CONSEJO DE TRANSPORTE PÚBLICO Considerando

Consejo de Transporte Público

RE-TI-001 Reglamento de Seguridad Informática

Versión: 1.2 Fecha: 7 de

noviembre del 2020

1

CONSEJO DE TRANSPORTE PÚBLICO

La junta directiva del Consejo de Transporte Público, de conformidad con las atribuciones que para los efectos le confiere el numeral 7 de la Ley Reguladora del Servicio Público de Transporte Remunerado de Personas en Vehículos en la Modalidad de Taxi, Nº 7969 del 22 de diciembre de 1999 publicada el 28 de enero del 2000, artículos 11, 13, 59, 103, siguientes y concordantes de la Ley General de la Administración Pública, Nº 6227 de 1978.

Considerando:

1º—Que el Consejo de Transporte Público es un órgano de desconcentración máxima adscrito al Ministerio de Obras Públicas y Transportes, con competencia exclusiva en materia de regulación del transporte remunerado de personas.

2º— Que, en virtud de la naturaleza de la creación del Consejo de

Transporte Público, en el sector de transporte público remunerado de personas, y

enmarcado dentro de la política de seguridad informática, tomando en cuenta de

que la mayor parte de los funcionarios realizan tareas y responsabilidades

apoyándose en los sistemas y equipos informáticos que posee este Consejo, así

como para el resguardo de los sistemas y equipos informáticos del CTP.

3º— Que el Consejo de Transporte Público deberá velar por el uso

adecuado de los recursos recibidos por concepto de cánones, que son cobrados a

todos los concesionarios y permisionarios prestatarios del transporte público.

4º—Que, partiendo de estas necesidades, es necesario establecer un instrumento jurídico en el que se regulen los aspectos del uso de los bienes informáticos que sean adquiridos por el Estado como instrumentos de trabajo que como cualquier otro faciliten el mejor desempeño de las labores de los funcionarios públicos a quienes por necesidad comprobada y manifiesta les sea asignado este insumo, a efectos de determinar la licitud, procedencia, motivación y justificación de este proceder.

5º—Que de conformidad con lo que establece la Ley de autor y derechos

conexos N. 6683, Ley de protección de la persona frente al tratamiento de sus datos personales N. 8968, Ley de certificados, firmas digitales y documentos electrónicos N.8454,Decreto Ejecutivo N.37549-JP, Normas técnicas para la gestión y el control de las tecnologías (N-2-2007-CO-DFOE) emitida por la Contraloría General de la República, Política de formatos oficiales de los documentos electrónicos firmados digitalmente y Política de certificados para la Jerarquía nacional de certificadores registrados basado en el artículo 29 del Decreto Ejecutivo 33018-MICIT, entre otros, es necesario establecer la formulación de una reglamentación que permita y facilite la adecuada administración de los bienes, así como un control efectivo sobre su uso y

2

custodia. 6º—Que con fundamento en lo anterior se hace necesario emitir un

reglamento de responsabilidades y obligaciones en materia de seguridad informática para los funcionarios del Consejo de Transporte Público, aprobado por esta Junta Directiva mediante el acuerdo adoptado en el acuerdo adoptado en el artículo 7.17 de la sesión ordinaria 09-2015 del 18 de febrero del 2015 y se aprobó una modificación a los artículos 9,17, 18 y 19 por medio del artículo 7.17 de la Sesión Ordinaria 69-2015 del 16 de diciembre del 2015.

Por tanto,

Acuerdan el siguiente;

REGLAMENTO

RESPONSABILIDADES Y OBLIGACIONES EN MATERIA DE LA SEGURIDAD

INFORMATICA DE LOS FUNCIONARIOS DEL CONSEJO DE TRANSPORTE

PÚBLICO.

CAPITULO I

DISPOSICIONES GENERALES

Artículo 1. Definiciones generales, abreviaturas y acrónimos.

Para los efectos del presente reglamento se entiende por:

a- CTP: Consejo de Transporte Público.

b- Lugar de Contrato de Trabajo: Ubicación Geográfica de la dependencia en el

que el funcionario realiza el desarrollo normal de las labores según conste en el

contrato de trabajo firmado entre el CTP y el funcionario o en aquellos casos que

mediante acuerdo se desempeñen en el lugar establecido por dicho convenio.

c- Centro de Trabajo: Dependencia o lugar donde habitualmente labora el

funcionario.

d- Funcionario: Servidor del CTP, en propiedad, Interino o funcionario a préstamo

a través de convenios entre Instituciones Estatales.

e- Propietario: El Consejo de Transporte Público.

f- Administrador de la información: Es la unidad responsable o que puede

disponer sobre dicha información.

