tipo de norma: instructivo nombre: código: di - - in … · dirección general administrativa...

Tipo de Norma: Instructivo Nombre: Instructivo de buen uso de los sistemas informáticos.

Código: DI IN 008 32 VOl-2014- INSTRUCTIVO DE BUEN USO DE - - - -

LOS SISTEMAS INFORMATICOS

Nombre Cargo Fecha Firma

Líder de Seguridad de Rea lizó lng. Julia Pineda 05/05/2014

TI/UGTI

Revisión Mtra. Patricia Abogada 1 Procuraduría 07/05/2014

Jurídica Pacheco

Aprobó Dr. José Barbosa C. Rector - Canciller

Manifestación de conformidad:

Para la revisión y aprobación de este instructivo, han manifestado su conform idad con el texto del

mismo así como de los anexos que lo conforman, las personas abajo firmante:

Nombre

Ms. Ramiro Cárdenas

Mgs. Teodoro Alvarado

lng. María Pau la Espinosa

lng. Carlos Córdova

Cargo

Director Genera l de Administrativo Financiero.

Director Genera l de Recursos Humanos y Desarrollo

Personal.

Directora de Operaciones

Gerente de la Unidad de Gestión de TI

Fecha Firma

08/05/2014

08/05/2014

Dirección General Administrativa Financiera

\~¡¡ ~ UTPL.

Código: DI_IN_008_32_V01-201 4-INSTRUCTIVO DE BUEN USO DE LOS SISTEMAS INFORMATICOS

~ .. ..., __ _,_ .. ~--..·--INSTRUCTIVO

INSTRUCTIVO DE BUEN USO DE LOS SISTEMAS INFORMÁTICOS

Válido desde 08/05/201 4

Página

1 INDICE.

1. REFERENCIAS ... .. . ... ... ... ... .... .. ....... .. ... .. ... .. .. ... ... .... .. ... · · o· ·· .. .. . . . . . . .... .. . . . . .. . . . . .... 001

2. OBJETIVO ... ... .. . ... .... .. ... .. .. ... .. .. . ... ... ... ... .... .... . .. . .... .. ... .... .. ... ..... .. ..... oo · ·oo oo· •• • •• 001

3. GLOSARIO .. . .. . .. ... . .. . ..... . .. . .. . ... ... .... ..... ... oo· .. . . . . .. . . . . . . . .. .. . ........... . . .. . . . . .. . .. . . .. . . .. . . 002

4. DESCRIPCIÓN ..... . .... .. ... ... ... .... .. .. .. .. ... ... ... .... .. .... .. ... .... ... .. ... ..... . ........... .... .. .. . . 002

3.1 CREDENCIALES DE ACCESO A LOS SISTEMAS ..... .. ... .. .... .. .. .. o . . .. . . . .. . .. .. . ... . ... . . 002

3.2 USO DEL CORREO ELECTRONICO .... .. .................. ... ..... .. .... .... ......... .. .. .... ... ... ... ...... 003

3.3 USO DE SISTEMAS DE LA UNIVERSIDAD... .. . .... .... . .. .. .... .. .. .. . ..... .... .. ..... 004

3.4 USO DE LA INFORMACION DE LA UNIVERSIDAD ... .. ... . ... .... .... . .. ......... ... .. . ..... 004

6. SANCIONES ... ... ...... ... .. ... . 00 • • 00 00 . . . . . . . .. ... . . . ... . ..... . . ..... . ......... . .. ... . . .. ... .. . ....... .. . . . ... . . 005

6. ANEXOS .. . ..... . .... ... .. o ••• • •• • o o ••••• • •• • •••• • ••••••• o • • • o o • • • o . o •• • o •••• o ••• o. o • • • • o • • • • • • • ••• • •••• o • •• o • •• •• ••• 005

DESTINATARIO

Area o Departamento

Di rección General de Recursos Humanos y Desarro llo Personal

Di rección de Operaciones Procuraduría Universitaria Empelados de la Universidad (Docentes y Administrativos)

Persona l externo que tengan acceso a sistemas de la Universidad Estud iantes de la Universidad

Cargos y funciones N/ A

1. OBJETIVO

Especificar las normativas generales que deben acatar todas las personas como: empleados (administrativos, docentes) , estud iantes de la Un iversidad; y personal externo para el buen uso de los sistemas informáticos de la UTPL.

2. GLOSARIO

Elaborado

Cargo

Fecha

Credenciales: Corresponden al usuario y contraseña para el acceso a los sistemas. DGRHDP: Dirección General de Recursos Humanos y Desarrollo Personal Desactivación de cuenta de correo: Implica que no podrá acceder a la cuenta de correo, ni

nviar o recibir correos electrónicos. MST: Mesa de Servicios Tecnológ icos.

