Archive for abril, 2011


Saludos amigos!

Hola amigos!

Bienvenidos a mi blog. Pretendo que este sea un espacio para colocar varios temas relacionados con la tecnología, visto desde varios tópicos: técnicos, legales, etc.
La autora

Anuncios

Gestión de Incidentes

La Gestión de Incidentes tiene como objetivo resolver cualquier incidente que cause una interrupción en el servicio de la manera más rápida y eficaz posible.

El objetivo es levantar el servicio interrumpido de manera rápida y efectiva;  para esto, primeramente se analiza el incidente y sus consecuencias al nivel técnico más bajo aplicando la solución, si este equipo no consigue solucionarlo, se va escalando a los niveles técnicos más altos, hasta conseguir resolverlo. En todo caso, o incidencia, éste debe ser registrado, con la finalidad de manejar un histórico de cada suceso en el sistema y de esta manera mejorar la gestión de éstos.

Ejemplo de incidentes podrían ser :

  • Bloqueo del sistema por causa de virus, los antivirus no fueron debidamente actualizados o configurados
  • Fallos eléctricos
  • Abandono de los equipos por parte de los usuarios, mientras ejecuta los sistemas de información, facilitando el acceso directo sobre los sistemas

Gestión de Problemas

Un problema podría definirse como la ocurrencia constante o repetitiva del mismo incidente.

En este caso, lo primero que debe hacerse es identificar el problema, las causas u orígenes que lo ocasionan y las consecuencias que trae consigo. En este caso, va a ser muy importante realizar no solamente el registro del problema sino las posibles soluciones ejecutadas y los resultados obtenidos, de modo de poder re-estructurar constantemente el Plan de Gestión.

Ejemplos de problemas:

–          Saturación del ancho de banda

–          Colisión en la red

–          Caídas constantes del sistema

–          Pérdida de datos

Gestión de Configuraciones

Todo Sistema de Información,  se monta sobre una infraestructura determinada. Esta infraestructura debe ser cuidadosamente diseñada, de modo de poder ejercer acciones de control.

Para esto, se debe:

–          Planificar, diseñar la infraestructura

–          Clasificar los componentes de la estructura

–          Realizar monitoreo constante sobre el esquema de la infraestructura

–          Controlar los cambios o actualizaciones sobre la infraestructura, procurando además la actualización de la documentación de la misma.

–          Realizar auditorías constantes acerca de los cambios y la forma en que éstos han sido manejados

Es importante tener en cuenta la interacción de éste con las Gestiones de Incidentes, Problemas, Cambios y versiones.

Gestión de Cambios

Siendo que la tecnología cambia constantemente y a pasos vertiginosos, los cambios en las instituciones son muy normales y a veces imperceptibles. Siendo asi, es importante tener un registro de todos los cambios realizados para verificar la ocurrencia de incidencias, problemas y otros aspectos que podrían derivarse sobre el Sistema de Información.

Ejemplos de las razones de cambios son:

–          Solución de errores conocidos

–          Desarrollo de nuevos servicios

–          Mejora de los servicios existentes

–          Imperativo legal

Ante esto, será recomendable aplicar el siguiente proceso:

–          Análisis del cambio a efectuar, determinando la factibilidad del mismo

–          Clasificación del cambio

–          Registro del cambio –observar frecuencia del mismo-

–          Aprobación y planificación del cambio

–          Pruebas

–          Si no se superan las pruebas, deberá revisarse nuevamente la fase de análisis y empezar el proceso otra vez.

Gestión de Entrega

Respecto de la implementación de las nuevas tecnologías en el sistema de Información, aquí se debe realizar una minuciosa observación de todos los aspectos inmersos en la puesta en marcha de los cambios.

Debe trabajarse de manera estrecha con la Gestión de Cambios y la de Configuraciones, de modo de poder registrar de manera precisa el comportamiento del sistema en las nuevas condiciones, clasificando para esto, en niveles de:

–          Entorno de desarrollo

–          Entorno de pruebas

–          Entorno de producción

Y realizar las adecuaciones necesarias para que los resultados obtenidos sean los esperados.

¿Qué son los Blog?