3

g- Custodio de la información: Los Custodios tienen la posesión física o lógica de

la información de aquélla que ha sido confiada al Consejo de Transporte Público.

h- Usuario de la información: Son personas físicas responsables de conocer y

cumplir todas las políticas, procedimientos y normas relativas a la seguridad

informática del Consejo de Transporte Público. Para tales efectos se debe

entender que pueden ser funcionarios que se encuentren desempeñando un cargo

para el CTP, o bien usuarios externos a la instrucción pero que a su vez realizan

alguna actividad relacionada con la información del CTP.

i- Sujetos Responsables. Son todos los funcionarios del Consejo de Transporte

Público en propiedad o interinos que presten servicios directamente al Consejo de

Transporte Público, en virtud de un acto válido y eficaz de investidura, con entera

independencia del carácter imperativo, representativo, remunerado, permanente o

público de la actividad respectiva.

j- Información confidencial: Se trata de una propiedad de la información que

pretende garantizar el acceso únicamente a las personas autorizadas por la

Institución a acceder a dicha información.

k- Información de uso interno: Es aquella información de uso cotidiano, que se

procesa y genera en la Institución para motivar algún acto propio, que conlleve a

un resultado que no afecta a la colectividad.

l- Información de uso público: Información generada en la Institución cuyo fin es

para uso estadístico, de estudio y de consulta, por lo que no contiene ninguna

restricción para su acceso físico o electrónico por parte de cualquier usuario.

m- TI: Departamento Tecnologías de la Información.

n- OGIRH: Oficina de Gestión Institucional de Recursos Humanos.

o- Titular Subordinado: Funcionario de la administración activa responsable de

un proceso, con autoridad para ordenar y tomar decisiones.

p- Base de datos: cualquier archivo, fichero, registro u otro conjunto estructurado

de datos, que sean objeto de tratamiento o procesamiento, automatizado o

manuales, cualquiera que sea la modalidad de su elaboración, organización o

acceso.

q- Datos personales: cualquier dato relativo a una persona física identificada o

identificable.

r- Datos personales de acceso irrestricto: los contenidos en bases de datos

públicas de acceso general, según dispongan leyes especiales y de conformidad

con la finalidad para la cual estos datos fueron recabados.

s- Datos personales de acceso restringido: los que, aun formando parte de

registros de acceso al público, no son de acceso irrestricto por ser de interés solo

para su titular o para la Administración Pública.

t- Datos sensibles: información relativa al fuero íntimo de la persona, como por

ejemplo los que revelen origen racial, opiniones políticas, convicciones religiosas o

espirituales, condición socioeconómica, información biomédica o genética, vida y

orientación sexual, entre otros.

http://definicion.de/informacion/

http://definicion.de/confidencialidad/



4

u- Deber de confidencialidad: obligación de los responsables de bases de datos,

y personal a su cargo de guardar la confidencialidad con ocasión del ejercicio de

las facultades dadas por esta ley, principalmente cuando se acceda a información

sobre datos personales y sensibles. Esta obligación perdurará aun después de

finalizada la relación con la base de datos.

v- Interesado: persona física, titular de los datos que sean objeto del tratamiento

automatizado o manual.

w- Responsable de la base de datos: persona física o jurídica que administre,

gerencie o se encargue de la base de datos, ya sea esta una entidad pública o

privada, competente, con arreglo a la ley, para decidir cuál es la finalidad de la

base de datos, cuáles categorías de datos de carácter personal deberán registrase

y qué tipo de tratamiento se les aplicarán.

x- Tratamiento de datos personales: cualquier operación o conjunto de

operaciones, efectuadas mediante procedimientos automatizados o manuales y

aplicadas a datos personales, tales como la recolección, el registro, la

organización, la conservación, la modificación, la extracción, la consulta, la

utilización, la comunicación por transmisión, difusión o cualquier otra forma que

facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo,

supresión o destrucción, entre otros.

Artículo 2. Ámbito de aplicación.

El presente reglamento regula las responsabilidades inherentes de todos los

funcionarios del Consejo sobre el cuido, manipulación y uso correcto de los

equipos y sistemas informáticos que son propiedad del CTP.

Este reglamento, se aplica a todas las computadoras, equipo informático,

sistemas en red o no y sus aplicaciones, que posea o sean administrados por el

CTP, también abarca la información manejada por todos los usuarios que utilizan

computadoras y redes de información de este Consejo.

Artículo 3. Sujetos responsables.

a- Las personas o funcionarios que realicen labores en beneficio del CTP,

directamente o a través de un convenio o contrato.

Artículo 4. Importancia de la información.

Importancia de la información: El Consejo de Transporte Público depende de

forma directa de la información y de los sistemas informáticos para el desarrollo de

sus procesos. La información debe ser fidedigna, segura, y confiable para la toma

de decisiones, por lo que un dato inexacto puede generar posibles riesgos como,

servicio deficiente, procesos judiciales, falta de credibilidad, afectando la

funcionalidad y la imagen del Consejo de Transporte Público.

5

Artículo 5. Responsable de la seguridad informática.

El Departamento de Tecnologías de Información, es el responsable directo que

centraliza, dirige y autoriza las actividades de seguridad informática de todas

las unidades funcionales del Consejo de Transporte Público, también

establecerá y llevará a cabo en toda la organización, la aplicación de las

políticas de seguridad informática, el cumplimiento de las normas, los

lineamientos y los procedimientos que estén establecidos.

