MANUAL DE POLTICAS DE INFORMTICA

A) DECLARACIN DE LAS POLITICAS GENERALES DE SEGURIDAD

INFORMATICA
1) INTRODUCCIN
2) OBJETIVOS
3) POLITICAS GENERALES
B)

DECLARACIN DE POLITICAS ESPECFICOS

1) POLTICAS DE SEGURIDAD INFORMATICA
2) POLITICAS SOBRE USO DE SOFTWARE
3) POLITICAS SOBRE USO DE HARDWARE
4) POLITICAS SOBRE ADMINISTRACION Y SEGURIDAD DE EQUIPOS
5) POLITICAS DE RESPALDOS
6) POLITICAS SOBRE ADQUISICION DE HARDWARE
7) OTRAS POLTICAS DE USO DE COMPUTADORAS Y SEGURIDAD

MANUAL DE POLITICAS DE INFORMATICA

A.

DECLARACIN DE POLTICA GENERAL

1.

Introduccin
El presente Manual de Polticas de Informtica debe constituirse en una herramienta
de apoyo para la seguridad y eficiencia de los sistemas de cmputo de las
Cooperativas socios de la Central de Cooperativas.
El Manual ha sido diseado considerando las prcticas usadas por la Central, las
Cooperativas afiliadas y las influencias de la industria de finanzas y micro financias
del pas, tratando de esta manera que se adapte a las mejoras prcticas en el uso de
sistemas de cmputo.
El Departamento de Informtica de la Central, en su propsito de colaborar al alcance
de los objetivos y metas de la Cooperativa, elabora el presente documento a fin de
tener polticas y procedimientos sanos, transparentes y equitativos en la administracin
y uso de los bienes, servicios, recursos y medios informticos que fomenta la
responsabilidad y eficiencia en el aprovechamiento de ellos con los costos y tiempos
ptimos.
Este manual polticas es de cumplimiento obligatorio para las Cooperativas atendidas
por el Departamento de Informtica de la Central, como requisito de la participacin
en servicios que la integracin a la red de Cooperativas facilita. Los riesgos a los que
est expuesta una cooperativa de la red pueden afectar a las dems cooperativas y el
buen funcionamiento de la red en su totalidad.

2.

Objetivos
El propsito de estas polticas y procedimientos es el de proporcionar informacin a
las personas inmersas en el proceso informtico de las cooperativas afiliadas a la
Central, con el inters de establecer normatividad clara a fin de prevenir:
1. Destruccin de Informacin
2. Fraudes Informticos
3. Funcionamiento incorrecto de Sistemas
4. Discontinuidad Operativa o falla total de los Servicios Informticos
5. Prdida, destruccin, deterioro de los recursos

3.

Polticas Generales
Las polticas generales que gobiernan las actividades de Informtica en las
Cooperativas de la Central son las siguientes:

B.

El uso de hardware y software de las Cooperativas debe estar orientado a

maximizar la seguridad de la informacin

El software instalado en las computadoras de las Cooperativas debe ser del tipo
que fomenta la productividad y debe estar relacionado nicamente con el
cumplimiento de las funciones laborales del personal.

Todo equipo de hardware debe mantenerse en ptimas condiciones de uso y debe

estar sistemticamente inventariado.

Las Cooperativas deben realizar respaldos frecuentes y externos de toda la

informacin pertinente de las instituciones.

Cada Cooperativa nombrar a un funcionario como el Encargado de la Seguridad

Informtica, quien coordinar con el Departamento de Informtica de la Central
de Cooperativas.

DECLARACIN DE POLITICAS ESPECFICOS

1.

Polticas de Seguridad Informtica

La seguridad de la informacin consiste en dos aspectos principales:
Negar el acceso a los datos a aquellas personas que no tengan derecho a ellos:
Se le puede llamar proteccin de la privacidad, si se trata de datos personales y
mantenimiento de la seguridad en el caso de datos institucionales.
Garantizar el acceso a todos los datos importantes a las personas que ejercen
adecuadamente su privilegio de acceso: Las cuales tienen la responsabilidad de
proteger los datos que se les ha confiado.
En general, la proteccin de los datos requiere ejercer un control sobre la lectura,
escritura y empleo de esa informacin. Para obtener mayor eficiencia en la proteccin
se debe tener siempre presente la proteccin de los datos, el mantenimiento de la
privacidad y la seguridad del secreto.
El secreto se logra cuando no existe acceso a todos los datos sin autorizacin. La
privacidad adecuada puede lograrse cuando los datos que puedan obtenerse no pueden

enlazarse a individuos especficos o no pueden utilizarse para imputar hechos acerca

de ellos.
Sin adecuadas medidas de seguridad se puede producir accesos no autorizados a:
rea de Sistemas.
Computadoras personales y/o Terminales de la red.
Informacin Confidencial.

