CONTRALORIA GENERAL DEL

DEPARTAMENTO DE CÓRDOBA

MANUAL DE POLÍTICAS Y

ESTÁNDARES DE SEGURIDAD

INFORMÁTICA

AÑO 2020

2

OMAR DARIO LOZANO FLOREZ

Contralor General del Departamento de Córdoba

JULIO LORA HERNANDEZ

Vicecontralor

ANA LORENA HOYOS SALGADO

Secretaria General

CESAR MIZGER PACHECO

Control Interno

GERARDO TAJAN LOPEZ

Profesional Universitario

3

INTRODUCCIÓN

Con la definición de las políticas y estándares de seguridad informática se busca establecer en el interior de la Entidad una cultura de calidad operando en una forma

confiable. La seguridad informática, es un proceso donde se deben evaluar y administrar los riesgos apoyados en políticas y estándares que cubran las

necesidades de la Contraloría General del Departamento de Córdoba en materia de seguridad.

Este documento, pretende, ser el medio de comunicación en el cual se establecen las reglas, normas, controles y procedimientos que regulen la forma en que la

Institución, prevenga, proteja y maneje los riesgos de seguridad en diversas circunstancias.

Toda persona que utilice los servicios que ofrece la red y los dispositivos informáticos, deberá conocer y aceptar el reglamento vigente sobre su uso, el

desconocimiento del mismo, no exonera de responsabilidad al usuario, ante cualquier eventualidad que involucre la seguridad de la información o de la red institucional.

Para el desarrollo de este manual se busca estructurarlo en base a ciertos criterios

tales como: • Seguridad Institucional

• Seguridad física y del medio ambiente

• Manejo y control Centro de Computo

• Control de usuarios

• Lineamientos legales

4

CONTENIDO 1. DESARROLLO GENERAL ............................................................................................ 6

1.1 Aplicación ............................................................................................................... 6

1.2 Evaluación de las Políticas .................................................................................. 6

2. SEGURIDAD INSTITUCIONAL ...................................................................................... 6

2.1 Usuarios Nuevos ................................................................................................... 6

2.2 Obligaciones de los Usuarios .............................................................................. 7

2.3 Capacitación en Seguridad Informática ............................................................. 7

3. SEGURIDAD FÍSICA Y DEL MEDIO AMBIENTE ......................................................... 7

3.1 Protección de la Información y de los Bienes Informáticos ............................ 7

3.2 Controles de Acceso Físico ................................................................................. 8

3.3 Seguridad en Áreas de Trabajo .......................................................................... 8

3.4 Protección y ubicación de los equipos ............................................................... 8

3.5 Mantenimiento de Equipos .................................................................................. 9

3.6 Pérdida de Equipo................................................................................................10

3.7 Uso de Dispositivos Extraíbles ...........................................................................10

3.8 Daño del equipo ...................................................................................................11

4. ADMINISTRACIÓN DE OPERACIONES EN LOS CENTROS DE CÓMPUTO ..........11

4.1 Políticas de los Centros de Cómputos ...................................................................11

4.2 Uso de Medios de Almacenamiento ............................................................................12

4.3 Adquisicion de Sotfware .............................................................................................12

4.4 Identificacion de Incidentes ........................................................................................13

4.5 Administracion de la Red............................................................................................13

4.6 Seguridad de la Red ..................................................................................................14

4.7 Uso del Correo Electrónico .........................................................................................14

4.8 Controles Contra Virus o Sotfware Malicioso ...............................................................17

5

4.9 Controles para la Generacion y Restauracion de Copias de Respaldo (Backups) ..........19

4.10 Internet .....................................................................................................................19

5. ACCESO LÓGICO .........................................................................................................20

5.1 Controles de Acceso Logico .......................................................................................20

5.2 Administracion de Privilegios ......................................................................................21

5.3 Equipo Desatendido...................................................................................................21

5.4 Administracion y Uso de Contraseñas .........................................................................21

5.5 Controles para Otorgar, Modificar, y Retirar Accesos a Usuarios ..................................22

5.6 Control de Acceso Remoto .........................................................................................22

6. CUMPLIMIENTO DE SEGURIDAD INFORMÁTICA ....................................................22

7. CLÁUSULAS DE CUMPLIMIENTO ..............................................................................22

8. VIOLACIONES DE SEGURIDAD INFORMÁTICA .......................................................22

9. ACUERDO DE CONFIDENCIALIDAD ................................................................23

6

1. DESARROLLO GENERAL

1.1 Aplicación

Las políticas y estándares de seguridad informática tienen por objeto establecer

medidas y patrones técnicos de administración y organización de las Tecnologías de Información y Comunicaciones TIC's de todo el personal comprometido en el uso

de los servicios informáticos proporcionados por el Proceso Administración del Recurso físico – Tecnología de la Información y Comunicaciones de la Contraloría General del Departamento de Córdoba, adoptado mediante la Resolución N° 0187

del 07 de mayo de 2015.

El presente manual se convierte en una herramienta de difusión sobre las políticas y estándares de seguridad informática a todo el personal de CGDC. Facilitando una mayor integridad, confidencialidad y confiabilidad de la información generada por el

Área Tecnología de la Información y comunicaciones, al manejo de los datos, al uso de los bienes informáticos tanto de hardware como de software disponible,

minimizando los riesgos en el uso de las tecnologías de información.

1.2 Evaluación de las Políticas

Las políticas tendrán una revisión periódica, se recomienda que sea anual para

realizar actualizaciones, modificaciones y ajustes basados en las recomendaciones y sugerencias. Las políticas y estándares de seguridad informática establecidas en el presente documento son la base fundamental para la protección de los activos

informáticos y de toda la información de las Tecnologías de Información y Comunicaciones (TIC's) en la Entidad.