La historia del mundo se ha podido levantar gracias al trabajo de los miles de personajes que en cada época han ido tomando “nota” de los sucesos vividos. Esto dice mucho de la necesidad del hombre de registrar su cotidianidad en diversos aspectos; hoy en día, gracias a la tecnología, existe la posibilidad de no solamente realizar estos registros sino compartirlos y ponerlos a discusión “en línea”… Aquí entran los blogs, definidos en wikipedia como “un sitio web periódicamente actualizado que recopila cronológicamente textos o artículos de uno o varios autores, apareciendo primero el más reciente, donde el autor conserva siempre la libertad de dejar publicado lo que crea pertinente”
Los blog –abreviatura de web-log (bitácora o diario de red o en la red), como tales, nacen en la década de los 90’s, usados en aquel entonces como diarios personales incorporando eventualmente apartados en donde se publicaron información especializada respecto de las experiencias en desarrollo de tecnología, por ejemplo (Kibo).
En principio, los blog requerían conocimientos técnicos respecto de su administración y uso –hablando de la tecnología- sin embargo esto ha ido cambiando de tal manera que las plataformas utilizadas para su utilización hoy son tan sencillas, que cualquier persona con conocimientos básicos de computación puede hacer uso de ellas.
Es así, que tras un comienzo lento, los blog fueron ganando popularidad y variedad respecto de los temas tratados, a tal punto que ahora éstos, dependiendo del contenido se clasifican en los siguientes tipos: periodístico, empresarial o corporativo, tecnológico, educativo (edublogs), políticos, personales (Contenidos de todo tipo), entre otros.
En este contexto, los edublogs nacen como el sitio perfecto para tratar asuntos educativos; un lugar preferido por maestros en su mayoría, quienes hacen uso de la herramienta para publicar artículos sobre temas propios de su academia y compartirlos con sus estudiantes o incluso con otros colegas en su ámbito profesional, todo ello inmerso en el propósito de apoyar el proceso enseñanza-aprendizaje, aprovechando la popularidad de la web. Estos sitios, son usados de manera interactiva de modo que no solamente se accede a la lectura de las publicaciones, sino que se genera discusión de los temas y la compartición lógicamente de las aportaciones de cada uno de los miembros de lo que incluso podría llamarse una comunidad “bloggera”.
En conclusión, se puede decir que los blog son los sitios para publicar, acceder, compartir información y los edublogs, son una especialidad de blog en el área educativa.

Ventajas del uso de los Edublogs

Haciendo una inspección breve en la red, he podido recopilar una lista de las ventajas de los edublogs, expresadas por quienes llevan algún tiempo haciendo uso de ellas, he aquí la lista en mención:

  • Flexibilidad de plazos y estilos.
  • Actualización y revisión constante.
  • Pacto de lectura “work in progress” que acoge la rectificación.
  • Construcción de conocimiento en red de forma colaborativa
  • Recapitulación de aprendizajes.
  • Facilidad para la realización de Proyectos de escritura.
  • Realización de Proyectos de investigación, de manera individual y colectiva
  • Sentido de pertenencia.
  • Gestión de la Comunicación interna y externa (individual y grupalmente). Ej. Blogging thougths
  • Organización de la documentación.
  • Hábito de lecturas actualizadas.
  • Banco de pruebas de ideas.
  • Feedback de públicos diversos. Ejercicio de la Didacticidad: Saber y Comunicar.
  • Divulgación científica no mediatizada. Contacto directo con los lectores.
  • Nuevos campos para la publicación. Los círculos académicos son escasos y de difícil acceso.
  • Construcción de una identidad como autores.
  • Transparencia de los procesos científicos. Valor añadido de los descartes.
  • Contextualizar información existente en la red.
  • Nuevas redes sociales y entornos de relación. Transciende barreras espacio-temporales (departamento, congresos, etc.)
  • Trabajar en procesos dialógicos, en constante testeo y reestructuración.
  • Manejar datos provisionales.

Uso de los Edublogs, la responsabilidad implícita

Siendo que los Edublogs se utilizan como una herramienta que principalmente brinda apoyo al proceso enseñanza – aprendizaje, y considerando además que la Internet posee una gran cantidad de información respecto de varios temas que la sociedad maneja hoy en día; se corre el riesgo de hacer uso indebido de ambas herramientas, -por ejemplo- al publicar alguna información, sea de la redacción de artículos, de resultados de investigaciones, de fotos, vídeos u otros similares como propios.

En otras palabras, se corre el riesgo de no respetar los derechos de autoría de quien los realizó en principio. Es por esto, que de a poco se han venido organizando una serie de acciones a nivel colectivo –comunidades- e incluso individual, en torno a este tema. Tal es así, que dentro de los grupos de blogs normalmente se despliegan una serie de requisitos para “acoger” a los nuevos miembros, requisitos que buscan entre otras cosas, mantener la integridad del grupo.

Otro tipo de argumentos en cuanto a la información a publicar, tiene que ver con los aspectos legales o más bien éticos que conlleva la utilización de la información creada o generada por alguien más. Aspectos como la originalidad de los contenidos publicados, el uso de los contenidos ajenos -entre otros- son aquellos a considerar al momento de publicar información.

Sobre esto, me permito citar algunos puntos sobre ética que publica Rebecca Blood.