1

¡/

Julia Pineda Revisión

Mtra. Patricia Pacheco Aprobó PhD. José Barbosa Juríd ica

Líder de Seguridad Cargo Abogada/Procuradu ría Cargo Rector/ Canci ller

de TI/UGTI

05-05-2014 Fecha 07-05-2014 Fecha 08-05-2014

1 de 6


I IUif.L

Código: DI_IN_008_32_ V01-2014-INSTRUCTIVO DE BUEN U$0 DE LOS SISTEMAS INFORMATICOS

INSTRUCTIVO


Válido desde 08/05/2014

Página

Sistemas: Incluyen sistemas informáticos (como: EVA, Sistema Académico, Sistema de factu ración , correo electrónico, etc.); computadores; portáti les; servidores y equipos de comunicación. Usuarios: Corresponden a empleados (administrativos, docentes) y estud iantes de la Universidad; y personal externo que tienen acceso a los sistemas informáticos de la Universidad. Personal externo: Corresponde a aquel las personas que no tienen una relación laboral con la Universidad y que pueden ser: invitados, proveedores, aud itores, evaluadores académicos, etc. Este grupo de persona solo tendrá acceso a los sistemas bajo la justificación y autorización respectiva, y será de manera temporal mientras duren las actividades asignadas en la Universidad. CSIRT (Computer Security lncident Response Team): Equipo de respuestas a incidentes de seguridad informática. Confidencial: Información que solo puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente de la alta di rección , y cuya divu lgación o uso no autorizado podría ocasionar pérdidas graves a la organización.

3. DESCRIPCIÓN

3. 1. CREDENCIALES DE ACCESO A LOS SISTEMAS

Los empleados (administrativos, docentes), estudiantes de la Universidad y personal externo a los que se les haya entregado credenciales de usuario y contraseña para acceso a sistemas informáticos, deben aceptar los sigu ientes términos y cond iciones de buen uso de las credenciales de acceso:

Elaborado

Cargó

Fecha

3.1. 1. El usuario al que se le otorgue credenciales de acceso a los sistemas, es el único responsable de mantener la confidencialidad de dichos datos, y es completamente responsable de todas las actividades que ocurran con su cuenta.

3.1 .2 . Las credenciales de usuario y contraseña son intransferibles y de uso persona l (no se puede compartir con otras personas) .

3. 1.3. Las credenciales de usuario y contraseña solo deben ser utilizadas para los fines asignados (académico y/o administrativo).

3. 1.4 . Las credenciales de usuario y contraseña son información personal y confidenc ial, por lo cual se debe tomar las medidas adecuadas para protegerlas (por ejemplo: no se debe escribir en papel o exponerlas al público).

3.1.5 . Si existe sospecha de que la contraseña ha sido descubierta, se debe realizar el cambio inmediato de misma.

3.1 .6. Se debe realizar el cambio periódico de contraseña, tomando en cuenta las recomendaciones de seguridad (ver ANEXO 1) La contraseña debe estar conformada según el estándar recomendado (ver ANEXO 1 ).

Julia Pineda Revisión Mtra. Patricia Pacheco Aprobó PhD. José Barbosa Jurídica

Líder de Seguridad Cargo Abogada/Procuraduría Cargo Rector/ Canciller de TI/UGTI

05-05-201 4 Fecha 07-05-2014 Fecha 08-05-2014

2 de 6


INSTRUCTIVO


3.2. USO DEL CORREO ELECTRÓNICO

Código: DI_IN_008_32_V01-2014-INSTRUCTIVO DE BUI;N USO DE LOS SISTEMAS INFORMATICOS


Página 3 de 6

Los empleados (admin istrativos, docentes), estudiantes de la Universidad y personal externo que tenga asignada una cuenta de correo electrónico deben aceptar los siguientes términos y cond iciones de buen uso del correo electrónico:

3.2.1. Existen las siguientes cond iciones necesarias para otorgar una cuenta de correo institucional:

a. Cuentas de correos institucionales personales (empleados): El usuario debe tener una relación laboral de dependencia con la Universidad.

b. Cuentas de correos institucionales personales (estudiantes): El usuario debe ser un estudiante de la Universidad.

c. Cuentas de correos institucionales personales para personal externo: Este tipo de cuenta corresponde a persona l externo que por el servicio que brinde a la Universidad requ iere acceso al "correo. La activación de este tipo de cuentas debe ser justificada y autorizadas por el Área de Seguridad - UGTI.

d. Cuentas de correo genérico: Cuentas solicitadas con una justificación académ ica o administrativas para la Universidad. Estas cuentas deben tener asignado un responsable por parte de la Universidad. Las cuentas de correo genéricas no pueden ser usadas para otros fines que no sean los propios de la unidad a la que pertenece y que originaron su creación.