La responsabilidad en materia disciplinaria resultante de violaciones a los

requerimientos de seguridad informática, será manejada por los Titulares

Subordinados inmediatos, que coordinarán conjuntamente con la OGIRH cualquier

situación que se considere contrario a lo indicado en este reglamento.

CAPITULO II

RESPONSABILIDADES DE LOS FUNCIONARIOS SOBRE EL USO,

DISTRIBUCIÓN Y MANIPULACIÓN DE LA INFORMACIÓN,

SISTEMAS INFORMÁTICOS Y EQUIPO TECNOLÓGICO

Artículo 6. Categorías de responsabilidad sobre la información.

Para coordinar un esfuerzo de equipo, el Consejo de Transporte Público ha

establecido tres categorías, y al menos una de ellas se aplica a todo funcionario.

Estas categorías son:

a- Propietario

b- Custodio

c- Usuario

Artículo 7. Responsabilidades del propietario.

a- De los sistemas informáticos. Se considera propietarios de la información a la

unidad responsable o el que puede disponer sobre dicha información (Normas N-

2-2007-CO-DFOE). El Jerarca y los Titulares Subordinados dentro del Consejo de

Transporte Público que asumen la responsabilidad de la adquisición, desarrollo y

mantenimiento de la información que se procesa y genera. Las aplicaciones de

6

producción son programas computarizados que regularmente proveen informes

que soportan la toma de decisiones y otras actividades de la Institución.

Toda la información sobre los sistemas de aplicaciones de producción debe

tener un Propietario designado.

b- De compartir información: El propietario de la información será el único

autorizado para compartir información, tanto a lo interno como a lo externo de la

institución. Podrá coordinar con el Departamento de Tecnologías de Información

la creación de aplicaciones tecnológicas para llevar a cabo su gestión.

c- Clasificación: Es obligación del propietario, la clasificación de la información

como confidencial en aquellos casos en lo que aplique y de ser posible y/o

necesario deberá informarlo a los custodios y/o usuarios.

Artículo 8. Responsabilidades del custodio.

a- Sistemas Informáticos. Los Custodios tienen la posesión de la información de

forma física o lógica, que ha sido confiada al Consejo de Transporte Público. Si

bien los funcionarios del Departamento de Tecnologías de la Información son

claramente Custodios, también lo son los administradores de un sistema en

particular. Los Custodios son responsables de salvaguardar la información,

incluyendo el control de acceso para evitar la divulgación inadecuada, alteraciones

o modificaciones y hacer respaldos de forma que no se pierda información crítica

para el CTP. Los Custodios también deben implementar, operar y mantener las

medidas de seguridad definidas por los Propietarios de la información.

b- Equipo informático. Se señala como responsables del uso del equipo

informático las personas que custodian los bienes informáticos que le fueron

asignados como los responsables del uso debido, de la pérdida o daño del equipo.

Salvo que el equipo sea considerado dañado por desgaste, caso fortuito o

deterioro natural y/o comprobable. Por lo que estarán obligadas a velar por el

correcto uso de los bienes, debiendo gestionar el mantenimiento y conservación

adecuada de los mismos.

a) De compartir información: El custodio, salvo que también sea el propietario de

la información, no tendrá autorización para compartirla.

Artículo 9. Responsabilidades del usuario.

Los usuarios son responsables de conocer y cumplir todas las políticas, procedimientos y normas relativos a la seguridad informática del Consejo de Transporte Público.

CAPITULO III

ASESORÍAS TECNOLÓGICAS

7

Artículo 10. Asesorías tecnológicas.

Las inversiones a realizar en el CTP en materia de Tecnologías de Información y

Comunicación, ya sea mediante el desarrollo de un proyecto o a través de la

adquisición de bienes o servicios, deberá ser analizado por el Comité de

Proyectos, el cual deberá emitir un criterio con respecto a la posible inversión al

Jerarca del Consejo. Lo anterior aplica tanto para la Administración Activa como

para la Auditoría Interna, debe cumplirse en todas las contrataciones con las

normas sobre derechos de autor, al adquirir y utilizar programas de cómputo con

sus respectivas licencias ó utilizar software de código abierto.

Para estos efectos la administración dispondrá de la comisión correspondiente

según lo establecido en este reglamento de manera tal que se cada de los

proyectos de adquisición de bienes y servicios en materia de Tecnologías de

Información y Comunicación, posea la aprobación requerida.

CAPITULO IV

PARTICIPACIÓN DE LA AUDITORÍA INTERNA

Artículo 11. Participación de la Auditoría Interna.

La Auditoría Interna del Consejo de Transporte Público desarrollará

dentro de sus actividades las gestiones que considere necesarias con

respecto a las tecnologías de información aplicadas por la

Administración con el fin de orientar y coadyuvar de conformidad con

sus competencias según artículo 48 del Reglamento de Organización y

Funcionamiento para la Auditoría Interna del Consejo publicado en el

Decreto No. 42394-MOPT, a que el control interno en tecnologías de

la información proporcione una garantía razonable del cumplimiento de

los objetivos en esa materia.

CAPITULO V

RESPONSABILIDADES DE LOS FUNCIONARIOS SOBRE EL USO

DEL CORREO ELECTRÓNICO

8

Artículo 12. Correo electrónico.

