REGLAMENTO DE SEGURIDAD INFORMÁTICA 1. Política de Contraseñas.1.1 Antecedentes.La seguridad de los equipos de computación y de la información que estos contienen es de vital importancia para la organización y se encuentra protegida por contraseñas de acceso a la misma. Dentro de las recomendaciones de auditoria se menciona el que debe haber una política de cambio periódico de las claves de los computadores, normas a las cuales deberán acogerse todos los usuarios de red para incrementar el nivel de seguridad de sus equipos e información. Tomando en cuenta esta recomendación se procede a normar este proceso. 1.2 Normas del Proceso. Todo equipo de ONU MUJERES RA deberá tener la siguientes contraseñas configuradas: 1. Contraseña de encendido: La cual se ingresará cada vez que se prenda el computador. 2. Contraseña de Dominio: La cual se ingresará cada vez que el usuario intente acceder al Sistema Operativo y a la red. Tanto la contraseña de encendido como la contraseña de Dominio será configurada por el administrador de la red, y será entregada a cada persona personalmente, el tiempo de caducidad de las mismas será de seis meses, los cambios realizados a las mismas se registrarán en un documento que será entregado a la Asociada de Finanzas para su depósito en la caja fuerte de la oficina. La contraseña del Administrador de la red debe ser almacenada en un documento diferente al de las demás contraseñas. Una copia de los documentos de contraseñas se enviará al casillero de seguridad que ONU MUJERES haya contratado para este uso. Las contraseñas son de uso personal y no deberán ser divulgadas por ningún motivo a otras personas, la responsabilidad por el uso de las mismas recae exclusivamente sobre cada usuaria. En el caso de que las usuarias olvidaran sus contraseñas, deberán solicitarlas por escrito al Administrador de la red, tomando en cuenta de que el administrador está en capacidad de modificar la contraseña de dominio automáticamente no así Actualizado al 26/06/2006 FT Página 1 la de encendido, la nueva contraseña será entregada en el lapso de 4 horas a partir de la recepción de la solicitud. La frecuencia obligatoria de actualización de las contraseñas será de seis meses, sin embargo, las usuarias podrán solicitar cambios ocasionales en cualquier momento. Todas las usuarias de la red deberán apagar sus computadores al final de su jornada de trabajo, para garantizar la seguridad de su información. 2. Política de Backup.2.1 Antecedentes.Uno de los servicios que brinda el servidor de archivos es el de compartir recursos y unidades de almacenamiento e impresión. El disponer de un servidor central de archivos permite almacenar físicamente en un lugar común toda la información generada por las usuarias del sistema y centralizar el sistema de respaldos. Basándonos en las recomendaciones de la auditoria informática donde se recomienda una política clara de respaldos a la que deben acogerse todas las usuarias del sistema, procedemos a detallar las normas para este proceso: 2.2 Normas del Proceso. Toda usuaria del sistema de red deberá mantener como carpeta de trabajo “Mis Documentos”. Esta carpeta estará ubicada en el servidor de red e identificada con el nombre de cada usuaria (Por Ejemplo: Moni Pizani). Se programarán los computadores para que de manera predeterminada escojan como primera opción de almacenamiento de documentos finales o definitivos la carpeta “Mis Documentos”. Las usuarias tendrán acceso a unidades de red grupales (por ejemplo Archivo Electrónico o documentos compartidos), las cuales contendrán información común o que requiera acceso de varias personas. Toda la información que las usuarias deseen proteger deberá almacenarse en la carpeta “Mis Documentos”, o en las unidades de red grupales. Las usuarias que necesiten almacenar información que no necesite respaldarse periódicamente, lo podrán hacer en carpetas personales que pueden libremente crear en los discos duros locales de sus estaciones de trabajo. Los respaldos de datos no incluyen carpetas personales creadas por las usuarias en sus estaciones de trabajo. 2.2.1 Primer Sistema de Respaldo. El servidor genera respaldos automáticos en los segundos discos duros, tanto de la información de todas las usuarias como del sistema operativo y su configuración. Este respaldo es automático e inmediato, por lo cual cualquier cambio realizado por las Actualizado al 26/06/2006 FT Página 2 usuarias en un documento o carpeta, ya sea el añadir un archivo o carpeta, modificarlos o eliminarlos se ve reflejado de manera inmediata en el respaldo. 2.2.2 Segundo Sistema de Respaldo. En el Tape Backup se realizan respaldos incrementales de la información de manejo crítico del sistema operativo y de los usuarios. Además una vez por mes, se realizará una copia completa de las carpetas en su estado actual para identificarlo como respaldo completo externo y ser enviado al casillero de seguridad que ONU MUJERES RA tenga contratado para el efecto. 