2. SEGURIDAD INSTITUCIONAL

Política: Todo el personal usuario de la infraestructura tecnológica de la

CONTRALORÍA GENERAL DEL DEPARTAMENTO DE CÓRDOBA debe aceptar las condiciones de confidencialidad, de uso adecuado de los bienes informáticos y

de la información, así como cumplir y respetar al pie de la letra las directrices impartidas en el presente Manual de Políticas y Estándares de Seguridad

Informática para Usuarios.

2.1 Usuarios Nuevos

Los funcionarios nuevos de la entidad, deberán ser notificados al Área de

Tecnología de la Información y las Comunicaciones, para asignarle los derechos correspondientes: Equipo de Cómputo, Creación de Usuario para la Red, Perfil de

7

usuario en el Directorio Activo, creación de cuenta de correo institucional o en caso

de retiro del funcionario, anular y cancelar los derechos otorgados como usuario informático.

2.2 Obligaciones de los Usuarios

Es responsabilidad de los usuarios de bienes y servicios informáticos cumplir las Políticas y Estándares de Seguridad Informática establecidos en el presente

Manual.

2.3 Capacitación en Seguridad Informática

Los funcionarios recibirán reinducción en el evento que se realicen modificaciones

o se establezcan política nuevas acerca de la seguridad informática de la CGDC.

Todo servidor o funcionario nuevo en la CONTRALORÍA GENERAL DEL

DEPARTAMENTO DE CÓRDOBA deberá contar con la inducción sobre las Políticas y Estándares de Seguridad Informática Manual de Usuarios, donde se den

a conocer las obligaciones para los usuarios y las sanciones en que pueden incurrir en caso de incumplimiento.

3. SEGURIDAD FÍSICA Y DEL MEDIO AMBIENTE

El acceso a los sitios y áreas restringidas se debe notificar al Área de Tecnología de la Información y las comunicaciones para la autorización correspondiente, y así proteger la información y los bienes informáticos de la entidad.

3.1 Protección de la Información y de los Bienes Informáticos

3.1.1 El usuario o funcionario deberán reportar de forma inmediata al Área de Tecnología de la Información y las comunicaciones cuando se detecte riesgo alguno

real o potencial sobre equipos de cómputo o de comunicaciones, tales como caídas de agua, choques eléctricos, caídas o golpes o peligro de incendio.

3.1.2 El usuario o funcionario tienen la obligación de proteger las unidades de almacenamiento que se encuentren bajo su responsabilidad, aun cuando no se

utilicen y contengan información confidencial o importante.

3.1.3 Es responsabilidad del usuario o funcionario evitar en todo momento la fuga de información de la entidad que se encuentre almacenada en los equipos de cómputo personal que tenga asignados.

3.1.4 Cada usuario tiene acceso al servidor de Backup, para realizar copias de seguridad de la información que considere relevante.

8

3.2 Controles de Acceso Físico

3.2.1 Las personas que tenga acceso a las instalaciones de la CONTRALORÍA GENERAL DEL DEPARTAMENTO DE CÓRDOBA, deberá registrar al momento de su entrada, el equipo de cómputo, equipo de comunicaciones, medios de

almacenamiento y herramientas que no sean propiedad de la entidad, en el área de recepción o portería, el cual podrán retirar el mismo día. En caso contrario deberá

tramitar la autorización de salida correspondiente.

3.2.2 Las computadoras portátiles, y cualquier activo de tecnología de información,

podrá ser retirado de las instalaciones de la CONTRALORÍA GENERAL DEL DEPARTAMENTO DE CÓRDOBA únicamente con la autorización de salida del

Área que lo tenga a cargo según inventario, anexando el comunicado de autorización del equipo debidamente firmado por el Responsable de cada Proceso, en ausencia de éstos, la autorización será realizada por el funcionario responsable

de la Secretaría General.

3.3 Seguridad en Áreas de Trabajo

El Área de Tecnología de la Información y las comunicaciones de la CONTRALORÍA

GENERAL DEL DEPARTAMENTO DE CÓRDOBA, es un área restringida, por lo que solo el personal autorizado puede acceder a ella.

3.4 Protección y ubicación de los equipos

3.4.1 Los usuarios no deben mover o reubicar los equipos de cómputo o de comunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos

sin la autorización del Área de Tecnología de la Información y las comunicaciones, en caso de requerir este servicio deberá solicitarlo.

3.4.2 El equipo de cómputo asignado, deberá ser para uso exclusivo de las funciones de los funcionarios de la CONTRALORÍA GENERAL DEL

DEPARTAMENTO DE CÓRDOBA.

3.4.3 Sera responsabilidad del funcionario solicitar la capacitación necesaria para el

manejo de las herramientas informáticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para aprovechar al máximo las mismas.

3.4.4 Es responsabilidad de los funcionarios almacenar su información en la carpeta ubicada en escritorio con su nombre, ligada a la red de la CONTRALORÍA

GENERAL DEL DEPARTAMENTO DE CÓRDOBA con el fin de realizar Backup de la información.

3.4.5 Mientras se utiliza el equipo de cómputo, no se deberán consumir alimentos o

9

ingerir líquidos.

3.4.6 Se debe evitar colocar objetos encima del equipo de cómputo o tapar las

salidas de ventilación del monitor o de la CPU.

3.4.7 Se debe mantener el equipo informático en un lugar limpio y sin humedad.

3.4.8 El usuario debe asegurarse que los cables de conexión no sean pisados al colocar otros objetos encima, en caso de que se presente, solicitar una reubicación

de cables con el personal del Área de Tecnología de la Información y las Comunicaciones.

3.4.9 Cuando se requiera realizar cambios múltiples de los equipos de cómputo derivado de reubicación de lugares físicos de trabajo o cambios locativos, estos

deberán ser notificados con anticipación al Área Tecnología de la Información y Comunicaciones, a través de un plan detallado.