Todo funcionario del CTP que utiliza una computadora recibirá una dirección de

correo electrónico, que será el medio oficial para asuntos relacionados con la

institución, salvo los oficios, que por su naturaleza jurídica deban ser comunicados

de forma física. La cuenta no podrá utilizarse para actividades ajenas a la

institución.

No se debe sobrecargar la cuenta de correo electrónico con grandes cantidades de

mensajes. Todas las comunicaciones de trabajo transmitidas por correo electrónico

deben tener una apariencia y tono profesional. Todos los funcionarios deben

abstenerse de enviar números de tarjetas de crédito, contraseñas o cualquier otra

información confidencial que pueda ser interceptada. Todo el personal debe

emplear una firma normalizada de correo electrónico que incluya su nombre

completo, cargo, dirección de trabajo y número telefónico del trabajo.

Artículo 13. Envío de correo electrónico masivo.

Para la solicitud de envíos de correos electrónicos masivos existirá una cuenta

de correo electrónico ([email protected]).

El Departamento de TI está autorizado para utilizar herramientas de monitoreo

sobre el uso de los recursos, para lo cual podrá establecer controles cuando se

envíe información masiva a través del correo electrónico (Actividades de control-

Ley General de Control Interno N° 8292).

Se advierte que esta facilidad solo podrá ser utilizada por aquellas personas a las

que se les haya debidamente autorizado su uso y que, además, la información que

se transmita sea de índole oficial.

Queda prohibido el envío de mensajes masivos por funcionarios que no estén

debidamente autorizados, o que no se trate de mensajes oficiales o de carácter

laboral, por lo que el Departamento de TI funcionara como un filtro para estos

casos.

CAPITULO VI

SEGURIDAD DE LA INFORMACIÓN

Artículo 14. Manejo consistente de la información.

La información que se genera en el CTP, o aquélla que le ha sido confiada,

debe ser protegida contra el uso no autorizado de la misma. Deben observarse

mailto:[email protected]

9

las medidas de seguridad establecidas por la institución, de acuerdo

con el medio en que ha sido almacenada la información, los sistemas que la

procesan o los métodos a través de los cuales es transportada. La información

debe ser protegida sin importar en qué fase de su ciclo de vida se encuentre,

desde el origen hasta la destrucción.

Artículo 15. Etiquetado de la clasificación de la información.

a- La información considerada confidencial, deberá clasificarse de esa manera por el

propietario de la información.

b- La información que pueda ser vinculada directamente a un usuario en

específico se considera confidencial y no se debe revelar a terceros, salvo que haya

autorización por escrito, o si el CTP está legalmente obligado a divulgarla.

Artículo 16. De la necesidad de conocer.

El acceso a información en posesión o bajo el control del Consejo de Transporte

Público debe proporcionarse de acuerdo al concepto de la necesidad de conocer.

La información debe ser divulgada únicamente a aquellas personas que tienen una

necesidad legítima, salvo que la información sea clasificada como pública, por lo

que no tendrá restricciones. Al mismo tiempo, los funcionarios no pueden negar el

acceso a la información cuando el propietario (CTP) autoriza que sea compartida.

Los funcionarios no deben intentar acceder a información confidencial a menos

que el propietario (CTP) le haya dado la autorización al acceso. Cuando un

funcionario cambia sus responsabilidades, incluyendo cese laboral, transferencia,

promoción y permiso remunerado, el Titular Subordinado debe notificar

inmediatamente al Departamento de TI. Los privilegios que se otorgan a todos los

funcionarios deben ser revisados periódicamente por los propietarios y custodios

de la información para garantizar que únicamente aquéllos que cuenten con

autorización tengan acceso a la información confidencial o de uso interno.

Artículo 17. Seguridad física para controlar el acceso a la

información.

Debe restringirse el acceso físico a cualquier oficina, sala de computadoras u otra

área de trabajo del Consejo de Transporte Público que contenga información

confidencial. Si no es utilizada, siempre debe estar protegida contra la divulgación

no autorizada y si está en papel debe guardarse bajo llave cuando se deja en una

oficina sin vigilancia, por lo que la institución deberá brindar los medios necesarios

a los funcionarios para que esto sea posible. Fuera del horario de trabajo, los

funcionarios que trabajan en áreas que contienen información sensible deben

guardar bajo llave toda la información. Los funcionarios deben colocar las

pantallas de sus computadoras en una posición en la que se evite que personal no

autorizado o el usuario en general pueda ver la información confidencial que se

encuentre desplegada en ellas.

10

Artículo 18. Responsabilidad de respaldar.

Los funcionarios deben respaldar con regularidad la información almacenada en

sus computadoras. En el caso de computadoras multiusuario y sistemas de

comunicación, el administrador del sistema es responsable de realizar respaldos

periódicos. Si es solicitado, el Departamento de TI debe instalar o proveer

asistencia técnica para la instalación de dispositivos de hardware y/o software para

respaldos. Todos los respaldos que contengan información confidencial deben ser

almacenados en una ubicación aprobada fuera del sitio de respaldo, en donde

existan controles de acceso físico o cifrado, a cargo del Departamento de TI. Debe

prepararse un plan de contingencia para todas las aplicaciones que manejan

información confidencial. Es responsabilidad del propietario de la información

conjuntamente con el Departamento de TI, garantizar que este plan se desarrolle

adecuadamente, que se actualice regularmente y que se pruebe periódicamente.