2.2.3 Tercer Sistema de Respaldo Una vez por mes, se realizará una copia completa de las carpetas a DVD, identificados con los nombres de las carpetas que contengan y con la fecha en la cual fueron compilados, este respaldo quedará al interior de la oficina para su posterior consulta o restauración. Con este sistema además pueden realizarse respaldos emergentes a solicitud de una usuaria, ya sea para respaldar determinada información como en caso de terminar la relación contractual para con ONU MUJERES RA, se realizará dos copias completas del contenido del PC, una para la usuaria y otra para la Oficina. Si alguna usuaria requiere realizar respaldos adicionales en DVD de determinados documentos o de información personal no almacenada en la carpeta de Mi Documentos, podrá solicitarla al asesor de sistemas para que se realice en la próxima visita. 2.3 Recuperación de la Información Las usuarias pueden solicitar la recuperación de su información en cualquier momento. De existir una emergencia en la cual se vería comprometida la información de una usuaria o de la Oficina en General, se procederá de la siguiente manera, acorde al tipo de pérdida sufrida. 2.3.1 Daño de un disco duro o una estación de trabajo. Luego de reemplazar el disco duro de la estación dañada, se procederá a configurar la usuaria del equipo, proceso mediante el cual el servidor retornará todos los archivos, configuraciones y cuentas de correo electrónico que la usuaria mantenía, hasta antes del fallo de su CPU. Cabe señalar que cualquier archivo o correo que se estuviese realizando y no se haya guardado, se perderá pues el sistema respalda archivos que se hayan guardado o enviado totalmente. 2.3.2 Daño del servidor o los discos del servidor. Actualizado al 26/06/2006 FT Página 3 En caso de ocurrir un daño del servidor o de uno de los discos del servidor, se procederá a reinstalar el servidor con los respaldos existentes en el Tape Backup o los discos DVD más actuales. No sin antes constatar que las sincronizaciones automáticas con las usuarias clientes haya devuelto los archivos a su ubicación original. 2.3.3 Eliminación de Archivos Intencional. En caso de eliminación Intencional o involuntaria de la información almacenada en las carpetas compartidas o en Mis Documentos, se procederá a reinstalar el backup más reciente ubicado en los Tapes o DVD, cualquiera sea el mas cercano. Se protegerá contra el uso indebido a la información o documentos por medio de las contraseñas de las propias usuarias de cada estación, que contendrán permisos de uso exclusivo sobre la carpeta de dicha usuaria. 2.4 Carpetas que forman parte del respaldo periódico de información. Durante las sesiones de respaldo, el administrador de la red toma en cuenta las siguientes carpetas: Carpeta \\servunifem\Shared\shared_documens\”nombre de usuaria” Carpeta \\servunifem\y Carpeta \\servunifem\Documentos Compartidos Carpeta \\servunifem\Archivo Electrónico Carpetas Comunes a Crear Correo Electrónico Favoritos 3. Política de Uso de Carpetas Compartidas y Mis documentos.3.1 Antecedentes.Debido a la importancia que la información tiene para el desempeño de las actividades de la organización en conjunto con los limitantes de la tecnología actual en cuanto a la capacidad de almacenamiento de archivos, debemos poner en evidencia el tipo de información que la organización debe manejar y almacenar, para lo cual desarrollamos el siguiente reglamento que normaliza estos procedimientos. 3.2 Normas del Proceso. Las carpetas Mis Documentos, localizadas en cada uno de los equipos de la organización al igual que las carpetas compartidas localizadas en el servidor de ONU MUJERES, deben contener archivos relevantes al trabajo de ONU MUJERES, es decir archivos Word, Excel, Powerpoint, Outlook, Adobe Acrobat y Winzip de uso oficial para la Organización. De existir necesidad de almacenar archivos multimedia, tales como fotografías, archivos de audio o video con información de la organización, deberán ser entregados al Administrador de la red para colocarlos en una carpeta compartida destinada exclusivamente para el almacenamiento de archivos Multimedia. Actualizado al 26/06/2006 FT Página 4 Estas carpetas de ninguna manera deben contener archivos de música, fotografías o demás documentos de carácter personal. En caso de encontrar en las Carpetas de Mis documentos o las compartidas en el Servidor archivos de esta índole, el administrador de la red puede proceder a su eliminación sin notificación previa si los mismos están poniendo en riesgo la capacidad de almacenamiento de las mismas. 