  1. Publica como hecho sólo que creas que es verdad
  2. Si el material existe online, haz un hiperenlace al mismo cuando lo cites.
  3. Corrige públicamente cualquier desmentido
  4. Escribe cada entrada como si no se pudiera editar: añade, pero no reescribas ni borres nada.
  5. Revela cualquier conflicto de intereses.
  6. Da cuenta de cualquier fuente que sea cuestionable o partidista.

Ejemplo de este conjunto de reglas, se puede consultar en los siguientes apartados:

http://tiscar.com/publicar-un-blog-de-forma-libre-y-responsable/

http://www.rebeccablood.net/essays/ten_tips_espanol.html

http://edublog.lacoctelera.net/ à Artículo: Copiar o no copiar ¿Qué y cómo?

El siguiente documento, recoge una serie de políticas que se pueden implementar en una Institución Municipal. Se ha tomado como ejemplo el Municipio de mi localidad.
1.1 Generalidades
El cambiante mundo de la tecnología, trae consigo implícita la exigencia de la interconexión al mundo a través de la WEB o incluso a nivel local entre redes, de tal manera que no existe al momento una empresa o institución que no se encuentre “a la vista” de los cibernautas.
Siendo el Municipio una institución gubernamental que posee información sensible a posibles intromisiones o violaciones de la información base de sus operaciones, se hace necesario la implementación de un Plan que le permita asegurar la correcta utilización de su bien más preciado, como lo es la información.
Siendo que este Plan afecta a la Institución en general, va a ser necesario, asimismo prever las acciones necesarias para implantarlo dentro de Políticas Generales de la misma, considerando además todas aquellas acciones necesarias para su socialización y aseguramiento de su constante actualización y pruebas de ejecución, tal como ocurriría con cualquier plan de contingencias.

1.2 Alcance de las Políticas
Dadas las características de los bienes a preservar, el alcance del mismo se limita a la Institución de manera particular.

1.3 Objetivos
Establecer las directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información del Gobierno Municipal del cantón Esmeraldas
1.3.1 Realizar una evaluación de riesgos para identificar las amenazas para los activos, evaluar la vulnerabilidad y la probabilidad de ocurrencia y de esta manera estimar el impacto.
1.3.2 Establecer los requisitos legales, estatutarios, reglamentarios y contractuales que deba cumplir la Institución, sus dependencias, personal y todos aquellos relacionados con el accionar de la misma.
1.3.3 Asegurar el mantenimiento, actualización y gestión de las Políticas identificadas, a través de la inclusión de las mismas en el Reglamento interno de la Institución, así como en los Planes Operativos.
1.4 Análisis de las razones que impiden la aplicación de las Políticas de Seguridad Informática
Si bien es cierto, hoy en día el uso de la tecnología dentro de las empresas resulta trivial, no así la capacidad de asimilar la necesidad de definir e implementar buenas políticas de seguridad. En el caso de las Instituciones que tienen influencia política, como en el caso del Municipio de Esmeraldas, los esfuerzos de quien las dirigen más bien en ejecutar obras “que se vean”, o se vendan políticamente, dejando de lado aspectos tan importantes como el que nos compete.
Otro aspecto puede ser la falta de aplicación de aspectos de mercadeo al momento de exponer los planes de implementación tecnológica.
Por esto, la importancia de realizar planes de crecimiento tecnológico a nivel corporativo e integral, observando los resultados en función de las necesidades y accionar de la Institución, no como un ente aislado sino más bien como el soporte para la consecución de la gestión Municipal.

1.5 Responsabilidades
Es responsabilidad del Jefe del Departamento de Sistemas, desarrollar, someter a revisión y divulgar en adición a los demás medios de difusión (intranet, email, sitio web oficial, revistas internas) de los Procedimientos de Seguridad. Asimismo, es responsabilidad de la Unidad de Recursos Humanos realizar las acciones necesarias para capacitar a los empleados en lo relacionado con los Procedimientos de Seguridad.

1.6 Definición de Políticas de Seguridad Informática
1.6.1 Disposiciones Generales
En esta sección del documento se presenta una propuesta de políticas de seguridad, como un recurso para mitigar los riesgos a los que el Gobierno Municipal del cantón Esmeraldas se ve expuesto.
Art. 1.- Se debe procurar mantener estándares tanto de hardware como de software en el parque tecnológico de la Institución, velando con ello la compatibilidad y homogeneidad del mismo.
Art. 2.- Con el fin de dar cumplimiento al Art. 1, se conformará un Comité, el cual estará conformado por la máxima autoridad o un delegado de éste, los Directores Departamentales, responsable de adquisiciones, los cuales deberán tratar los aspectos concernientes a:
– Adquisiciones de hardware y software
– Establecimiento de estándares del parque tecnológico
– Establecimiento de la infraestructura tecnológica del grupo
– Seguimiento de los procesos de actualización y adquisiciones,
Además, deberán velar por:
– Velar por el funcionamiento de la tecnología informática que se utilice en las diferentes áreas.
– Elaborar y efectuar seguimiento del Plan Maestro de Informática
– Definir estrategias y objetivos a corto, mediano y largo plazo
– Mantener la Arquitectura tecnológica
– Controlar la calidad del servicio brindado
– Mantener el Inventario actualizado de los recursos informáticos
– Velar por el cumplimiento de las Políticas y Procedimientos establecidos