En este sentido la información de uso interno de la Institución deberá almacenarse

en una carpeta ubicada en el disco duro con el nombre respaldos, y la ruta para

accederla será C:\respaldos (el nombre es sensitivo a mayúsculas y minúsculas,

se debe respetar los indicado).

Artículo 19. Protección antirrobo.

Todas las computadoras y redes del CTP deben estar físicamente aseguradas con

dispositivos antirrobo en caso de que se encuentren en una oficina de libre acceso.

Los servidores de redes locales y otros sistemas multiusuario deben colocarse en

gabinetes, armarios o salones de computación bajo llave. Las computadoras

portátiles que se encuentren en una oficina de libre acceso y que no se estén

usando, también deben estar aseguradas con cables bloqueadores, colocados en

gabinetes cerrados o asegurados con cualquier otro sistema de bloqueo. Los

equipos de redes y computación no pueden ser removidos de las oficinas del CTP,

a menos que la persona que quiera hacerlo sea el custodio de dicho bien y haya

obtenido la autorización del Titular Subordinado inmediato. El custodio está

obligado al resguardo del equipo, de no contar con un dispositivo de seguridad,

debe de solicitarlo a través del Titular Subordinado inmediato.

Artículo 20. Divulgación de las medidas de seguridad informática.

La información acerca de las medidas de seguridad para las computadoras y

sistemas de red del Consejo de Transporte Público es confidencial y no debe ser

divulgada a personas que no sean usuarios autorizados de dichos sistemas a

menos que lo autorice el Titular Subordinado del Departamento de TI.

Artículo 21. Derecho a investigar y monitorear.

11

El Consejo de Transporte Público se reserva el derecho de monitorear,

inspeccionar o investigar en cualquier momento todos sus sistemas informáticos, lo

cual se hará por medio del Departamento de TI, en razón de que las computadoras

y redes de la institución son proporcionadas únicamente con fines laborales. El

CTP se reserva el derecho de eliminar de sus sistemas informáticos cualquier

material que considere ofensivo, riesgoso, o potencialmente ilegal por medio del

Departamento de TI.

Se enfatiza que en lo que concierne a la computadora asignado al funcionario, el

examen del contenido en su disco duro puede hacerse solo en presencia del

funcionario que tiene asignado el bien.

Artículo 22. Derecho de inspección informática.

El Departamento de TI está autorizado por el CTP de inspeccionar o investigar en

cualquier momento los equipos y sus sistemas informáticos, los cuales se

realizarán durante todo el año por medio de pruebas selectivas, mediante la

selección de una muestra a juicio del Departamento de Tecnologías de

Información, en razón de que las computadoras y redes de la institución son

proporcionadas únicamente con fines laborales y deben cumplir con la protección

de los derechos de autor. El CTP por medio del Departamento de TI se reserva el

derecho de eliminar o desinstalar cualquier material, programa o sistema que

considere ofensivo, riesgoso, o potencialmente ilegal.


examen del contenido en su disco duro debe hacerse solo en presencia del

funcionario que tiene asignado el bien o mediante autorización escrita y con la

presencia física del Titular Subordinado inmediato del funcionario, siempre

respectando la información personal, por lo que el funcionario creará una carpeta

con el nombre “Documentos personales”, en la que almacenará todo lo

considerado de uso personal. (Resolución 2005-15063 de la Sala Constitucional en

relación con el artículo 24 de la Constitución Política y el artículo 11 de la

Convención Americana sobre derechos humanos).

Artículo 23. Actividades prohibidas.

Los funcionarios no deben examinar o intentar comprometer las medidas de

seguridad de las computadoras o sistemas de comunicación, a menos que hayan

sido previamente autorizados por escrito por el Departamento de TI. Los incidentes

que involucren actividades no autorizadas en el sistema, adivinado de contraseñas,

descifrado de archivos, contrabando de copias de software, o instalación de

tarjetas o dispositivos no autorizados en la computadora y cualquier otro intento

similar de comprometer las medidas de seguridad, pueden ser ilegales y serán

considerados como una seria violación a la seguridad informática del Consejo de

Transporte Público. Están absolutamente prohibidos los atajos que circunden las

12

medidas de seguridad, las travesuras y bromas prácticas que comprometan las

medidas de seguridad de los sistemas (incluyendo a los propios funcionarios del

Departamento de TI).

Solo el Departamento de TI o quien ellos designen, podrán realizar una apertura

del equipo informático que custodia el funcionario, cualquier elemento que no sea

parte del equipo será removido inmediatamente y se realizará el informe

correspondiente.