3.2.2. El correo electrón ico debe ser utilizado únicamente para fines académicos y/o administrativos de la institución. No se debe uti lizar el correo con fi nes de propaganda, ventas de artícu los, envfo de cadenas, o actividades personales que no tengan relación con la institución.

3.2 .3. Por medio del correo institucional no se puede difundir contenido inadecuado como: terrorismo, programas pirateados, virus, cód igo hostil, estafas, pornografía, bu llying, actos que den igren a personas o a la institución , etc.

3.2.4. El usuario de correo electrónico tiene prohibido: a. La fa lsificación de las cabeceras de los correos electrónicos. b. La suplantación de identidad. c. Ocultar la identidad del emisor del correo.

3.2.5. Para el envío de correos masivos se debe tomar en cuenta las consideraciones defin idas en el "Procedimiento para el envío de correos masivos y personalizados a usuarios de la UTPL" con fecha de emisión Mayo del 2012.

3.2.6 . El dueño de la cuenta de correo electrónico es el responsab le de todas y cada una de las actividades que se lleven a cabo con la misma.

3.2.7. Vigencia de las cuentas a. Las cuentas de correo personal de los empleados estarán activas mientras dure la

relación laboral.

(}

. Las cuentas de correo institucional para personal externo estarán activas mientras dure el serv icio que se esté prestando a la Universidad; luego de ello la cuenta será

J desactivada y transcurrido 3 meses la cuenta será eliminada.

- 1

Elaborado Julia Pineda Revisión

Mtra. Patricia Pacheco Aprobó PhD. José Barbosa Jurídica

Cargo Líder de Seguridad Cargo Abogada/Procuraduría Cargo Rector/ Canciller

de TI/UGTI Fecha 05-05-201 4 Fecha 07-05-2014 Fecha 08-05-2014

Dirección General Administrativa Financiera Código: DI_IN_008_32_ V01-2014-INSTRUCTIVO DE BUEN USO DE LOS SISTEMAS INFORMATICOS

INSTRUCTIVO



Página

c. Para las cuentas de correo genérico, en caso de que el responsable deje de laborar en la Universidad, se debe asignar un nuevo responsable de la cuenta genérica quién deberá rea lizar el cambio inmediato de clave de la cuenta de correo.

d. El uso inapropiado de las cuentas de correo electrónico puede ocasionar la desactivación temporal o permanente de la cuenta (Ver ANEXO 3).

3.3. USO DE SISTEMAS DE LA UNIVERSIDAD

Los empleados (administrativos, docentes) , estudiantes de la Univers idad y persona l externo que tenga asignado una cuenta de acceso a los sistemas de la Universidad deben aceptar los siguientes términos y cond iciones de buen uso de los sistemas:

3.3.1 . Los sistemas de la UTPL deben ser utilizados apropiadamente según los fines asignados a cada usuario. Está prohibido uti lizar los sistemas para actos de bu llying, actos que denigren a personas o a la institución, promocionar ventas, fiestas,

3.3.2. 3.3.3.

3.3.4.

3.3.5.

3.3.6.

3.3.7.

3.3.8.

3.3.9.

3.3.10.

3.4.

pornografía, etc. Los usuarios deben guardar reserva de la información a la que tienen acceso. Está prohibido intentar descifrar la contraseña de los usuarios de los sistemas de la Universidad. Los usuarios tienen proh ibido intentar suplantar la identidad de cualquier persona para ganar acceso a los sistemas. Está proh ibido el intentar ingresar a los sistemas, servidores, cuentas o datos a los que el usuario no tenga acceso autorizado. No se debe tratar de sondear, escanear o probar la vulnerabil idad de los sistemas, al menos que esté autorizado. Las actividades de los usuarios reg istradas en los sistemas son de responsabil idad única del dueño de la cuenta. La Universidad podrá interrumpir temporal o indefinidamente en cualquier momento el acceso del usuario a los sistemas si detecta un uso contrario a lo autorizado. La Universidad se reserva el derecho de aud itar los procesos académicos y/o admin istrativos, y los sistemas que están re lacionados, dicha aud itoría solo será realizada bajo autorización del Vicerrectorado Administrativo Financiero. En caso de tener incidentes de seguridad con los sistemas informáticos como: suplantación de identidad , solicitudes de usuarios y contraseñas, correos sospechosos, etc. se debe contactar con el CSIRT-UTPL a través de Mesa de Servicios Tecnológ icos (ver ANEXO 2)

USO DE LA INFORMACIÓN DE LA UNIVERSIDAD

Los empleados (admin istrativos, docentes), estudiantes de la Universidad y personal externo que tenga acceso a información de la Universidad deben aceptar los siguientes términos y cond iciones de ~s~ de la información de la Universidad