Art. 3.- Para los efectos de este documento, se entiende por Políticas en Informática, al conjunto de reglas obligatorias, que deben observar los Jefes de Sistemas responsables del hardware y software de la Institución, siendo responsabilidad de la Administración de Informática, vigilar su estricta observancia en el ámbito de su competencia, tomando las medidas preventivas y correctivas para que se cumplan.
Art. 4.- Las Políticas en Informática son el conjunto de ordenamientos y lineamientos enmarcados en el ámbito jurídico y administrativo del Gobierno Municipal. Estas normas inciden en la adquisición y el uso de los Bienes y Servicios Informáticos, las cuales se deberán de acatar invariablemente, por aquellas instancias que intervengan directa y/o indirectamente en ello.
Art. 5.- La instancia rectora de los sistemas de informática de la Institución es la Alcaldía, y el organismo competente para la aplicación de este ordenamiento, es el Comité.
Art. 6.- Las Políticas aquí contenidas, son de observancia para la adquisición y uso de bienes y servicios informáticos, cuyo incumplimiento generará que se incurra en responsabilidad administrativa; sujetándose a las sanciones que para el efecto se encuentren estipuladas en el Reglamento Interno de la Institución.
Art. 7.- El Bodeguero Municipal, en su calidad de administrador de los Bienes y Servicios, vigilará la correcta aplicación de los ordenamientos establecidos por el Comité y demás disposiciones aplicables

1.6.2 Lineamientos para la adquisición de Bienes Informáticos
Art. 8.- Toda adquisición de tecnología informática se efectuará a través del Comité, que está conformado por el personal de la Administración de Informática.
Art. 9.- La adquisición de Bienes de Informática, quedará sujeta a los lineamientos establecidos en este documento.
Art. 10.- La Administración de Informática, al planear las operaciones relativas a la adquisición de Bienes informáticos, establecerá prioridades y en su selección deberá tomar en cuenta: estudio técnico, precio, calidad, experiencia, desarrollo tecnológico, estándares y capacidad, entendiéndose por:
Precio
Costo inicial, costo de mantenimiento y consumibles por el período estimado de uso de los equipos;
Calidad
Parámetro cualitativo que especifica las características técnicas de los recursos informáticos.
Experiencia
Presencia en el mercado nacional e internacional, estructura de servicio, la confiabilidad de los bienes y certificados de calidad con los que se cuente.
Desarrollo Tecnológico
Se deberá analizar su grado de obsolescencia, su nivel tecnológico con respecto a la oferta existente y su permanencia en el mercado.
Estándares
Toda adquisición se basa en los estándares, es decir la arquitectura de grupo empresarial establecida por el Comité. Esta arquitectura tiene una permanencia mínima de dos a cinco años.
Capacidades
Se deberá analizar si satisface la demanda actual con un margen de holgura y capacidad de crecimiento para soportar la carga de trabajo del área.
Art. 11.- Para la adquisición de Hardware se observará lo siguiente:
– Los equipos a adquirir deberán estar enmarcados dentro del Plan de Adquisiciones de la Institución y dentro de los estándares definidos en la misma.
– Los equipos como servidores y otros equipos que se justifiquen por ser de operación crítica y/o de alto costo, deberán contar con un programa de mantenimiento preventivo y correctivo que incluya el suministro de refacciones al vencer su período de garantía.
– Los equipos complementarios deberán tener una garantía mínima de un año.
– Los dispositivos de almacenamiento, así como las interfaces de entrada/salida, deberán estar acordes con la tecnología de punta vigente, tanto en velocidad de transferencia de datos como en procesamiento.
– Las impresoras deberán apegarse a los estándares de Hardware y Software vigentes en el mercado, corroborando que los suministros (cintas, papel, etc.) se consigan fácilmente en el mercado y no estén sujetas a un solo proveedor.
– Todo proyecto de adquisición de bienes de informática, debe sujetarse al análisis, aprobación y autorización del Comité.
Art. 12.- Todos los productos de Software que se utilicen a partir de la fecha en que entre en vigor el presente ordenamiento, deberán regirse a lo estipulado por el gobierno nacional, en lo que tiene que ver con los estándares de tecnología a utilizar para estos efectos; para los casos excepcionales –que serán calificados como tales, por el Comité-, los productos deberán contar con su licencia de uso respectiva; por lo que se promoverá la regularización o eliminación de los productos ya instalados que no cuenten con el debido licenciamiento.
Art. 13.- Para la operación del software de red en caso de manejar los datos empresariales mediante sistemas de información, se deberá tener en consideración lo siguiente:
– Toda la información institucional deberá invariablemente ser operada a través de un mismo tipo de sistema manejador de base de datos para beneficiarse de los mecanismos de integridad, seguridad y recuperación de información en caso de presentarse alguna falla.
– El acceso a los sistemas de información, deberá contar con los privilegios ó niveles de seguridad de acceso suficientes para garantizar la seguridad total de la información institucional. Los niveles de seguridad de acceso deberán controlarse por un administrador único y poder ser manipulado por software.
– Se deben delimitar las responsabilidades en cuanto a quién está autorizado a consultar y/o modificar en cada caso la información, tomando las medidas de seguridad pertinentes.
– Los datos de los sistemas de información, deben ser respaldados de acuerdo a la frecuencia de actualización de sus datos, rotando los dispositivos de respaldo y guardando respaldos históricos periódicamente. Es indispensable llevar una bitácora oficial de los respaldos realizados, asimismo, los CDs de respaldo deberán guardarse en un lugar de acceso restringido con condiciones ambientales suficientes para garantizar su conservación. En cuanto a la información de los equipos de cómputo personales, el Departamento de Sistemas recomienda a los usuarios que realicen sus propios respaldos en la red o en medios de almacenamiento alternos.
– Todos los sistemas de información que se tengan en operación, deben contar con sus respectivos manuales actualizados. Un técnico que describa la estructura interna del sistema así como los programas, catálogos y archivos que lo conforman y otro que describa a los usuarios del sistema y los procedimientos para su utilización.
– Los sistemas de información, deben contemplar el registro histórico de las transacciones sobre datos relevantes, así como la clave del usuario y fecha en que se realizó (Normas Básicas de Auditoria y Control).
– Se deben implantar rutinas periódicas de auditoria a la integridad de los datos y de los programas de cómputo, para garantizar su confiabilidad.