3.4.10 Queda terminantemente prohibido que el usuario o funcionario distinto al personal del Área de Tecnología de la Información y las comunicaciones o que no

esté autorizada por esta, abra o destape los equipos de cómputo. 3.5 Mantenimiento de Equipos

3.5.1 Únicamente el personal autorizado por el Área de Tecnología de la

Información y las Comunicaciones, podrá llevar a cabo los servicios y reparaciones al equipo informático.

3.5.2 Los funcionarios deberán asegurarse de resguardar en copias de respaldo o backups la información que consideren relevante cuando el equipo sea enviado a

reparación y borrar aquella información sensible que se encuentre en el equipo, previendo así la perdida involuntaria de información, derivada del proceso de reparación.

3.5.3 EL personal autorizado por el Área de Tecnología de la Información y

comunicaciones realizara Mantenimiento Preventivo, a los equipos de cómputos, por lo menos una vez al año.

3.6 Pérdida de Equipo

3.6.1 El servidor o funcionario que tengan bajo su responsabilidad o asignados

algún equipo de cómputo, será responsable de su uso y custodia; en consecuencia, responderá por dicho bien de acuerdo a la normatividad vigente

en los casos de robo, extravío o pérdida del mismo.

10

3.6.2 El préstamo de laptops o portátiles, proyector, escáner, cámaras fotográfica,

videocámaras u otro equipo informático, tendrá que solicitarse a la Oficina o Dependencia que los tenga asignados, con el visto bueno del Secretario General

de la entidad. 3.6.3 El servidor o funcionario deberán dar aviso inmediato al Área de Tecnología

de la Información y Comunicaciones, y a la Secretaría General de la desaparición, robo o extravío de equipos de cómputo, periféricos o accesorios bajo su

responsabilidad.

3.7 Uso de Dispositivos Extraíbles

3.7.1 El Área de Tecnología de la Información y las comunicaciones de la CONTRALORÍA GENERAL DEL DEPARTAMENTO DE CÓRDOBA, velará porque todos los usuarios de los sistemas de Información estén registrados en su Base de

Datos para la autorización de uso de dispositivos de almacenamiento externo, como Pen Drives o Memorias USB, Discos portátiles, Unidades de Cd y DVD Externos,

para el manejo y traslado de información o realización de copias de seguridad o Backups.

3.7.2 Cada responsable de proceso debe reportar al Área de Tecnología de la Información y las Comunicaciones, el listado de funcionarios a su cargo que

manejan estos tipos de dispositivos, especificando clase, tipo y uso determinado.

3.7.3 El uso de los quemadores externos o grabadores de disco compacto es exclusivo para Backups o copias de seguridad de software y para respaldos de

información que por su volumen así lo justifiquen.

3.7.4 El servidor o funcionario que tengan asignados estos tipos de dispositivos serán responsable del buen uso de ellos.

3.7.5 Si algún área o dependencia por requerimientos muy específicos del tipo de

aplicación o servicios de información tengan la necesidad de contar con uno de ellos, deberá ser justificado y autorizado por el Área de Tecnología de la Información

y las comunicaciones con el respectivo visto bueno del Secretario General o en su defecto de su Jefe inmediato o un superior de la Alta Dirección.

3.7.6 Todo funcionario o servidor de la CONTRALORÍA GENERAL DEL

DEPARTAMENTO DE CÓRDOBA deberá reportar al Área de Tecnología de la Información y las Comunicaciones el uso de las memorias USB asignados para su trabajo y de carácter personal y responsabilizarse por el buen uso de ellas.

3.8 Daño del Equipo

3.8.1 En el caso de que el equipo de cómputo, periférico o accesorio de tecnología de información que sufra algún daño por mal uso, descuido o negligencia por parte

11

del usuario responsable, a este se le iniciará un proceso de descargos por el

incumplimiento de las políticas de seguridad.

4. ADMINISTRACIÓN DE OPERACIONES EN LOS CENTROS DE CÓMPUTO 4.1 Políticas de los Centros de Cómputos

Los usuarios y funcionarios deberán proteger la información utilizada en la

infraestructura tecnológica de la CONTRALORÍA GENERAL DEL DEPARTAMENTO DE CÓRDOBA. De igual forma, deberán proteger la información reservada o confidencial que por necesidades institucionales deba ser guardada,

almacenada o transmitida, ya sea dentro de la red interna institucional a otras dependencias de sedes alternas o redes externas como internet.

4.1.1 Los usuarios y funcionarios de la CONTRALORÍA GENERAL DEL DEPARTAMENTO DE CÓRDOBA que hagan uso de equipos de cómputos, deben

conocer y aplicar las medidas para la prevención de código malicioso como pueden ser virus, caballos de Troya o gusanos de red.

4.1.2 El Área de Tecnología de la Información y las Comunicaciones en cabeza del Profesional Universitario, establece las políticas y procedimientos administrativos

para regular, controlar y describir el acceso de visitantes o funcionarios no autorizados a las instalaciones de cómputo restringidas.

4.1.3 Cuando un funcionario no autorizado requiera ingresar al área donde se encuentren los Servidores, debe solicitar mediante comunicado interno

debidamente firmada y autorizado por el Jefe inmediato de su sección o dependencia y para un visitante se debe solicitar la visita con anticipación, la cual debe traer el visto bueno de la Secretaría General donde se especifique tipo de

actividad a realizar y siempre contar con la presencia de un funcionario del Área de Tecnología de la Información y las comunicaciones.

4.1.4 El Profesional del Área de Tecnología de la Información y las Comunicaciones

deberá llevar un registro escrito de todas las visitas autorizadas a los Centros de Cómputo restringidos.

4.1.5 Todo equipo informático ingresado a los Centros de Cómputo restringidos deberá ser registrado en el libro de visitas.