Control de Acceso al rea de Sistemas

La libertad de acceso al rea de sistemas puede crear un significativo problema de

seguridad.
El acceso normal debe ser dado solamente a la gente que regularmente trabaja en esta
rea. Cualquier otra persona, de otro modo puede tener acceso nicamente bajo
control.
Mantener la seguridad fsica del rea de sistemas es la primera lnea de defensa. Para
ello se debe tomar en consideracin el valor de los datos existentes, el costo de
proteccin, el impacto que su prdida podra tener en la Institucin y la motivacin,
competencia y oportunidades de la gente que podra querer daar los datos o el
sistema.
Por lo tanto se establecen las siguientes polticas de control de accesos:

Se definir una lista de personas autorizadas para ingresar al rea de cmputo y

solamente estas personas podrn entrar a menos que cuenten con la autorizacin
expresa del Gerente General de la Cooperativa.

Se debe constituir y mantener un rea de cmputo con acceso restringido

mediante la colocacin de cerraduras de seguridad en la puerta de acceso al rea
de cmputo.
Se debe de mantener un registro de acceso que documentar el ingreso y salida
del personas al rea, notando los motivos del ingreso al rea.
Las dems polticas especficas de seguridad son:
1.- La contrasea es personal, no debe ser prestada bajo ninguna condicin. Si
por el contrario se ve obligado a compartirla o sospecha de un posible uso sin su

autorizacin deber cambiarla inmediatamente y reportar esto al personal tcnico del

Departamento de Informtica. No utilizar combinaciones de nombres de algn
familiar, fechas de nacimientos. Los nombres de contrasea deben ser de lo mas
absurdo y adems agregar caracteres especiales y deben cambiarse con frecuencia.
2.- Compartir informacin en la red, asegrese de compartir solamente los
archivos necesarios en ningn momento debe compartir toda una unidad de su Disco
Duro.
3.- Por ningn motivo debe instalar programas que prometen realizar
determinadas funciones, generalmente los programas gratis en INTERNET tienen
el costo de dejarnos vulnerables ante ataques maliciosos de troyanos
4.- Por ningn motivo debe transportar informacin de la Cooperativa fuera de las
instalaciones de la misma. Cuando se lleva fuera corremos el riesgo de no contar con
las mismas medidas de seguridad y atentar contra la seguridad de los datos
transportados.
5.- Al ausentarse de sus labores deben desconectar la lnea telefnica o el acceso a
INTERNET de la maquina o simplemente apagar los equipos. Esto evitara que
los programas maliciosos que se ejecutan a medianoche puedan obtener informacin
que puede comprometer la seguridad.
6.- Utilizar claves de usuario limitado en los equipos, esto evitara que los
programas de auto ejecucin se instalen sin autorizacin.
El Encargado de Seguridad Informtica debe velar por el cumplimiento con estas
polticas.
2.

Polticas sobre Uso de Software

El propsito de la presente poltica es el de definir el uso, mantenimiento e instalacin
de los diferentes programas (Software) que usa la cooperativa y que se encuentra
instalado en los equipos de computacin a cargo de todos los usuarios.
Todos los computadores estn licenciados para el uso de Sistemas Operativos
Windows 95/2000/XP/etc. y aplicativos de usuario final como Office, Acrobat
Reader, Paint, Internet Explorer, en algunos casos puntuales existe la autorizacin
de uso de Software adicional, de acuerdo a la lista de programas de Software
autorizado que proveer el Departamento de Informtica de la Central.
Est expresamente prohibido el uso de software perteneciente a la cooperativa con
fines personales o particulares, considerndose el incumplimiento a esta poltica

una falta que se sancionara de acuerdo al reglamento interno de la Cooperativa.