1.6.3 Instalaciones de los equipos de cómputo
Art. 14.- La instalación de todo equipo de cómputo, quedará sujeta a los siguientes lineamientos:
– Los equipos para uso interno se instalarán en lugares adecuados, lejos de polvo y tráfico de personas.
– La Administración de Informática, así como las áreas operativas deberán contar con un croquis actualizado de las instalaciones eléctricas y de comunicaciones del equipo de cómputo en red.
– Las instalaciones eléctricas y de comunicaciones, estarán de preferencia fijas o en su defecto resguardadas del paso de personas o máquinas, y libres de cualquier interferencia eléctrica o magnética.
– Las instalaciones se apegarán estrictamente a los requerimientos de los equipos, cuidando las especificaciones del cableado y de los circuitos de protección necesarios.
– En ningún caso se permitirán instalaciones improvisadas o sobrecargadas
Art. 15.- La supervisión y control de las instalaciones se llevará a cabo en los plazos y mediante los mecanismos que establezca el Comité.

1.6.4 Lineamientos en informática: Información
Art. 16.- La información almacenada en medios magnéticos se deberá inventariar, anexando la descripción y las especificaciones de la misma, clasificándola en tres categorías:
– Información histórica para auditorias.
– Información de interés de la Empresa
– Información de interés exclusivo de alguna área en particular.
Art. 17.- Los jefes de área responsables de la información contenida en los departamentos a su cargo, delimitarán las responsabilidades de sus subordinados y determinarán quien está autorizado a efectuar operaciones emergentes con dicha información tomando las medidas de seguridad pertinentes.
Art. 18.- Se establecen tres tipos de prioridad para la información:
– Información vital para el funcionamiento del área;
– Información necesaria, pero no indispensable en el área.
– Información ocasional o eventual
Art. 19.- En caso de información vital para el funcionamiento del área, se deberán tener procesos colaborativos, así como tener el respaldo diario de las modificaciones efectuadas, rotando los dispositivos de respaldo y guardando respaldos históricos semanalmente.
Art. 20.- La información necesaria pero no indispensable, deberá ser respaldada con una frecuencia mínima de una semana, rotando los dispositivos de respaldo y guardando respaldos históricos mensualmente.
Art. 21.- El respaldo de la información ocasional o eventual queda a criterio del área.
Art 22.- La información almacenada en medios magnéticos, de carácter histórico, quedará documentada como activos del área y estará debidamente resguardada en su lugar de almacenamiento. Es obligación del responsable del área, la entrega conveniente de la información, a quien le suceda en el cargo.
Art. 23.- Los sistemas de información en operación, como los que se desarrollen deberán contar con sus respectivos manuales. Un manual del usuario que describa los procedimientos de operación y el manual técnico que describa su estructura interna, programas, catálogos y archivos.
Art. 24.- Ningún colaborador en proyectos de software y/o trabajos específicos, deberá poseer, para usos no propios de su responsabilidad, ningún material o información confidencial de la Institución tanto ahora como en el futuro.