CAPITULO VII

IDENTIFICACIÓN A TRAVÉS DE USUARIO Y CONTRASEÑA

Artículo 24. Identificadores de usuario y contraseña.

a- Para implementar el concepto de necesidad de conocer, el Consejo de

Transporte Público requiere que cada funcionario que accede a sistemas

informáticos multiusuario tenga un único identificador y una contraseña. Estos

identificadores de usuario se usan para restringir los privilegios informáticos con

base en las responsabilidades del trabajo, el proyecto y de otras actividades de la

institución. Cada funcionario es responsable por el uso de su identificador y

contraseña, así también el Departamento de TI, es el responsable de suministrar la

herramienta adecuada para evitar posibles privilegios para la obtención de la

información basado en las responsabilidades de trabajo de cada usuario.

b- El Departamento de TI mantendrá un inventario de los sistemas que usa el CTP

con su respectivo dueño, al cual se le considerará el propietario de la información

generada por dicha aplicación. El propietario, directamente o a través del

Departamento de TI será el único autorizado para definir el rol que se asigna a los

usuarios dentro del sistema.

Artículo 25. Identificadores de usuarios anónimos.

Los usuarios tienen prohibido conectarse a cualquier sistema o red del Consejo

de Transporte Público en forma anónima.

Artículo 26. Política de contraseñas.

Los usuarios deben tratar de elegir contraseñas que sean difíciles de adivinar. Esto

significa que las contraseñas no debieren estar relacionadas con su trabajo o con

su vida privada. Por ejemplo, el número de placa del automóvil, el nombre del

cónyuge, partes de una dirección, o nombres propios. Con ello tendrán una mayor

13

seguridad del uso de los sistemas que operan según las responsabilidades de

cada usuario.

Los usuarios no deben construir contraseñas usando una secuencia básica de

caracteres que cambia parcialmente en función de la fecha o de otro factor

predecible. Los usuarios no deben construir contraseñas que son idénticas o

sustancialmente similares a contraseñas que hayan utilizado con anterioridad.

Las contraseñas deben tener al menos 16 caracteres de longitud, no pueden

contener el nombre o apellidos del funcionario y debe contener números, letras

mayúsculas, minúsculas y caracteres especiales (punto, guion, asterisco, entre

otros). Deben ser cambiadas cada 30 días o a intervalos más frecuentes. Cuando

un funcionario sospecha que su contraseña la conoce otra persona, debe

cambiarla inmediatamente o solicitar ayuda al Departamento de TI.

Artículo 27. Conexiones a la red interna.

Todas las computadoras del Consejo de Transporte Público que almacenan

información confidencial y que están permanente o intermitentemente conectados

a las redes internas deben tener un sistema de control de acceso aprobado por el

Departamento de TI, mediante contraseñas. Al margen de las conexiones de red,

todas las computadoras no conectadas que manejan información confidencial

también deben tener un sistema aprobado de control de acceso con contraseñas.

Los usuarios que trabajan con otras clases de computadoras deben emplear las

contraseñas del protector de pantalla provistas por los sistemas operativos, de

forma tal que después de un período de inactividad, la información en pantalla

desparezca hasta que se introduzca la contraseña apropiada. Los sistemas

multiusuario usados en el CTP deben emplear sistemas de desconexión

automática que finalizan la sesión del usuario después de un determinado período

de inactividad.

Artículo 28. Conexiones a la red externa.

Todas las sesiones entrantes de conexión a las computadoras del Consejo de

Transporte Público desde redes externas, deben estar protegidas con un sistema

autorizado de control de acceso mediante contraseñas. Cuando usen las

computadoras del Consejo de Transporte Público, los funcionarios no pueden

establecer conexiones con redes externas, incluyendo proveedores de servicios de

Internet, a menos que estas conexiones hayan sido autorizadas por el

Departamento de TI.

14

Artículo 29. Modificaciones a la red

Con excepción de situaciones de emergencia, todos los cambios en las redes de

telecomunicaciones del Consejo de Transporte Público deben estar documentados

en una orden de trabajo y autorizados previamente por el Titular Subordinado del

Departamento de TI. Todos los cambios de emergencia a las redes del Consejo de

Transporte Público deben ser efectuados únicamente por personas autorizadas por

el Departamento de TI. Este proceso evita cambios inesperados que puedan

conducir a la negación de algún servicio, divulgación no autorizada de información

y otros problemas.

CAPITULO VIII

ACCESO A INTERNET

Artículo 30. Acceso a Internet.

Los funcionarios están provistos de acceso a Internet para llevar a cabo sus tareas,

pero este acceso puede darse por terminado en cualquier momento a discreción

del Titular Subordinado inmediato del funcionario. El acceso a Internet es

monitoreado para asegurar que los funcionarios no visiten sitios no relacionados

con su trabajo y también para garantizar el cumplimiento de las políticas de

seguridad. Los funcionarios deben tener especial cuidado en no representar al

Consejo de Transporte Público en grupos de discusión por Internet o en otros foros

públicos, a menos que hayan recibido previamente autorización del Director

Ejecutivo para así hacerlo. Toda la información que se recibe de Internet debe ser

considerada sospechosa hasta que se confirme con fuentes confiables. Los

funcionarios no deben colocar material del Consejo de Transporte Público en

sistemas de computación accesibles públicamente como por ejemplo Internet, a

menos que haya sido aprobado tanto por el Propietario de la información como por

el Departamento de TI. La información confidencial, incluyendo contraseñas y

números de tarjetas de crédito, no debe ser enviada a través de Internet a menos

que se encuentre encriptado.