La instalacin de software de propiedad del usuario en equipos de Cooperativa
esta igualmente prohibido, as como la instalacin de software obtenido del
Internet, ya que este es uno de los orgenes de propagacin de virus que ponen en
riesgo tanto a los equipos como a la informacin que contienen.
Todo funcionario de la Cooperativa tiene la obligacin de informar al Gerente
General y al Departamento de Informtica, cualquier incumplimiento a la presente
poltica.
El Departamento de Informtica de la Central llevar un programa de revisin y
control del cumplimiento de esta poltica e informar a la Gerencia General y/o el
Consejo de Administracin por escrito sobre el nivel de cumplimiento con estas
polticas.
En caso de recibir soporte tcnico local para el mantenimiento de equipos de
cmputo y y actualizacin de software autorizado, estos procesos deben de ser
coordinados con el Departamento de Informtica de la Central de tal manera de
poder minimizar los tiempos de espera para la re-instalacin de software de la red
de Cooperativas (SAF2000, Delta Works, PERLAS, etc.)
La informacin que se encuentra en los diferentes equipos de la Cooperativa es
propiedad exclusiva de esta y el usuario no podr entregar dicha informacin a otras
personas o entidades ajenas a la Cooperativa o la Central de Cooperativas, por ningn
medio ni magntico ni a travs de correo electrnico, en forma total o parcial sin
contar con la autorizacin expresa de la Gerencia General, basado en convenios de
cooperacin o cumplimiento con requisitos de las autoridades legales.
3.

Polticas sobre Uso de Hardware

La presente poltica tiene como objetivo definir normas y procedimientos para el uso
adecuado, mantenimiento e instalacin de los diferentes recursos de hardware (fsicos)
de las Cooperativas, y que se encuentra a cargo de cada uno de los usuarios.
Los bienes informticos sern cargados al inventario del funcionario responsable
y su movilizacin no se podr realizar sin la aprobacin de la Gerencia General.
Solo personal tcnico autorizado por el Encargado de Seguridad Informtica de la
Cooperativa puede revisar, configurar y dar soporte a los bienes informticos.
El usuario debe velar que su equipo est en excelentes condiciones, buena

ventilacin, libre de suciedad y cerca de los equipos de cmputo no deben haber

lquidos, comida, celulares o materiales que puedan causar daos en su normal
funcionamiento.
En los tomacorrientes donde se alimenten los equipos de cmputo, no se deben
conectar otros equipos que interfieran con el consumo de energa.
Se debe propender por el uso de unidades ininterrumpidas de potencia, para
prevenir daos en los equipos ante ausencia de corriente.
Es prioritario contar con un medio ambiente ptimo para un correcto desempeo de
todos y cada uno de los recursos de la red, por lo que se mejorara o implementara:
Proteccin fsica del cableado tanto de red como elctrico, en sitios donde exista
deterioro o ausencia de estos:
Extintor(es) al interior del rea.
Ventilacin, para asegurar temperaturas promedio normales de operacin de los
equipos.
Restriccin en el acceso al rea
Hub de Backup
Cables de Red (UTP) de backup
De igual manera se debe establecer y mantener un rea de cmputo que optimiza las
condiciones de seguridad fsica, ventilacin y flujo electrco. Estas condiciones sern
acordadas entre la Central y caca Cooperativa en dependencia de sus condiciones
existentes y el acuerdo de las condiciones se convertirn en parte integral de estas
polticas.
4.

Polticas de Administracin y Seguridades

El propsito de la presente poltica es el de definir el rol en cuanto a seguridad que
deben desempear los participantes de los procesos computacionales, para lo cual se
deber;
Investigar qu recursos e informacin se debe proteger y valorarla para
asegurarla.
Determinar qu elementos de la red tienen importancia y merecen ser protegidos.
Definir que informacin est prohibida de enviar / recibir

 Definir la participacin de personas que estn involucradas, tratando de ajustar las

seguridades a los recursos disponibles.
Es importante indicar que las polticas deben ser transparentes, y no constituyen
molestia para los usuarios.
Para el usuario:
El usuario cambiar sus contraseas de acuerdo a las circunstancias que se
presenten, siendo el perodo mximo que debe transcurrir de 3 meses.
Todos los usuarios tendrn acceso a los siguientes servicios: Buzn (para
intercambio interno de archivos), correo electrnico interno y definir los que
tendrn acceso a Internet.
El usuario no deber realizar ningn tipo de instalacin tanto de software como de
hardware, en los recursos asignados a l y peor aun en los de otro usuario.
El usuario no utilizara la conexin (red) para otros propsitos con excepcin de
facilitar la conectividad a los servicios y los productos proporcionados por la
Cooperativa.
Introduccin de programas malvolos en la red o el servidor (e.j., virus y
gusanos).
No deber efectuar aberturas de la seguridad o interrupciones de la comunicacin
(red). Para los propsitos de este prrafo, la interrupcin incluye, pero no se
limita a las exploraciones de puertos y pings.
Las palabras claves no deben aparecer en la pantalla al ser ingresadas, tampoco
deben imprimirse o mantenerse en la mquina, y mucho menos en un medio que
se encuentre en lugar visible.
Le es prohibido efectuar cualquier forma de vigilancia de la red que intercepte al
servidor, red o cuenta, o interferir o negar el servicio a cualquier usuario. Usar
cualquier programa/script/comando, o enviar los mensajes diseados para
interferir o invalidar la sesin de un usuario, va cualquier medio.