1.6.5 Funcionamiento de los equipos de cómputo
Art. 25.- Es obligación de la Departamento de Sistemas vigilar que el equipo de cómputo se use bajo las condiciones especificadas por el proveedor y de acuerdo a las funciones del área a la que se asigne.
Art. 26.- Los funcionarios de la Institución al usar el equipo de cómputo, se abstendrán de consumir alimentos, fumar o realizar actos que perjudiquen el funcionamiento del mismo o deterioren la información almacenada en medios magnéticos, ópticos, o medios de almacenamiento removibles de última generación.
Art. 27.- Por seguridad de los recursos informáticos se deben establecer seguridades:
– Físicas
– Sistema Operativo
– Software
– Comunicaciones
– Base de Datos
– Proceso
– Aplicaciones
Por ello se establecen los siguientes lineamientos:
– Mantener claves de acceso que permitan el uso solamente al personal
– autorizado para ello.
– Verificar la información que provenga de fuentes externas a fin de corroborar que esté libre de cualquier agente contaminante o perjudicial para el funcionamiento de los equipos.
– Mantener pólizas de seguros de los recursos informáticos en Funcionamiento
Art. 28.- En ningún caso se autorizará la utilización de dispositivos ajenos a los procesos informáticos del área. Por consiguiente, se prohíbe el ingreso y/o instalación de hardware y software particular, es decir que no sea propiedad del Gobierno Municipal del cantón Esmeraldas, excepto en casos emergentes que la Dirección autorice.

1.6.6 Plan de contingencias Informáticas
Art. 29.- La Administración de Informática creará para los departamentos un plan de contingencias informáticas que incluya al menos los siguientes puntos:
– Continuar con la operación del área con procedimientos informáticos alternos.
– Tener los respaldos de información en un lugar seguro, fuera del lugar en el que se encuentran los equipos. –
– Tener el apoyo por medios magnéticos o en forma documental, de las operaciones necesarias para reconstruir los archivos dañados.
– Contar con un instructivo de operación para la detección de posibles fallas, para que toda acción correctiva se efectúe con la mínima degradación posible de los datos.
– Contar con un directorio del personal interno y del personal externo de soporte, al cual se pueda recurrir en el momento en que se detecte cualquier anomalía.
– Ejecutar pruebas de la funcionalidad del plan.
– Mantener revisiones del plan a fin de efectuar las actualizaciones respectivas.

1.6.7 Estrategias Informáticas
Art. 30.- La estrategia informática de la Institución Municipal, se consolida en el Plan Maestro de Informática y está orientada hacia los siguientes puntos:
– Plataforma de Sistemas Abiertos (Portables).
– Esquemas de operación bajo el concepto multicapas.
– Estandarización de hardware, software base, utilitarios y estructuras de datos
– Intercambio de experiencias entre Departamentos.
– Manejo de proyectos conjuntos con las diferentes áreas.
– Programa de capacitación permanente para los colaboradores de la empresa
Art. 31.- Para la elaboración de los proyectos informáticos y para la elaboración del presupuesto para los mismos, se tomarán en cuentan tanto las necesidades de hardware y software del área solicitante, como la disponibilidad de recursos con los que cuente la Institución, para lo cual deberá coordinar con la Dirección Financiera.

1.6.8 Acceso Físico
Art. 32.- Sólo al personal autorizado le está permitido el acceso a las instalaciones donde se almacena la información confidencial de la Institución.
Art. 33.- Sólo bajo la vigilancia de personal autorizado, puede el personal externo entrar en las instalaciones donde se almacena la información confidencial, y durante un período de tiempo justificado.

1.6.9 Identificadores de usuarios y contraseñas
Art. 34.- Todos los usuarios con acceso a un sistema de información o a una red informática, dispondrán de una única autorización de acceso compuesta de Oidentificador de usuario y contraseña.
Art. 35.- Ningún usuario recibirá un identificador de acceso a la Red de Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no acepte formalmente la Política de Seguridad vigente.
Art. 36.- Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por el responsable de la información.
Art. 37.- La longitud mínima de las contraseñas será igual o superior a ocho caracteres, y estarán constituidas por combinación de caracteres alfabéticos, numéricos y especiales.
Art. 38.- Los identificadores para usuarios temporales se configurarán para un corto período de tiempo. Una vez expirado dicho período, se desactivarán de los sistemas.