1



Cargo Líder de Seguridad Cargo Abogada/P recurad u ría Cargo Rector/ Canciller de TI/UGTI

Fecha 05-05-2014 Fecha 07-05-2014 Fecha 08-05-2014

4 de 6


,~~~i f UTPL

Código: DI_IN_008_32_ V01-2014-INSTRUCTIVO DE BUEN USO DE LOS SISTEMAS INFORMATICOS

~ --- .............. _.. __ INSTRUCTIVO


Válido desde 08/05/201 4

Página

3.4.1 . Está prohibida la venta de documentos digita les o físicos propiedad de la Universidad como: guías , evaluaciones, trabajos a distancia, paper's, documentos de investigación o cualquier otro documento que haya sido elaborado por la Universidad, a menos que la Institución lo autorice.

3.4.2. El personal de la Universidad debe mantener la debida confidencialidad de la información que maneja ya sea en .formato fís ico o digita l.

3.4.3. Las evaluaciones que se receptarán a los estud iantes son consideradas como información confidencial (d igita l o física) , por lo cua l, las personas que tienen acceso a esta información deben tener las precauciones necesarias para evitar la fuga de in formación . Entre algunas de las medidas para garantizar esto, tenemos:

a. No divu lgar la información a terceras personas. b. Resguardar adecuadamente la información. c. La información debe ser tratada como confidencial al menos que se disponga lo

contrario. 3.4.4. El usuario se compromete a no distorsionar la información o dañar los datos ya sean

físicos o digitales. 3.4.5. El usuario no intentará descifrar claves, mensajes o ficheros. 3.4.6. El personal, estudiantes de la Universidad y personal externo debe guardar la máxima

reserva y no divu lgar directamente o a través de terceros información a la que haya tenido acceso.

4. SANCIONES

Todo acto que atente contra las especificaciones de este instructivo será sujeto a las accior¡es disciplinarias, administrativas, civiles o pena les contempladas en la legislación interna de la UTPL, y la legislación ecuatoriana.

5. ANEXOS

Elaborado

Cargo

Fecha

ANEXO 1: RECOMENDACIONES DE SEGURIDAD

Conformación de una contraseña:

a. Para que una contraseña sea segura debe cumplir, con al menos, tres de las siguientes características:

l. Tener números. 11. Tener letras.

11 1. Tener mayúsculas y minúsculas. IV. Tener símbolos(&, %, @, *, etc.).

También debe cumplir los sigu ientes requisitos:

l. Su long itud debe ser mayor a siete caracteres.

Ju lia Pineda Revisión

Mtra. Patricia Pacheco Aprobó PhD. José Barbosa Juríd ica

Líder de Seguridad Cargo Abogada/Procuraduría Cargo Rector/ Cancil ler

de TI /UGTI

05-05-2014 Fecha 07-05-2014 Fecha 08-05-2014

S de 6

Dirección General Administrativa Financiera Código: DI_IN_008_32_ \101-201 4-INSTRUCTIVO DE BUEN USO DE LOS SISTEMAS INFORMATICOS

INSTRUCTIVO



Página

11. No debe formarse con números y/o letras que estén adyacentes en el teclado. Ejemplo: 123456, 1 q2w3e o 123QWEasd.

111. No debe contener información que sea fáci l de averiguar, por ejemplo, nombre de usuario de la cuenta , información personal (cumpleaños, nombre de fam iliares, etc.).

IV. No debe contener pa labras existentes en algún id ioma. Los ataques de diccionario prueban cada una de las palabras que figuran en el diccionario y/o palabras de uso común

Cambio de contraseña:

l. Las contraseñas deben ser cambiadas cada 3 meses, tomando en cuenta la conformación de una contraseña.

11. Si se ha identificado que la contraseña ha sido descubierta se debe realizar el cambio inmediato de la misma.

111. Si tiene alguna inconveniente con el cambio de contraseña se debe poner en contacto con MST.

ANEXO 2: CONTACTO DE MESA DE SERVICIOS TECNOLÓGICO

Canal Contacto

Teléfono (593-7) 3701444 ext (3333)

Correo mst@utpl. edu.ec

ANEXO 3: POLÍTICAS DE CORREO

6 de 6

Las políticas de uso del correo electrónico son especificadas por el proveedor del mismo, que actualmente es GoogleApps. Estas políticas se encuentran en http://www.google.com/apps/intl/es/terms/use policy.html , además, de políticas que pueden ser

mitidas por parte de la Universidad.



Cargo Líder de Seguridad Cargo Abogada/Procuraduría Cargo Rector/ Canciller de TI/UGTI

Fecha 05-05-201 4 Fecha 07-05-2014 Fecha 08-05-2014

tipo de norma: instructivo nombre: código: di - - in … · dirección general administrativa...

Documents