4.1.6 Cuando se vaya a realizar un mantenimiento en algunos de los equipos del

Centro de Cómputo restringido, se debe dar aviso con anticipación a los usuarios para evitar traumatismos.

4.1.7 El Profesional del Área de Tecnología de la Información y las Comunicaciones deberá solicitar a la Secretaría General, los equipos de protección para las

12

instalaciones contra incendios, inundaciones, sistema eléctrico de respaldo, UPS.

4.2 Uso de Medios de Almacenamiento

4.2.1 Los usuarios y servidores de la CONTRALORIA GENERAL DEL DEPARTAMENTO DE CÓRDOBA deben conservar los registros o la información

que se encuentra activa y aquella que ha sido clasificada como reservada o confidencial.

4.2.2 Las actividades que realicen los usuarios y funcionarios en la infraestructura Tecnológica de la CONTRALORIA GENERAL DEL DEPARTAMENTO DE

CÓRDOBA serán registradas y podrán ser objeto de auditoria.

4.3 Adquisición de Software

4.3.1 Los usuarios y funcionarios que requieran la instalación de software que no

sea propiedad de la CONTRALORIA GENERAL DEL DEPARTAMENTO DE CÓRDOBA, deberán justificar su uso y solicitar su autorización por el Área de

Tecnología de la Información y las comunicaciones, con el visto bueno de su Jefe inmediato, indicando el equipo de cómputo donde se instalara el software y el periodo de tiempo que será usado.

4.3.2 Se considera una falta grave el que los usuarios o funcionarios instalen

cualquier tipo de programa (software) en sus computadoras, estaciones de trabajo, servidores, o cualquier equipo conectado a la red de la CONTRALORIA GENERAL DEL DEPARTAMENTO DE CÓRDOBA, que no esté autorizado por el Área de

Tecnología de la Información y las Comunicaciones.

4.3.3 El Área de Tecnología de la Información y las Comunicaciones, tiene a su cargo la tarea de informar periódicamente a los funcionarios su política institucional

contra la piratería de software, utilizando todos los medios de comunicación disponibles: Pagina WEB, Emails, Carteleras y Boletines. Se debe considerar

también la publicación de las posibles sanciones o multas en los que se puede incurrir.

4.3.4 El control de manejo para las licencias y el inventario de los Medios, paquete de CD's, medios virtuales, será responsabilidad del Profesional Universitario del

Área de Tecnología de la Información y las comunicaciones. 4.3.5 En el proceso de reinstalar un programa el Profesional Universitario del Área

de Tecnología de la Información y las comunicaciones, deberá borrar completamente la versión instalada para luego proceder a instalar la nueva versión

que desea, esto siempre y cuando no sea una actualización del mismo.

13

4.4 Identificación del Incidente

4.4.1 El usuario o funcionario que detecte o tenga conocimiento de la posible

ocurrencia de un incidente de seguridad informática deberá reportarlo al Área de Tecnología de la Información y las Comunicaciones lo antes posible, indicando claramente los datos por los cuales lo considera un incidente de seguridad

informática.

4.4.2 Cuando exista la sospecha o el conocimiento de que información confidencial o reservada ha sido revelada, modificada, alterada o borrada sin la autorización de los jefes, responsables de proceso o alta dirección, el usuario o funcionario deberá

notificar al Área de Tecnología de la Información y las comunicaciones.

4.4.3 Cualquier incidente generado durante la utilización u operación de los activos de tecnología de información de la CONTRALORIA GENERAL DEL DEPARTAMENTO DE CÓRDOBA debe ser reportado al Área de Tecnología de la

Información y las comunicaciones.

4.5 Administración de la Red

4.5.1 Los usuarios de las áreas de la CONTRALORIA GENERAL DEL

DEPARTAMENTO DE CÓRDOBA no deben establecer redes de área local, conexiones remotas a redes internas o externas, intercambio de información con otros equipos de cómputo utilizando el protocolo de transferencia de archivos (FTP),

u otro tipo de protocolo para la transferencia de información empleando la infraestructura de red de la entidad, sin la autorización del Área de Tecnología de

la Información y las comunicaciones.

4.6 Seguridad de la Red

4.6.1 Sera considerado como un ataque a la seguridad informática y una falta

grave, cualquier actividad no autorizada por el Área de Tecnología de la Información y las Comunicaciones, en la cual los usuarios o funcionarios realicen la exploración de los recursos informáticos en la red de la CONTRALORIA GENERAL DEL

DEPARTAMENTO DE CÓRDOBA, así como de las aplicaciones que sobre dicha red operan, con fines de detectar y explotar una posible vulnerabilidad.

4.7 Uso del Correo Electrónico

4.7.1 El sistema de correo electrónico institucional de la GGDC debe ser usado únicamente para propósitos laborales.

4.7.2 Los usuarios del correo electrónico institucional no deben enviar mensajes personales u ofensivos; injuriosos, cadenas de mensajes o mensajes que se

relacionen con actividades ilegales y no éticas, o que atenten contra el buen nombre de la entidad.

14

4.7.3 El servicio de correo electrónico de la entidad no debe ser utilizado para enviar correo basura (Spam).

4.7.4 Previo al reenvío de un correo institucional a entes diferentes a los que se encuentran interviniendo en la comunicación, el usuario debe asegurarse de que se

ha realizado una validación de pertinencia de dicha acción, manteniéndose así la confidencialidad de la información.

4.7.5 Los mensajes de correo electrónico deben ser considerados como documentos formales y deben respetar los lineamientos y recomendaciones para

dicho tipo de documentos, tales como:

Iniciar su correo con un saludo formal. Ejemplo: Buenos días Adriana. Cordial saludo.