1.6.10 Responsabilidades Personales
Art. 39.- Los usuarios son responsables de toda actividad relacionada con el uso de su acceso autorizado.
Art. 40.- Los usuarios no deben revelar bajo ningún concepto su identificador y/o contraseña a otra persona ni mantenerla por escrito a la vista, ni al alcance de terceros.
Art. 41.- Los usuarios no deben utilizar ningún acceso autorizado de otro usuario, aunque dispongan de la autorización del propietario.
Art. 42.- Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y contraseña) está siendo utilizado por otra persona, debe proceder al cambio de su contraseña e informar a su jefe inmediato y éste reportar al responsable de la administración de la red.
Art. 43.- El Usuario debe utilizar una contraseña compuesta por un mínimo de ocho caracteres constituida por una combinación de caracteres alfabéticos, numéricos y especiales.
Art. 44.- La contraseña no debe hacer referencia a ningún concepto, objeto o idea reconocible. Por tanto, se debe evitar utilizar en las contraseñas fechas significativas, días de la semana, meses del año, nombres de personas, teléfonos.
Art. 45.- En caso que el sistema no lo solicite automáticamente, el usuario debe cambiar la contraseña provisional asignada la primera vez que realiza un acceso válido al sistema.
Art. 46.- En el caso que el sistema no lo solicite automáticamente, el usuario debe cambiar su contraseña como mínimo una vez cada 30 días. En caso contrario, se le podrá denegar el acceso y se deberá contactar con el jefe inmediato para solicitar al administrador de la red una nueva clave.
Art. 47.- Proteger, en la medida de sus posibilidades, los datos de carácter personal a los que tienen acceso, contra revelaciones no autorizadas o accidentales, modificación, destrucción o mal uso, cualquiera que sea el soporte en que se encuentren contenidos los datos.
Art. 48.- Guardar por tiempo indefinido la máxima reserva y no se debe emitir al exterior datos de carácter personal contenidos en cualquier tipo de soporte.
Art. 49.- Utilizar el menor número de listados que contengan datos de carácter personal y mantener los mismos en lugar seguro y fuera del alcance de terceros.
Art. 50.- Cuando entre en posesión de datos de carácter personal, se entiende que dicha posesión es estrictamente temporal, y debe devolver los soportes que contienen los datos inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos.
Art. 51.- Los usuarios sólo podrán crear ficheros que contengan datos de carácter personal para un uso temporal y siempre necesario para el desempeño de su trabajo. Estos ficheros temporales nunca serán ubicados en unidades locales de disco de la computadora de trabajo y deben ser destruidos cuando hayan dejado de ser útiles para la finalidad para la que se crearon.
Art. 52.- Los usuarios deben notificar a su jefe inmediato cualquier incidencia que detecten que afecte o pueda afectar a la seguridad de los datos de carácter personal: pérdida de listados y/o disquetes, sospechas de uso indebido del acceso autorizado por otras personas, recuperación de datos.
Art. 53.- Los usuarios únicamente introducirán datos identificativos y direcciones o teléfonos de personas en las agendas de contactos de las herramientas ofimáticas (por ejemplo en Zimbra).

1.6.11 Salida de la información
Art. 54.- Toda salida de información (en soportes informáticos o por correo electrónico) sólo podrá ser realizada por personal autorizado y será necesaria la autorización formal del responsable del área del que proviene y en el caso de Información de carácter Institucional, deberá sujetarse a las normas internas establecidas para tales casos.
Art. 55.- Además, en la salida de datos especialmente protegidos (como son los datos de carácter personal para los que el Reglamento requiere medidas de seguridad de nivel alto), se deberán cifrar los mismos o utilizar cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada durante su transporte.

1.6.12 Uso apropiado de los recursos
Art. 56.- Los Recursos Informáticos, Datos, Software, Red Corporativa y Sistemas de Comunicación Electrónica están disponibles exclusivamente para cumplimentar las obligaciones y propósito de la operativa para la que fueron diseñados e implantados. Todo el personal usuario de dichos recursos debe saber que no tiene el derecho de confidencialidad en su uso.
Queda Prohibido
Art. 57.- El uso de estos recursos para actividades no relacionadas con el propósito de la institución, o bien con la extralimitación en su uso.
Art. 58.- Las actividades, equipos o aplicaciones que no estén directamente especificados como parte del Software o de los Estándares de los Recursos Informáticos propios de la Institución.
Art. 59.- Introducir en los Sistemas de Información o la Red Corporativa contenidos obscenos, amenazadores, inmorales u ofensivos.
Art. 60.- Introducir voluntariamente programas, virus, macros, applets, controles ActiveX o cualquier otro dispositivo lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración o daño en los Recursos Informáticos. El personal de la Institución tendrá la obligación de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en los Sistemas de cualquier elemento destinado a destruir o corromper los datos informáticos.
Art. 61.- Intentar destruir, alterar, inutilizar o cualquier otra forma de dañar los datos, programas o documentos electrónicos.
Art. 62.- Albergar datos de carácter personal en las unidades locales de disco de los computadores de trabajo.
Art. 63.- Cualquier fichero introducido en la red corporativa o en el puesto de trabajo del usuario a través de soportes automatizados, Internet, correo electrónico o cualquier otro medio, deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual y control de virus.