CAPITULO IX

USO DE CERTIFICADOS, FIRMAS DIGITALES Y DOCUMENTOS

ELECTRÓNICOS

15

Artículo 31. Firma digital, alcance del concepto (Ley de

Certificados, firmas digitales y documentos electrónicos N° 8454).

Entiéndase por firma digital cualquier conjunto de datos adjunto o lógicamente asociado a un documento electrónico, que permita verificar su integridad, así como identificar en forma unívoca y vincular jurídicamente al autor con el documento electrónico. Una firma digital se considerará certificada cuando sea emitida al amparo de un certificado digital vigente, expedido por un certificador registrado.

Artículo 32. Firma digital, valor equivalente.

Los documentos y las comunicaciones suscritos mediante firma digital, tendrán el mismo valor y la eficacia probatoria de su equivalente firmado en manuscrito. En cualquier norma jurídica que se exija la presencia de una firma, se reconocerá de igual manera tanto la digital como la manuscrita. Los documentos públicos electrónicos deberán llevar la firma digital certificada.

Artículo 33. Firma digital, presunción de autoría y

responsabilidad.

Todo documento, mensaje electrónico o archivo digital asociado a una firma digital certificada se presumirá, salvo prueba en contrario, de la autoría y responsabilidad del titular del correspondiente certificado digital, vigente en el momento.

CAPITULO X

SOFTWARE Y PROTECCIÓN ANTIVIRUS

Artículo 34. Software antivirus.

Todos los usuarios de computadoras deben tener versiones actualizadas de

software antivirus ejecutándose en sus computadoras, utilizando solamente el

antivirus oficial de la institución. Los usuarios no deben abortar procesos

automáticos de actualización de antivirus. El software antivirus debe utilizarse para

revisar todos los archivos, programas y dispositivos extraíbles provenientes de

terceros o de otros grupos del Consejo de Transporte Público. Esta revisión debe

hacerse antes de abrir nuevos archivos de datos o de ejecutar nuevos programas.

16

Los funcionarios no deben dejar de utilizar o desactivar el proceso de revisión del

antivirus que podría evitar la transmisión de un virus.

Artículo 35. Erradicación de virus.

Si los funcionarios sospechan que la computadora está infectada con un virus,

deben dejar de utilizarlo inmediatamente y llamar al Departamento de TI. No deben

intercambiarse medios de almacenamiento magnético extraíble entre el

computador infectado y otras computadoras hasta que el virus haya sido

exitosamente erradicado. La computadora infectada debe ser inmediatamente

aislada de las redes internas. Los usuarios no deben intentar erradicar los virus por

sí mismos. El personal del Departamento de TI o consultores autorizados debe

llevar a cabo esta tarea de manera que se minimicen tanto la destrucción de los

datos como el tiempo de caída del sistema.

Artículo 36. Respaldos limpios.

Todos los programas de las computadoras del CTP deben ser copiados antes de

ser utilizados por primera vez y estas copias deben almacenarse en lugares

seguros, como un gabinete bajo llave. Estas copias maestras no deben ser

utilizadas en las actividades cotidianas, sino ser guardadas, en caso de

recuperación por infecciones de virus, fallas del disco duro y otros problemas.

CAPITULO XI

INSTALACIÓN, DISTRIBUCIÓN Y ADMINISTRACIÓN DE

LICENCIAS DE SOFTWARE Y PROGRAMAS INFORMÁTICOS

Artículo 37. De las fuentes del software.

Los usuarios de las computadoras y redes del Consejo de Transporte Público

no deben ejecutar o instalar programas que provengan de fuentes ajenas a la

institución. No deben utilizarse los programas que se descargan de boletines

electrónicos, dominios públicos (Internet) y otras fuentes no confiables a menos

que hayan sido objeto de rigurosas pruebas aprobadas por el Departamento de

TI.

17

Artículo 38. Especificaciones escritas para los propietarios y

custodios de la información.

Todos los programas desarrollados internamente, para procesar información

confidencial o de uso interno aprobado por el Departamento de TI del Consejo de

Transporte Público, deben tener una especificación formal por escrito. Esta

especificación debe incluir un análisis sobre riesgos de seguridad y controles como

sistemas de control de acceso y planes de contingencia. La especificación debe

formar parte de un acuerdo entre el Propietario o Custodio de la información y el

desarrollador del sistema. En este caso no se consideran programas, las macros

para hojas de cálculo y los documentos elaborados en procesadores de palabras.

Artículo 39. Requisito de autorización por seguridad.

Cuando una aplicación es nueva o se haya modificado de manera sustancial,

deberá ser rigurosamente revisada en un ambiente de pruebas, previo a ser

instalado en el ambiente de producción, para lo cual deberá existir la

documentación que lo respalde. En caso de que haya sido una modificación,

deberán guardarse copias de respaldo de la versión anterior por cualquier

eventualidad.

