debe utilizar la conexión a la red de datos para proporcionar tráfico a terceras
personas o entidades, salvo expreso consentimiento de la Dirección de TIC.
 Se prohíbe descargar servicios broadcast como audio y video sin autorización.
 Está prohibido instalar equipos y/o software que generen interrupción o interferencia
de frecuencias electromagnéticas con la emisión normal de la red inalámbrica.
 No se debe realizar escaneo de vulnerabilidades en la red o de cualquier equipo de la
misma sin la expresa autorización de la Gerencia de Tecnología.

Acceso remoto mediante Virtual Private Network (VPN)

 El director de área o supervisor inmediato es responsable de solicitar el servicio de acceso
remoto y el Encargado de Operaciones o el Gerente de Tecnología es responsable de
autorizar dicho acceso.
15 | I D O P P R I L
  Los accesos o recursos que el colaborador (a) necesita, el tiempo del acceso y los datos del equipo
para trabajar remotamente deben especificarse en la solicitud de VPN.

 Si el/la solicitante usara un equipo personal (no provisto por la institución) para acceder a la VPN,
este debe ser evaluado por el area de Seguridad y Monitoreo TI.

 Es de responsabilidad del usuario con privilegios VPN, asegurarse que ninguna otra persona utilice
su cuenta de acceso, entendiendo que es de uso exclusivo para quienes se les ha asignado dichos
privilegios.

 Cuando el usuario (a) esté conectado activamente a la red del Ministerio, el sistema VPN obligará a
todo el tráfico hacia y desde el equipo computacional pasar a través del túnel de VPN, por lo que los
datos del mismo serán analizados y acogidos a las políticas de acceso.
Los usuarios (as) deberán comprender que los equipos conectados a una VPN son una extensión de las redes
de IDOPPRIL, y como tales están sujetos a las mismas normas y reglamentos que se aplican a los equipos
computacionales de IDOPPRIL, es decir sus máquinas deben ser configuradas para cumplir con las
instrucciones anteriormente descritas.

 Cancelar permiso de VPN

Para eliminar el permiso de VPN de un usuario o consultor, el supervisor enviará un correo
electrónico al Encargado De Operaciones o al Gerente de Tecnología para solicitar la
cancelación del permiso. Esta solicitud se refiere al personal designado para que procedan con
la cancelación del permiso.
En caso de que la solicitud inicial indique que es un permiso temporero o por un tiempo
determinado, el acceso se deshabilitará o cancelará el día siguiente de la fecha indicada.
Cuando se desactiva el acceso de un usuario a la red, automáticamente se desactivan los
permisos de VPN.

 Monitoreo del acceso y uso de los sistemas

Se generarán registros de auditoría que contengan excepciones y otros eventos relativos a la
seguridad. Los registros de auditoría deberán incluir la identificación del usuario, la fecha y hora
de inicio y terminación, así como la identidad y ubicación del equipo. Además, debe incluir un
registro de intentos exitosos y fallidos de acceso a los sistemas, datos y otros recursos de
tecnología.

16 | I D O P P R I L
  Correo electrónico

Las cuentas de correo electrónico oficiales provistas por la Gerencia de Tecnología y son para
propósitos exclusivos de las funciones oficiales. A continuación, se detalla el uso no adecuado
del correo electrónico:

 Está prohibido revisar, leer o interceptar cualquier tipo de comunicación electrónica del
XXXX, o de cualquier otra persona o entidad, sin el consentimiento expreso del
remitente y del destinatario de la comunicación.

 El usuario se abstendrá de suscribirse a listas de correo electrónico o de participar en

grupos noticiosos (newsgroups) que divulguen información o mensajes ajenos a las
funciones y deberes del IDOPPRIL.
 Existe una prohibición absoluta (cero tolerancia) a la utilización de la computadora o del
sistema de correspondencia electrónica para enviar, recibir o crear mensajes en cadena
y mensajes o documentos de contenido discriminatorio de ninguna manera por razón de
edad, raza, color, sexo, nacimiento, condición de veterano, ideología política o religiosa,
origen o condición social, orientación sexual o identidad de género, discapacidad o
impedimento físico o mental; ni por ser víctima de violencia doméstica, agresión sexual
o acecho.
 Está prohibido el manejo o transmisión de material obsceno, profano u ofensivo por
medio del sistema de computadoras o del sistema de comunicación electrónica del
IDOPPRIL. Esto incluye el acceso a materiales eróticos, broma de cualquier forma o
cualquier comentario o chiste que pueda propiciar el bullying, cyberbullying o que violen
las políticas comportamiento de Recursos Humanos
 EI usuario se abstendrá de enviar, vía correo electrónico, archivos que excedan la
capacidad de la cuota asignada.