- Nombrar al destinatario de correo por su nombre o profesión. - Evitar tutear. - Evitar el uso de palabras que puedan resultar ofensivas. - Escribir puntualmente. No extenderse demasiado. - Al final del correo agradecer por la atención prestada y firmar con los requerimientos establecidos para la firma electrónica institucional (ver al final).

4.7.6 Los usuarios de correo electrónico institucional que identifiquen en su correo contenido sospecho o con posibles virus, deben notificarlo al Área de Tecnología

de la Información y las comunicaciones, enviando un correo electrónico a soporte@contraloriadecordoba.gov.co.

4.7.7 Los correos electrónicos institucionales deben estar escritos en las fuentes Arial, tamaño 10.

4.7.8 El texto debe estar escrito únicamente en color negro.

4.7.9 No se debe escribir en mayúsculas, ya que puede ser interpretado como un grito u ofensa.

4.7.10 Los correos enviados no deben tener ningún color o imagen sobre el fondo en el que se escribe el mensaje.

4.7.11 Los usuarios y funcionarios deben tratar los mensajes de correo electrónico y archivos adjuntos como información de propiedad de la CONTRALORIA

GENERAL DEL DEPARTAMENTO DE CÓRDOBA. Los mensajes de correo electrónico deben ser manejados como una comunicación privada y directa entre emisor y receptor.

4.7.12 Los usuarios podrán enviar información reservada y/o confidencial vía correo

electrónico siempre y cuando vayan de manera encriptado y destinada

15

exclusivamente a personas autorizadas y en el ejercicio estricto de sus funciones y

responsabilidades.

4.7.13 Cada funcionario debe hacer Backup del archivo de almacenamiento de los correos, archivo normalmente ubicado en mis documentos como se muestra en la imagen, o donde el Área de Tecnología de la Información y las Comunicaciones

haya realizado la instalación. Este archivo debe ser guardado en la carpeta que se encuentra en escritorio de su equipo de cómputo con el nombre de cada funcionario,

donde se guarda la información para Backups.

4.7.14 Firma del correo institucional

Cada Funcionario de la Contraloría General Departamental de Córdoba deberá

tener una firma en el correo electrónico institucional. Las firmas se presentarán en el siguiente orden:

- Logos de la Contraloría y del proceso de acreditación institucional (adjuntos en este correo).

- Nombre completo y apellidos - Cargo - Dependencia - Nombre de la Institución - Teléfono de contacto - Dirección de la Contraloría - Correo electrónico - Página Web www.contraloriadecordoba.gov.co

- Logos Incentivando el cuidado del Medio ambiente y texto haciendo referencia al gasto de papel al imprimir los correos, como se ve en el

ejemplo. Ejemplo:

Cordialmente,

16

GERARDO TAJAN LOPEZ Soporte Sistemas Dependencia Secretaría General Contraloría General Del Departamento de Córdoba Teléfono: 7820173 Ext. 1008 Dirección: Calle 25 Carrera 8 – 54 .Montería, Colombia E-mail: soporte@contraloriadecordoba.gov.co Página Web: www.contraloriadecordoba.gov.co

Antes de imprimir, piensa si es realmente necesario, podrás evitar la emisión de hasta 7 Kg. de CO2 al año. Si mucho papel quieres gastar, muchos árboles hay que sembrar. Colabora con el medio ambiente.

4.7.15 No debe abreviar el nombre de la dependencia de la Contraloría ni omitir partes del mismo.

4.7.16 Para mayor seguridad, incluya en la configuración de su firma de correo los

siguientes párrafos que advierten que los contenidos que se incluyan en sus correos solo podrán ser utilizados por los destinatarios de los mismos. El siguiente texto tanto en español como en inglés, debe pegarlo después de los datos de su firma,

en la fuente Arial, tamaño 8. IMPORTANTE: Este documento es propiedad de la Contraloría General del Departamento de Córdoba, y puede contener información privilegiada, confidencial o sensible. Por tanto, usar esta información y sus anexos para propósitos ajenos al ejercicio del Control Fiscal en Colombia, divulgarla a personas a las cuales no se encuentre destinado este correo o reproducirla total o parcialmente, se encuentra prohibido por la legislación vigente. La Contraloría General del Departamento

de Córdoba, no asumirá responsabilidad ni su institucionalidad se verá comprometida si la información, opiniones o criterios contenidos en este correo que no están directamente relacionados con los mandatos constitucionales que le fueron asignados. Las opiniones que contenga este mensaje son exclusivas de su autor. El acceso al contenido de este correo electrónico por cualquier otra persona diferente al destinatario no está autorizado por la Contraloría General del Departamento

de Córdoba. El que ilícitamente sustraiga, oculte, extravíe, destruya, intercepte, controle o impida esta comunicación, antes de llegar a su destinatario, estará sujeto a las sanciones penales correspondientes. Los servidores públicos que reciban este mensaje están obligados a asegurar y mantener la confidencialidad de la información en él contenida y en general, a cumplir con los deberes de custodia, cuidado, manejo y demás previstos en el estatuto disciplinario. Si por error recibe este mensaje,

le solicitamos enviarlo de vuelta a la Contraloría General del Departamento de Córdoba a la dirección del emisor o a soporte@contraloriadecordoba.gov.co y borrarlo de sus archivos electrónicos o destruirlo. El receptor deberá verif icar posibles virus informáticos que tenga el correo o cualquier anexo a él, razón por la cual la Contraloría General del

Departamento de Córdoba no aceptará responsabilidad alguna por daños causados por cualquier virus transmitido en este correo. CONFIDENTIALITY: This document is ow ned by the Contraloría General del Departamento de Córdoba, and may be

privileged, confidential or sensitive information. Therefore, using this information and its annexes in other than the Fiscal Control in Colombia purposes, to disclose it to people they do not f ind this mail intended or reproduce in w hole or in part, it´s prohibited by law . The Contraloría General del Departamento de Córdoba, no liability nor it´s institutions w ill be compromised if the information, opinions or criteria contained in this mail that are not directly related to the constitutional mandates that were

assigned to him. The opinions that contains this message are solely those of it´s author. Access to the contents of this email by anyone else other than the recipient is not authorized by the Contraloría General del Departamento de Córdoba. Whoever unlaw fully removes, hides, lost, destroys, intercepts, monitors or impedes this communication, before reaching it´s destination,