4. Política de Uso de Equipos de computación 4.1 Antecedentes.El correcto y debido uso de los equipos de computación garantiza la prolongación de su vida útil y la eficiencia en el trabajo del equipo humano de la organización, por ello hemos desarrollado las siguientes reglas para su utilización. 4.2 Normas del Proceso.4.2.1 De los Equipos de escritorio. Todo equipo de computación de escritorio se entregará a cada usuaria mediante un acta de entrega recepción en la que se declare el estado y los componentes del mismo, haciéndola responsable por su cuidado. El software de los equipos de escritorio será administrado e instalado por el asesor de sistemas. Las usuarias no pueden instalar o descargar ningún software adicional a su ordenador pues será directamente responsable del uso de su respectiva licencia, en caso de requerir software adicional para su trabajo, deben requerirlo a la Asociada de Finanzas quien en consulta con la Directora decidirán sobre su instalación. De producirse cualquier inconveniente con un equipo, se deberá informar de manera inmediata a la Asociada de Finanzas, quien requerirá la colaboración del Asesor de sistemas para solucionar el inconveniente a la brevedad posible. 4.2.2 De los equipos portátiles. ONU MUJERESmantiene un total de dos notebooks y un proyector que se rigen a las mismas regulaciones de los equipos de escritorio y podrán además ser utilizados de la siguiente manera: o Un Notebook es considerado como estación de trabajo y por lo tanto servirá para instalar una estación provisional para una usuaria nueva o en ocasiones donde el espacio físico de las oficinas obliguen a utilizar una estación de este tipo. o El otro equipo así como el proyector pueden servir de apoyo para reuniones y presentaciones al interior de la casa Común. o De ninguna manera estos equipos pueden ser sacados del edificio si no es con autorización previa por escrito de la Directora de la oficina. Actualizado al 26/06/2006 FT Página 5 5. Política de Procedimiento para la instalación de una nueva Usuaria 5.1 Antecedentes.En pro de estandarizar el proceso de creación e integración de una nueva usuaria, determinamos el siguiente procedimiento a seguir. 5.2 Normas del Proceso.1. Una vez recibida la notificación del arribo de una nueva usuaria a ONU MUJERES, cuyo contrato supere los tres meses, se procederá a solicitar su cuenta de correo electrónico a David Otieno David.otieno@ONU MUJERES.org con la siguiente Información: Nombre de Usuaria Vendor ID Cuenta propuesta Cargo Teléfono Fax 2. En planeación con el área Administrativa Financiera se ubicará y preparará la estación de trabajo asignada a la nueva usuaria, la instalación de software y la inclusión dentro de la red de ONU MUJERES y sus políticas. 3. Se entregará impreso las contraseñas de arranque, Nombre de Usuario, contraseña de red, dirección de correo y contraseña de correo de estar disponible al momento de su llegada. 4. Se entregará a la nueva usuaria el formato y las instrucciones para completar sus Yellow Pages que le permitirán acceso a la Intranet de ONU MUJERES. 5. Se entregará a la nueva usuaria el reglamento de seguridad informática, que incluye las políticas de manejo de documentos y correo electrónico. 6. Política de uso de E-mail y Chat en ONU MUJERES 6.1 Antecedentes.El correo electrónico es el medio de comunicación más usado en ONU MUJERES, al mismo tiempo es el medio menos costoso, el uso de email continúa creciendo en la medida en que aumenta la velocidad y confiabilidad de la conexión por Internet, por lo cual se describe la política de uso de email, la cual formaliza el uso del Email como instrumento oficial de comunicación en ONU MUJERES y dicta las reglas, etiqueta y estándares para su uso. Así mismo las salas de Chat representan actualmente un importante método de comunicación instantánea que al igual que el correo debe ser normada para obtener los mejores resultados de su uso. Actualizado al 26/06/2006 FT Página 6 6.2 Normas del Proceso. Para comprender el manejo de la política de uso de correo y Chat, debe comprenderse que los equipos de computación en ONU MUJERES son de exclusivo uso institucional Cada persona con un contrato de tres meses o más tiene derecho a una cuenta de correo electrónico. El espacio de memoria reservado por usuario en el servidor de ONU MUJERES, tiene un tamaño máximo de 100 MB Los mensajes quedarán grabados en el servidor de ONU MUJERES por 10 días, todos los mensajes más antiguos serán automáticamente removidos del servidor, se aconseja a los usuarios grabar sus mensajes en carpetas locales, puesto que una vez removidos no podrán ser recuperados. El tamaño máximo de un mensaje enviado o recibido es de 5 MB Mensajes enviados a grupos usuarios no pueden exceder de 2 MB Las encargadas del centro de documentación se responsabilizan de llevar actualizados las listas de usuarios de correo electrónico, para lo cual cualquier cambio de personal debe