Las políticas antes mencionadas sobre el uso del correo electrónico y auditorías de uso y
registro, tendrán igual aplicación para los otros servicios o funciones disponibles en Intranet e
Internet, tales como FTP y Chat, (véase Definiciones), entre otros.

V. DISPOSICION DE EQUIPOS Y LICENCIAS

Para disponer de equipos y licencias, cada unidad de trabajo llevará el proceso de acuerdo con el
Procedimiento de Disposición de Equipo. Antes de disponer los mismos, se debe realizar el proceso
de remoción de los programas, archivos y datos almacenados. Si el equipo contiene programas con
17 | I D O P P R I L
licencias que no se reinstalarán en otro equipo, se notifica al personal a cargo del inventario de las
mismas, para así mantener actualizado su información.

VI. PROCEDIMIENTO DE ELMININACION DE DATOS

Personal autorizado de la Gerencia de Tecnología preparará el formulario de registro para eliminación de

contenido de acuerdo con el siguiente procedimiento:

1. Seleccionar el método de remoción más adecuado.

2. Mantener un registro de la información del equipo al que se le removió su contenido.

Esto incluye:
a. Fecha en que se removió el contenido
b. Número de serie del equipo
c. Marca y modelo
d. Método de remoción o destrucción utilizado
e. Nombre de la persona que hizo el proceso de remoción
f. Firma de la persona que hizo el proceso de remoción

3. Entregar las licencias que contenía el equipo. La política de Manejo de Licencias de

Tecnología establece que se debe devolver las licencias que no están en uso. En el caso
de las licencias globales que le pertenecen, se notificará una vez se finalice el proceso de
remoción de contenido del equipo. Si los programas instalados en el equipo se van a
utilizar en otro equipo, no procede el proceso de devolución.
4. Decomisar el equipo que ya no se utilizará, luego de la remoción de su contenido. Si se
está disponiendo del equipo porque es obsoleto y no cumple con los criterios
anteriores, se llevará a cabo el proceso pertinente para decomisar dicho equipo,
conforme a la reglamentación vigente

VII. SERVICIOS PROFESIONALES O CONSULTORIA EXTERNA

La seguridad de los sistemas y la información que reside en ellos, aun cuando el manejo y el control
de parte o de todos los procesos sean delegados a un tercero, es responsabilidad y de dominio del
IDOPPRIL.

Todos los contratos con proveedores TIC deben incluir la responsabilidad que tienen los proveedores
de tratar los riesgos de seguridad de la información asociados con los servicios de tecnologías de la
18 | I D O P P R I L
información y comunicaciones y los productos de la cadena de suministro contratados con los
mismos.

 Identificación de riesgos del acceso de terceras partes

Cuando exista la necesidad de otorgar acceso a terceras partes a información del IDOPPRIL, se llevará
a cabo una evaluación de riesgos para determinar los requerimientos de controles específicos,
teniendo en cuenta lo siguiente:

 El tipo de acceso requerido (físico/lógico y los recursos específicos).

 La justificación para el acceso.

 El valor de la información.

 Los controles implantados por la tercera parte.

 El efecto, si alguno, de este acceso en la seguridad de la información del DE.

Para los servicios ofrecidos por contratistas que son realizados fuera de los predios del IDOPPRIL, es
necesario que se firme un acuerdo entre ambas partes. En todos los contratos se establecerán los
controles, requerimientos de seguridad y compromisos de confidencialidad aplicables al caso y los
permisos que se otorgarán, sin que se afecte el servicio contratado. Todo contrato debe contener
una cláusula de confidencialidad a tales efectos.

En ningún caso se otorgará acceso a la información, a las instalaciones de procesamiento u otras

áreas de servicios críticos a terceros, hasta tanto se hayan implementado los controles apropiados y
se haya firmado un contrato o acuerdo que defina las condiciones para la conexión o el acceso.

19 | I D O P P R I L
CONTROL DE LAS REVISIONES
Revisión Fecha Cambio en el Documento
01 Junio 2021 1. Creación de Políticas de Seguridad de la Información.

Estas políticas han sido elaboradas, revisadas y firmadas por la Gerencia de Tecnología en señal de aprobación
para la implementación

Elaborado por: Revisado por: Aprobado por: Versión

Encargado de Seguridad TI
001

Encargado de Operaciones TI Encargado de Operaciones TI Gerente de Tecnología

20 | I D O P P R I L
21 | I D O P P R I L
22 | I D O P P R I L