17

be subject to appropriate penalties. Public servants w ho receive this message are required to ensure and maintain the

confidentiality of the information contained here in and in general, to fulf ill the duties of custody, care, handling and other provided in the disciplinary statute. If you receive this message by mistake, please send it back to the Cotraloría General del Departamento de Cordoba to the address of the sender or to soporte@contraloriadecordoba.gov.co and delete it from your electronic f iles or destroy it. The receiver should check computer viruses have the mail or any attachments to it, w hich is w hy

the Contraloría General del Departamento de Córdoba w ill not accept any liability for damages caused by any virus transmitted by this email.

4.8 Controles Contra Virus o Software Malicioso

4.8.1 Para revisar si el antivirus se actualiza correctamente, seleccione el icono de su programa antivirus Kaspersky Endpoint Security 10 que se encuentra en la barra

de herramientas y presione el botón izquierdo del Mouse sobre este. (Icono ). Escogen la opción Kaspersky Endpoint Security 10, y en el cuadro que se

despliega, en la parte inferior hay una opción Tarea, se da clic a la flechita y luego

en la opción Evento de Actualización, click derecho y se da click en la opción Iniciar la Actualización; el proceso conectado a Internet realiza la actualización en forma automática.

Puede que este proceso ponga un poco más lenta a la máquina, pero por ningún motivo interrumpa la actualización. Una vez terminada la actualización el programa le indicara que la base de firmas queda actualizada.

4.8.2 Para prevenir infecciones por virus informático, los usuarios de la CONTRALORÍA GENERAL DEPARTAMENTAL DE CÓRDOBA no deben hacer

uso de software que no haya sido proporcionado y validado por el Área de Tecnología de la Información y comunicaciones.

4.8.3 Los funcionarios de la CONTRALORÍA GENERAL DEPARTAMENTAL DE CÓRDOBA deben verificar que la información y los medios de almacenamiento,

estén libres de cualquier tipo de código malicioso, para lo cual deben ejecutar el software antivirus autorizado por la el Área de Tecnología de la Información y las

comunicaciones.

4.8.4 Todos los archivos de computadores que sean proporcionados por personal

externo o interno, tales como programas de software, bases de datos, documentos

18

y hojas de cálculo que tengan que ser descomprimidos, el usuario debe verificar

que estén libres de virus utilizando el software antivirus autorizado antes de ejecutarse.

4.8.5 Ningún funcionario o personal externo, podrá bajar o descargar software de sistemas, boletines electrónicos, sistemas de correo electrónico, de mensajería

instantánea y redes de comunicaciones externas, sin la debida autorización del Área de Tecnología de la Información y las comunicaciones.

4.8.6 Cualquier usuario que sospeche de alguna infección por virus de computadores, deberá dejar de usar inmediatamente el equipo y notificar al Área

de Tecnología de la Información y las Comunicaciones para la revisión y erradicación del virus. El icono del Kaspersky Endpoint Security 10 debe

permanecer siempre en rojo, si usted observa dicho icono en otro color o con una señal de advertencia amarilla a su lado, favor avisar inmediatamente al Área de Tecnología de la Información y las comunicaciones, para que se haga la revisión

correspondiente.

4.8.7 Los usuarios no deberán alterar o eliminar, las configuraciones de seguridad para detectar y/o prevenir la propagación de virus que sean implantadas por el Área de Tecnología de la Información y las comunicaciones en: Antivirus, Outlook, office,

Navegadores u otros programas.

4.8.8 Debido a que algunos virus son extremadamente complejos, ningún funcionario de la CONTRALORÍA GENERAL DEPARTAMENTAL DE CÓRDOBA, distinto al personal del Área de Tecnología de la Información y las Comunicaciones

deberá intentar erradicarlos de las computadoras.

4.9 Controles Para la Generación y Restauración de Copias de Respaldo (

Backups)

Procedimiento de generación y restauración de copias de respaldo para

salvaguardar la información crítica de los procesos significativos de la entidad. Se deberán considerar como mínimo los siguientes aspectos:

4.9.1 Establecer como medida de seguridad informática la necesidad de realizar copias de respaldo o backups periódicamente en los equipos de cómputo

administrativos y servidores.

4.9.2 Cada funcionario es responsable directo de la generación de los backups o

copias de respaldo, asegurándose de validar la copia. También puede solicitar asistencia técnica para la restauración de un backups.

4.9.3 Conocer y manejar el procedimiento utilizado para la generación y/o

19

restauración de copias de respaldo, registrando el contenido y su prioridad, rotación

de las copias de respaldo, debidamente marcadas. Almacenamiento interno o externo de las copias de respaldo, o verificar si se cuenta con custodia para ello.

Las copias deben quedar guardadas en la Carpeta con el nombre del Funcionario ubicada en el escritorio del equipo de cómputo asignado a cada uno.

Se debe copiar la carpeta y pegar en la carpeta descrita con anterioridad, esto con el fin de conservar los Backups para cada funcionario. Se debe guardar en la

carpeta los archivos que semanalmente se están trabajando y actualizando, y de manera mensual crear una carpeta con el mes y año de actualización para llevar un record de los backups. El Área de Tecnología de la Información y las

Comunicaciones, se encargará de realizar el backup de las bases de datos de los aplicativos, los cuales deben permanecer en una unidad diferente a la del servidor

de aplicación.