anunciarse a la encargada por medio de un mensaje electrónico para revisiones del sistema. La correspondencia por Email y las conversaciones vía Chat en ONU MUJERES debe considerase un medio oficial de comunicación. El lenguaje utilizado en el email o el Chat puede no ser formal sin embargo debe respetar ciertas reglas de buena conducta interpersonal y ajustarse a las normas generalmente aceptadas. Es prohibido utilizar el correo electrónico o salas de Chat para enviar contenidos no éticos, ya sea en formato textual o gráfico, implícito o explícito. Para enviar contenido que esté en conflicto con las líneas de conducta generalmente aceptadas de ONU MUJERES y de NNUU. Está prohibido enviar contenidos de carácter político, contenidos para beneficio personal, para propósitos comerciales o de negocios que no sean del interés de la organización, para trasmitir cadenas y demás comunicaciones de este tipo. De acuerdo a lo anteriormente expuesto, la discreción es de gran importancia en el uso de estas o de otras tecnologías para enviar, grabar o intercambiar comunicación. El uso aceptable implica que sea legalmente y éticamente permitido, refleje la honestidad y no demuestre despilfarro de recursos compartidos. La usuaria no debería violar derechos de propiedad intelectual, derechos sobre propiedad de información, mecanismos de seguridad ni tampoco usar correo electrónico para intimidar, cometer abuso, molestar, etc. Debe tomarse en cuenta que el correo electrónico y los mensajes escritos en los sistemas de Chat viaja por una cantidad de redes, por lo cual la información que por este transita no puede considerarse privada. El email y los programas de Chat pueden ser usados para transmitir mensajes directos o archivos adjuntos, no se puede transmitir ningún archivo tipo: .exe, Actualizado al 26/06/2006 FT Página 7 .pif, .bbs. Documentos Word, Excel, Power Point, PDF, .zip o documentos audiovisuales son permitidos. Está permitido enviar mensajes a todos los destinos de Internet o Grupos, salvo cuando existe una prohibición administrativa explícita hacia ciertas direcciones. Se deben seguir las reglas al respecto de NNUU Se puede recibir mensajes de cualquier origen excepto de Spam, junk mail y mensajes con virus. Las políticas de uso de email y salas de chat serán revisadas regularmente con el afán de adaptar los cambios tecnológicos relevantes. 7. Plan de Contingencia 7.1 Antecedentes.La seguridad de la infraestructura de Tecnología informática que se apoya y se soporta en las políticas y procedimientos antes descritos, debe además estar respaldada por un plan de contingencia en caso de provocar colapsos extremos en la red de información y que pueden ser anticipados para que nos permitan una recuperación planificada de las operaciones de la organización. 7.2 Normas del Proceso. Mantener actualizado las fichas de los equipos, asi como su inventario para que nos permita identificar de manera eficiente el período de garantía del mismo. Mantener actualizado el software antivirus y programar revisiones periódicas en el servidor y las estaciones de trabajo. Reportar al encargado de sistemas cualquier tipo de irregularidad deectada en el funcionamiento del equipo Cumplir con todas las normas estipuladas en este documento. 7.3 Recuperación de Colapsos.- 1. Identificar el problema existente 2. Si el problema representa un daño de Hardware, acudir a las fichas de equipo para revisar el estado de su garantía, en caso de encontrarse dentro del período de garantía, acudir al proveedor para hacer válida la misma. 3. En caso de que el proceso de garantía tome más de 48 horas y de que el proveedor no cuente con políticas de préstamo o arrendamiento de equipos de similares características y dependiendo de la importancia del hardware dañado, revisar la posibilidad de adquirir un equipo de backup mientras el original regresa de su garantía. 4. En caso de que el equipo no se encontrase dentro del período de garantía, proceder a informar al departamento Administrativo Financiero, para que a la brevedad posible procedan a cumplir el proceso de adquisición del nuevo bien. 5. En caso de que se produjere una catástrofe de índole natural o de destrucción masiva de los equipos, se procederá a instalar en una oficina alterna, equipos arrendados y aplicando las políticas de recuperación de archivos y backup se Actualizado al 26/06/2006 FT Página 8 restaurará la información más actual, mientras la oficina y los equipos son devueltos mediante el reclamo a la compañía de seguros respectiva. 6. En caso de que el colapso sea de Software, se procederá según las políticas de backup. 7. En el proceso de restauración luego de un colapso, se dará importancia al esquema del organigrama funcional de ONU MUJERES para atender las necesidades de las usuarias. Actualizado al 26/06/2006 FT Página 9