Del Encargado de Seguridad Informtica:

Controlar el acceso a los archivos que no pertenecen al usuario
Reducir al mximo el compartir archivos y/o carpetas de acceso general en todos
los equipos de cmputo y los que amerite protegerlos con claves de acceso.

 Denegar el acceso a recursos del sistema computacional de los usuarios o de la

cooperativa, para no permitir la instalacin o manejo inapropiado y sin
autorizacin, de software y hardware (deshabilitar, segn los casos, unidades de
disquete, discos duros, CD/CDRW) a fin de cumplir con las polticas de uso de
hardware y software.
Cambiar inmediatamente la clave de acceso a los empleados que tengan ausencias
definitivas de sus cargos o terminacin de sus contratos.

Del Departamento de Informtica de la Central:

Permitir a los usuarios el acceso a los archivos comunes.
Definir el acceso/bloqueo a los recursos y servicios que se originan desde o hacia
el centro de cmputo.
Graficar los recursos de la red a fin de mantener el registro actualizado de sus
componentes.
Para los sistemas crticos o de gran importancia, como el SAF2000, el
Departamento de Informtica de la Central de Cooperativas debe realizar
auditoria, para asegurar que las acciones que se tomen estn asociadas con los
usuarios especficos, que tengan permiso para utilizarlos, mediante los perfiles de
usuario y contraseas.
En las oficinas y Centro de Cmputo
Las computadoras cliente y servidor(es) instalados en cada una de las oficinas
deben estar a cargo, cuidado y mantenimiento del administrador o de la persona
delegada para el efecto.
Se llevar un registro de los usuarios de las computadoras cliente.
Vigilar que no existan daos del cableado, mensualmente.
Cuidado y mantenimiento del switch(s) o Hub, enrutador, servidor(es) ubicados
en el Departamento de cmputo u oficinas.
Extintor de fuego.
Material no combustible.
Sistema elctrico con proteccin a tierra.
Control que dispare los breakers automticamente cuando se presente un

cortocircuito.
5.

Polticas de Respaldo
Definir las bases de datos y archivos a respaldar. Por la importancia que tiene el
normal desenvolvimiento de la Cooperativa se han definido en orden de prioridad los
archivos que debern ser respaldados:
1. Base de Datos del Sistema de la Cooperativa (SAF2000)
2. Directorio de archivos de clientes (Fotos y firmas)
3. Archivos histricos de los usuarios, incluyendo los documentos de Office, correos
electrnicos y dems archivos.

Definicin de Procesos
1. Respaldo diario de las Bases de datos del Sistema de la Cooperativa
Se debe ejecutar el siguiente proceso a fin de obtener el respaldo respectivo de la Base
de datos.
1. Ejecutar en el Servidor o en un telnet, como usuario administrador del
sistema, el respaldo.
2. Empaquetar el directorio destino del respaldo.
3. Comprimir el archivo empaquetado
4. Enviar el resultante va FTP a equipo en donde se guardaran los respaldos o de
la manera acostumbrada o a adoptar.
5. Grabar el CD o el medio determinado (disponible) con el respaldo del da.
6. Enviar por lo menos una vez a la semana el respaldo a la Oficina Operativa.
En caso de que el respaldo corresponda a fin de mes proceder para su envo al
casillero en el Banco o a una localidad segura externa a la cooperativa matriz
donde funciona el centro de cmputo.

2. Respaldo Semanal de archivos fotogrfico de clientes (fotos y firmas).

Grabar en el CD o el medio determinado (disponible) los archivos ubicados en el
equipo servidor de documentos digitalizados (solamente de nuevos clientes como un

proceso de respaldo incremental). Enviarlo conjuntamente con el respaldo mensual al

casillero del Banco o a una localidad segura externa a la cooperativa matriz donde
funciona el centro de cmputo.
3. Respaldo Mensual de Archivos de Usuario
Se identificara por parte de cada uno de los usuarios los archivos de importancia para
el normal desarrollo de sus actividades, a fin de obtener el respaldo respectivo de
estos, as tambin los que por su naturaleza e importancia ameritan ser respaldados
para un eventual uso futuro. Se debe de grabar en el CD o el medio determinado
(disponible) los archivos identificados y enviarlo conjuntamente con el respaldo
mensual al casillero del Banco o a una localidad segura externa a la cooperativa matriz
donde funciona el centro de cmputo.
5.