1.6.13 Software
Art. 64.- Todo el personal que accede a los Sistemas de Información Municipales debe utilizar únicamente las versiones de software facilitadas y siguiendo sus normas de utilización.
Art. 65.- Todo el personal tiene prohibido instalar copias ilegales de cualquier programa, incluidos los estandarizados.
Art. 66.- También tiene prohibido borrar cualquiera de los programas instalados legalmente.

1.6.14 Recursos de Red
De forma rigurosa, ninguna persona debe:
Art. 67.- Conectar a ninguno de los Recursos, ningún tipo de equipo de comunicaciones (Ej. Antena de comunicación) que posibilite la conexión a la Red Corporativa.
Art. 68.- Conectarse a la Red Corporativa a través de otros medios que no sean los definidos.
Art. 69.- Intentar obtener otros derechos o accesos distintos a aquellos que les hayan sido asignados.
Art. 70.- Intentar acceder a áreas restringidas de los Sistemas de Información o de la Red Corporativa
Art. 71.- Intentar distorsionar o falsear los registros “log” de los Sistemas de Información.
Art. 72.- Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos telemáticos.
Art. 73.- Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el trabajo de otros Usuarios, ni dañar o alterar los Recursos Informáticos.
1.6.15 Conectividad a Internet
Art. 74.- La autorización de acceso a Internet se concede exclusivamente para actividades de trabajo. Todos los funcionarios de la Institución tienen las mismas responsabilidades en cuanto al uso de Internet.
Art. 75.- El acceso a Internet se restringe exclusivamente a través de la Red establecida para ello, es decir, por medio del sistema de seguridad con cortafuegos incorporado en la misma. No está permitido acceder a Internet llamando directamente a un proveedor de servicio de acceso y usando un navegador, o con otras herramientas de Internet conectándose con un módem.
Art. 76.- Internet es una herramienta de trabajo. Todas las actividades en Internet deben estar en relación con tareas y actividades del trabajo desempeñado.
Art. 77.- Sólo puede haber transferencia de datos de o a Internet en conexión con actividades propias del trabajo desempeñado.
Art. 78.- En caso de tener que producirse una transmisión de datos importante, confidencial o relevante, sólo se podrán transmitir en forma encriptada.

1.6.16 Actualizaciones de las Políticas de Seguridad
Art. 79.- Debido a la propia evolución de la tecnología y las amenazas de seguridad, y a las nuevas aportaciones legales en la materia, el Gobierno Municipal del cantón Esmeraldas, se reserva el derecho a modificar esta Política cuando sea necesario. Los cambios realizados en esta Política serán divulgados a todos los funcionarios de la misma.
Art. 80.- Es responsabilidad de cada uno de los funcionarios de la Institución la lectura y conocimiento de la Política de Seguridad más reciente.

1.6.17 Disposiciones Transitorias
Art. 1er.- Las disposiciones aquí enmarcadas, entrarán en vigor a partir del día siguiente de su difusión.
Art. 2do.- Las normas y políticas objeto de este documento, podrán ser modificadas o adecuadas conforme a las necesidades que se vayan presentando, mediante acuerdo del Comité señalado en el Art. 2 de este Documento; una vez aprobadas dichas modificaciones o adecuaciones, se establecerá su vigencia.
Art. 3ero.- Las disposiciones aquí descritas constarán de forma detallada en los manuales de políticas y procedimientos específicos.
Art. 4to.- La falta de conocimiento de las normas aquí descritas por parte de los colaboradores no los libera de la aplicación de sanciones y/o penalidades por el incumplimiento de las mismas.

1.6.18 Beneficios de Implantar Políticas de Seguridad Informática
Los beneficios de un sistema de seguridad con políticas claramente concebidas bien elaboradas son inmediatos, ya que la Institución trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:
– Aumento de la productividad.
– Aumento de la motivación del personal.
– Compromiso con la misión de la compañía.
– Mejora de las relaciones laborales.
– Ayuda a formar equipos competentes.
– Mejora de los climas laborales para los Recursos Humanos.