4.10 Internet

4.10.1 El acceso a Internet provisto a los funcionarios de la CONTRALORÍA

GENERAL DEPARTAMENTAL DE CÓRDOBA es exclusivamente para las actividades relacionadas con las necesidades del cargo y funciones desempeñadas.

4.10.2 Todos los accesos a Internet tienen que ser realizados a través de los canales de acceso provistos por la CONTRALORÍA GENERAL DEPARTAMENTAL DE

CÓRDOBA, en caso de necesitar una conexión a Internet alterna o especial, esta debe ser notificada y aprobada por el Área de Tecnología de la Información y las Comunicaciones.

4.10.3 Los usuarios de Internet de la CONTRALORÍA GENERAL

DEPARTAMENTAL DE CÓRDOBA tienen que reportar todos los incidentes de seguridad informática al área de Tecnología de la Información y las comunicaciones inmediatamente después de su identificación, indicando claramente que se trata de

un incidente de seguridad informática.

4.10.4 Los usuarios del servicio de navegación en Internet, al aceptar el servicio están aceptando que:

- Serán sujetos de monitoreo de las actividades que realiza en Internet. - Saben que existe la prohibición al acceso de páginas no autorizadas.

- Saben que existe la prohibición de transmisión de archivos reservados o confidenciales no autorizados. - Saben que existe la prohibición de descarga de software sin la autorización

de la Oficina de Sistemas. - La utilización de Internet es para el desempeño de sus funciones y cargo en

la CONTRALORÍA GENERAL DEPARTAMENTAL DE CÓRDOBA y no para propósitos personales.

20

5. ACCESO LÓGICO

Cada usuario o funcionario es responsables de los mecanismos de control de acceso que les sean proporcionados; esto es, de su " I D " login de usuario y contraseña, necesarios para acceder a la red interna de información y a la

infraestructura tecnológica de la CONTRALORÍA GENERAL DEPARTAMENTAL DE CÓRDOBA, por lo que se deberá mantener de forma confidencial. El permiso

de acceso a la información que se encuentra en la infraestructura tecnológica de la CONTRALORÍA GENERAL DEPARTAMENTAL DE CÓRDOBA, debe ser proporcionado por el dueño de la información, con base en el principio de "Derechos

de Autor" el cual establece que únicamente se deberán otorgar los permisos mínimos necesarios para el desempeño de sus funciones.

5.1 Controles de Acceso Lógico

5.1.1 Todos los funcionarios que utilizan servicios de información son responsables por el usuario y contraseña que reciben para el uso y acceso de los recursos.

5.1.2 Todos los usuarios deberán autenticarse por los mecanismos de control de acceso provistos por el Área de Tecnología de la Información y las comunicaciones

antes de poder usar la infraestructura tecnológica de la CONTRALORÍA GENERAL DEPARTAMENTAL DE CÓRDOBA.

5.1.3 Los usuarios no deben proporcionar información a personal externo, de los mecanismos de control de acceso a las instalaciones e infraestructura tecnológica

de la CONTRALORÍA GENERAL DEPARTAMENTAL DE CÓRDOBA, a menos que se tenga el visto bueno del dueño de la información y del Área de Tecnología de la

Información y las Comunicaciones y la autorización del Secretario General o de su Jefe inmediato. Todo debe quedar por escrito con mínimo 2 de las firmas de funcionarios aquí descritos.

5.1.4 Los usuarios y funcionarios son responsables de todas las actividades

realizadas con su usuario. Los funcionarios no deben divulgar ni permitir que otros utilicen sus identificadores de usuario, al igual que tiene prohibido utilizar usuario de otros funcionarios, solo en caso que se autorice como en la norma anterior.

5.2 Administración de Privilegios

5.2.1 Cualquier cambio en los roles y responsabilidades de los usuarios deberán ser

notificados al Área de Tecnología de la Información y las Comunicaciones (Administrador de la Red), para el cambio de privilegios.

21

5.3 Equipo Desatendido

5.3.1 Los usuarios deberán mantener sus equipos de cómputo con controles de

acceso como contraseñas y protectores de pantalla (screensaver) previamente instalados y autorizados por el Área de Tecnología de la Información y las Comunicaciones cuando no se encuentren en su lugar de trabajo.

5.4 Administración y Uso de Contraseña

5.4.1 La asignación de contraseñas debe ser realizada de forma individual, por lo que el uso de contraseñas compartidas está prohibido.

5.4.2 La Contraseña caduca cada mes, para tener mayor seguridad, al vencer

cuando el funcionario va a iniciar sesión se le pide que cambie la contraseña digitando la contraseña que tiene actualmente, y digitando la nueva contraseña, pide confirmación de la nueva contraseña. La contraseña debe contener como

mínimo 7 caracteres entre letras y números, y no debe ser similares a las contraseñas anteriores ya que el sistema guarda un historial de contraseñas e

impide asignar contraseñas utilizadas en el pasado por seguridad. 5.4.3 Cuando un funcionario olvide, bloquee o extravíe su contraseña, deberá acudir

al Área de Tecnología de la Información y las Comunicaciones para que se le proporcione una nueva contraseña.

5.4.4 Está prohibido que las contraseñas se encuentren de forma legible en cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas

puedan descubrirlos.

5.4.5 Sin importar las circunstancias, las contraseñas nunca se deben compartir o revelar, hacer esto responsabiliza al usuario que presto su contraseña de todas las acciones que se realicen con el mismo.

5.4.6 Todo usuario que tenga la sospecha de que su contraseña es conocido por

otra persona, deberá cambiarlo inmediatamente.

5.4.7 Los usuarios no deben almacenar las contraseñas en ningún programa o

sistema que proporcione esta facilidad.

5.5 Controles para Otorgar, Modificar y Retirar Accesos a Usuarios

5.5.1 Cualquier nuevo rol creado para funcionarios nuevos se deberá analizar y

concertar con el Área de Tecnología de la Información y las Comunicaciones, Secretaría General y Control Interno.

