Norma de uso VPN <nombre institución> Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso del sistema VPN (Red Privada Virtual) institucional que provee el <nombre institución>, como también las implicancias del mal uso. Es importante mencionar que el uso inapropiado de los recursos dispuestos para los usuarios, expone a la institución a riesgos innecesarios como los virus informáticos, interrupción de las redes y sus sistemas, como también problemas jurídicos tanto nacionales como internacionales. Alcance Las políticas mencionadas en el presente documento cubren el uso apropiado del sistema VPN, tanto para acceso Web como IPSec del <nombre institución> y aplica a todos los empleados, proveedores, contratistas, personal que esté vinculado con las firmas que presten servicios al Ministerio o que estén relacionados. Se incluye además, todas las dependencias que son parte de la institución o que transite por la red del Ministerio. El <nombre institución> solo proveerá la habilitación del usuario dentro del concentrador VPN. Esto quiere decir, que el usuario será responsable de contratar un servicio de Internet, coordinar su instalación de software necesario y todo lo asociado a ésta. Este documento de origen electrónico, una vez impreso, pasa a ser copia no controlada y puede estar obsoleto. Para la versión vigente ir a Intranet. Políticas ► Uso recomendable del sistema VPN Solo los usuarios previamente autorizados podrán utilizar los beneficios del Sistema VPN, los que además, serán los responsables del correcto uso del sistema. Adicionalmente: Es de responsabilidad del funcionario con privilegios VPN, asegurarse que ninguna otra persona utilice su cuenta de acceso, entendiendo que es de uso exclusivo para quienes se les ha asignado dichos privilegios. El uso del sistema VPN debe ser controlado utilizando una contraseña de autenticación fuerte, manteniéndola bajo. Cuando esté conectado activamente a la red del <nombre institución>, el sistema VPN obligará a todo el tráfico hacia y desde el equipo computacional pasar a través del túnel de VPN, el resto del tráfico será denegado. Multiplicación de túneles NO ESTÁ permitido, sólo una conexión está permitida. Las puertas de enlace VPN serán configuradas y administradas por el grupo de seguridad informática y operaciones del <nombre institución>. Todos los computadores conectados a las redes internas del <nombre institución> vía Sistema VPN o cualquier otra tecnología deberá utilizar el software antivirus más actualizado, que es el Standard del <nombre institución> (kaspersky AV), además de los equipos computacionales personales conectados al sistema. Los usuarios del Sistema VPN será automáticamente desconectados de las redes del <nombre institución>, una vez que hayan pasado 30 minutos de inactividad. El usuario deberá logearse nuevamente para reconectarse a la red. Procesos artificiales informáticos como el “PING” no deben ser utilizados para mantener la sesión abierta. El concentrador VPN está limitado para un tiempo de conexión absoluta de 24 horas. Los usuarios de equipos computacionales que no son del <nombre institución>, deben ser configurados para cumplir con las Políticas de Red y VPN del <nombre institución>. Sólo InfoSec aprobado por los clientes VPN pueden ser utilizados (InfoSec o “seguridad de la información” se refiere al concepto básico de proteger la información secreta para mantener a los usuarios no autorizados fuera de los datos sensibles). Mediante el uso de la tecnología VPN con el equipo computacional personal, los usuarios deben entender que sus máquinas son una extensión de las redes del <nombre institución>, y como tales están sujetos a las mismas normas y reglamentos que se aplican a los equipo computacionales del <nombre institución>, es decir sus máquinas deben ser configuradas para cumplir con las políticas InfoSec de Seguridad. Este documento de origen electrónico, una vez impreso, pasa a ser copia no controlada y puede estar obsoleto. Para la versión vigente ir a Intranet. Monitoreo Conforme a lo descrito a la normativa vigente: Lo descrito anteriormente, se realiza con el fin de proporcionar información para el caso de revisiones y auditorias que requiera la organización. Aplicación de las políticas del uso del correo electrónico La infracción a las obligaciones establecidas en el artículo anterior, podrá constituir una violación al principio de probidad administrativa, y será sancionada en conformidad a lo dispuesto en la Ley Nº 18.834, sobre Estatuto Administrativo. Lo anterior es sin perjuicio de la responsabilidad civil o penal que corresponda. La Unidad de informática aplicará los filtros al servicio de correo que sean necesarios para el cumplimiento de estas políticas, así como otros para el resguardo de la comunicación. La Unidad de Informática no se hará responsable por incidentes producidos por el no cumplimiento de estas políticas de seguridad. Difusión Se mantendrá publicada dentro de la intranet del <nombre institución>, las normas de uso y políticas de seguridad establecidas en el presente reglamento. Anexos Este documento de origen electrónico, una vez impreso, pasa a ser copia no controlada y puede estar obsoleto. Para la versión vigente ir a Intranet. Historial de revisiones VERSIÓN ELABORADO REVISADO APROBADO AUTORIZADO FECHA Este documento de origen electrónico, una vez impreso, pasa a ser copia no controlada y puede estar obsoleto. Para la versión vigente ir a Intranet.