Polticas de Adquisicin de Software y Hardware

Para la adquisicin del software intervienen algunos factores principales entre los que
se tiene:

Asignar el personal (Encargado de Seguridad Informtica)

Calificacin de Proveedores

Preparar listas de requerimientos (Bases Tcnicas)

Requisicin de propuestas (Proformas y servicios)

Evaluar alternativas

Presentar informe de alternativas

Contactar usuarios para confirmar

Adquisicin y Garantas

Consideraciones generales

El proceso de adquisicin de bienes informticos se rige por lo establecido en el

procedimiento de adquisiciones de la Cooperativa.

La forma de adquisicin de los bienes informticos debe ser el resultado de un

estudio en donde la relacin costo / beneficio sea la variable determinante.

Se establece un sistema de evaluacin de los proveedores para garantizar un

ptimo nivel de cumplimiento.

6.

En Encargado de Seguridad Informtica solicitar cotizaciones a los proveedores

activos del Registro de proveedores de la entidad.

Los equipos a cotizar deben ser compatibles o de marca, de ltima tecnologa y

tcnicamente comparables.

Otras Polticas De Uso De Computadoras Y Seguridad

Usos Aceptables del Servicio Internet
Los funcionarios las Cooperativas podrn utilizar los servicios de Internet para los
siguientes propsitos:
La comunicacin entre investigadores, economistas y personas relacionadas con
las labores desempeadas en el mbito nacional y extranjero
Comunicacin e intercambio con otras instituciones con el fin de tener acceso a
los ltimos avances relacionados con la especialidad del personal.
Anuncios o servicios nuevos para el uso de los usuarios en general, pero no para
publicidad de tipo comercial o personal alguno.

Usos Inaceptable del Servicio Internet

Debido al alto nivel de seguridad con el que se debe contar en las Cooperativas, las
claves de acceso al servidor de WEB debern de ser estrictamente confidenciales y
personales. Adems de censurar la visita de pginas en la red dedicadas a reas que no
sean de inters investigativo, econmico, legal, etc., o bien que simplemente se haga
mal uso de los recursos para accesar informacin no relacionada con el rea de trabajo.
Se prohben los siguientes tpicos:
Utilizar los servicios de comunicacin, incluyendo el correo electrnico o
cualquier otro recurso, para intimidar, insultar o acosar a otras personas, interferir
con el trabajo de los dems provocando un ambiente de trabajo no deseable dentro
del contexto de las polticas de las Cooperativas.
Utilizar los recursos de las Cooperativas para ganar acceso no autorizado a redes
y sistemas remotos
Provocar deliberadamente el mal funcionamiento de computadoras, estaciones o
terminales perifricos de redes y sistemas.

 Monopolizar los recursos en perjuicio de los otros usuarios, incluyendo: el envo

de mensajes masivamente a todos los usuarios de la red, iniciacin y facilitaciones
de cadenas, creacin de procesos innecesarios, generar impresiones voluminosas,
uso de recursos de impresin no autorizado
Poner informacin en la red que infrinja los derechos de los dems
Utilizar los servicios de red para juegos a travs del servicio de Internet o Intranet
Utilizar los servicios de red para ver publicaciones de deportes
Utilizar los servicios de red para ver publicaciones de pornografa.
Utilizar los servicios de red para enviar archivos que sean confidenciales
Cualquier actividad que sea lucrativa o comercial de carcter individual, privado o
para negocio particular.
Acceso a lugares obscenos, que distribuyan libremente material pornogrfico, o
bien materiales ofensivos en perjuicio de terceros
Cada usuario es el responsable final de sus acciones cuando accede a los servicios
disponibles.

Antivirus
Desconfe de todos los mensajes que vengan de Internet pues pueden estar
infectados con virus, por lo cual las opciones dentro del programa de antivirus
establecido deben de activarse de tal forma que se chequeen todos los archivos
an los que se encuentren compactados y que la accin que debe seguirse sea la
de eliminar el virus automticamente.
Si el mensaje que se detecta tiene un virus que no puede ser removido, entonces el
mensaje no debe ser salvado o abierto y debe ser eliminado por completo.
Se debe chequear en forma constante la mquina para evitar virus al momento de
enviar documentos adjuntos.
Cada usuario es responsable por los adjuntos que enva, se tomarn las medidas
respectivas en caso de que un mensaje sea enviado con virus.