22

5.5.2 El profesional Universitario del Área de Tecnología de la Información y las

comunicaciones, será responsable de ejecutar los movimientos de altas, bajas o cambios de perfil de los usuarios.

5.6 Control de accesos remotos

5.6.1 La administración remota de equipos conectados a Internet no está permitida, salvo que se cuente con el visto bueno y con un mecanismo de control de acceso

seguro autorizado por el dueño de la información y del Área de Tecnología de la Información y las comunicaciones.

6. CUMPLIMIENTO DE SEGURIDAD INFORMÁTICA

El Área de Tecnología de la Información y Comunicaciones tiene como una de sus funciones la de proponer y revisar el cumplimiento de normas y políticas de seguridad, que garanticen acciones preventivas y correctivas para la salvaguarda

de equipos e instalaciones de computo, así como de bancos de datos de información automatizada en general.

7. CLÁUSULAS DE CUMPLIMIENTO

7.1 El Área de Tecnología de la Información y las Comunicaciones realizará acciones de verificación del cumplimiento de este Manual de Políticas y Estándares

de Seguridad Informática.

7.2 Los jefes y responsables de los procesos establecidos en la CONTRALORIA

GENERAL DEL DEPARTAMENTO DE CÓRDOBA deben apoyar las revisiones del cumplimiento de los sistemas de las políticas y estándares de seguridad informática

apropiadas y cualquier otro requerimiento de seguridad.

7.3 Todas las que se suscriban en el Acuerdo de Confidencialidad de la información

realizada entre el Funcionario y la CONTRALORIA GENERAL DEL DEPARTAMENTO DE CÓRDOBA.

8. VIOLACIONES DE SEGURIDAD INFORMÁTICA

8.1 Está prohibido el uso de herramientas de hardware o software para violar los controles de seguridad informática.

8.2 Ningún usuario o funcionario de la CONTRALORIA GENERAL DEL DEPARTAMENTO DE CÓRDOBA debe probar o intentar probar fallas de la

Seguridad Informática conocidas, a menos que estas pruebas sean controladas y aprobadas por el Área de Tecnología de la Información y comunicaciones.

23

8.3 No se debe intencionalmente escribir, generar, compilar, copiar, coleccionar,

propagar, ejecutar o intentar introducir cualquier tipo de código (programa) conocidos como virus, gusanos o caballos de Troya, diseñado para auto replicarse,

dañar o afectar el desempeño o acceso a las computadoras, redes o información de la CONTRALORIA GENERAL DEL DEPARTAMENTO DE CÓRDOBA.

9. ACUERDO DE CONFIDENCIALIDAD

Entre Contraloría General Del Departamento de Córdoba y el Señor(a)

_________________________________, existe una relación laboral, la cual está regida por las normas generales del Código Sustantivo del Trabajo y demás normas establecidas en el estatuto del servidor público.

Que dentro de las funciones establecidas para los cargos, se encuentra la de guardar la reserva de la documentación e información que por razón de sus funciones tenga bajo su cuidado.

En atención a lo anterior, este documento que suscriben las partes, es el Acuerdo de Confidencialidad, el cual consta de las siguientes cláusulas:

1. Obligaciones especiales del Funcionario:

a. Guardar absoluta reserva, incluso después de terminado el vínculo laboral respecto a: procedimientos, procesos, investigaciones, métodos, claves de

seguridad, suministros, software, base de datos de cualquier índole, valores de bienes y servicios, información técnica, financiera y económica de la entidad, papeles de trabajo, soportes de auditorías y resultados.

b. Es obligación del FUNCIONARIO, devolver inmediatamente a la desvinculación de la entidad, claves, bases de datos, equipos, información técnica, de procesos o similares, financiera y económica, y todo lo demás que tenga el FUNCIONARIO en

razón de sus funciones y que haya recibido para poder ejecutar su labor.

c. Adoptar todas las precauciones necesarias y apropiadas para la guarda de la información bajo parámetros de confidencialidad de la información que tenga el

FUNCIONARIO de la entidad, esto es, base de datos de cualquier índole, su software, o procedimientos, claves secretas, estudios, estadísticas, proyectos, suministros utilizados por Contraloría General Del Departamento de Córdoba

interna y externamente frente a sus sujetos de control, información técnica, financiera y económica de la Contraloría General Del Departamento de Córdoba

24

d. El FUNCIONARIO cumplirá con las medidas de seguridad que tome la

Contraloría General Del Departamento de Córdoba para proteger la confidencialidad de cualquier información reservada o secreta de la entidad.

Parágrafo Uno: La Contraloría General Del Departamento de Córdoba

puede disponer libremente de toda su información y Material Confidencial, por lo que el FUNCIONARIO, no tendrá ninguna autoridad para ejercer cualquier derecho o privilegios en lo que concierne a la Información perteneciente exclusivamente a la

Contraloría General Del Departamento de Córdoba poseída por o asignada a esta última conforme a este Acuerdo y las leyes Colombianas.

2. Sanciones por incumplimiento: El incumplimiento de esta obligación no sólo es causal de terminación de los vínculos laborales existentes entre las partes, sino que podría conllevar a iniciar acciones judiciales en contra del Funcionario por los perjuicios materiales e inmateriales que cause al ente de control.

3. Aspectos finales: Este Acuerdo de Confidencialidad se mantendrá en el tiempo, así la relación laboral o de cualquier tipo haya terminado, pues su incumplimiento

puede causar perjuicios a la Contraloría General Del Departamento de Córdoba y le dará derecho a aplicar las sanciones por incumplimiento.

Se suscribe en Montería, a los ____ días del mes de ______ de 20__

_________________ ___________________ NIT: 800193833-8 FUNCIONARIO

Representante Legal