Artículo 40. Control formal de cambios.

Todas las computadoras y sistemas de comunicación utilizados para el

procesamiento de producción deben emplear un proceso documentado de control

de cambios, de forma tal que se garantice que solamente se realicen cambios

autorizados. Este procedimiento de control de cambios debe utilizarse para todos

los cambios significativos en los sistemas de producción, hardware, enlaces de

comunicación y procedimientos. Este procedimiento se aplica a las computadoras

portátiles o de escritorio en donde se ejecutan sistemas de producción y en

grandes sistemas multiusuario.

Artículo 41. Desarrollo de software.

Todas las actividades de desarrollo de software de producción y de mantenimiento

llevadas a cabo internamente deben cumplir las políticas, normas y procedimientos

del Departamento de TI y demás convenios de desarrollo de sistemas. Estos

convenios incluirán la correcta verificación, capacitación y documentación.

Artículo 42. Derechos sobre el material desarrollado.

Derechos sobre el material desarrollado. Mientras los funcionarios desempeñen

labores para el Consejo de Transporte Público, deben ceder a ésta los derechos

exclusivos sobre patentes, derechos de autor, de invenciones o de propiedad

intelectual de todo lo que creen o desarrollen en beneficio del Consejo. Todos los

18

programas y documentación generados o provistos por los funcionarios para

beneficio de la institución son propiedad de esta. El Consejo de Transporte Público

tiene la propiedad sobre los contenidos de todos los sistemas informáticos bajo su

control, menos el de carácter personal del funcionario. El CTP se reserva el

derecho de acceder y utilizar la información a su discreción.

Artículo 43. Licencias.

Todas las licencias de software que el Consejo de Transporte Público adquiera,

deben entregarse por parte del proveedor en medios físicos o estar disponibles

para su descarga en un sitio en Internet, aunque se hayan solicitado pre-instalado.

Artículo 44. Copias no autorizadas.

Los funcionarios no deben copiar los programas suministrados por el Consejo de

Transporte Público en ningún medio de almacenamiento, transferir dichos

programas a otra computadora ni hacerlos públicos a terceros sin el permiso previo

del Departamento de TI. Las copias de respaldo son una excepción autorizada de

este reglamento.

Artículo 45. Instalación de software no autorizado.

Los funcionarios del Consejo de Transporte Público no podrán descargar o utilizar

bajo cualquier circunstancia la instalación de sistemas o software en sus equipos

de trabajo que no hayan sido instalados y autorizados por el Departamento de TI,

el cual tendrá toda la potestad de realizar auditorías (siempre deberá contar con la

presencia física del responsable del equipo asignado) en cualquier computador

para verificar el uso correcto de las mismas; además, de encontrar software no

perteneciente a este Consejo, el mismo será eliminado de la computadora y se

procederá a realizar el debido reporte de las inconsistencias localizadas. El

Departamento de TI utilizará una lista de software autorizado, el cual será

actualizado de acuerdo a las necesidades de los usuarios.

Artículo 46. Herramientas que comprometen la seguridad.

A menos que hayan sido expresamente autorizados por el Titular Subordinado del

Departamento de TI, los funcionarios del Consejo de Transporte Público

(incluyendo a los propios funcionarios del departamento de TI) no pueden adquirir,

poseer, comerciar o utilizar herramientas de hardware, software o servicios de

telecomunicaciones que puedan ser empleadas para evaluar o comprometer la

seguridad de los sistemas informáticos. Pueden ser ejemplos de estas

herramientas aquéllas que frustran la protección de copiado de programas,

descubren contraseñas secretas, identifican vulnerabilidades en la seguridad o

descifran archivos cifrados. Los funcionarios tienen prohibido utilizar cualquier

19

clase de hardware o software que monitoree el tráfico en una red o las actividades

de una computadora.

Artículo 47. Sistema de información para el inventario de

hardware y software.

El inventario de los equipos y el control de la cantidad de licencias de software,

sistemas y programas, se llevará a cabo de forma automática por medio de una

aplicación tecnológica. Será responsabilidad del Titular Subordinado de TI

autorizar la instalación de las licencias en los equipos del CTP, lo cual se realizará

por alguno de sus colaboradores, en el sistema respectivo deberá registrarse está

información.

Artículo 48. Auditorías informáticas de software (Decreto

Ejecutivo Nº 37549-JP).

El Consejo de Transporte Público se reserva el derecho de realizar auditorías

internas o externas con el fin de cumplir con el “Reglamento para la Protección

de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al

Gobierno Central” publicado en la gaceta # 43 del 1-3-13 en relación con la Ley

de derechos de autor y derechos conexos, por lo cual todos los funcionarios del

CTP deberán brindar toda la colaboración que sea requerida para este fin,

incluyendo el acceso cuando sea necesario a la computadora asignada al

funcionario.


examen del contenido en su disco duro debe hacerse solo en presencia del

funcionario que tiene asignado el bien o mediante autorización escrita y con la

presencia física del Titular Subordinado inmediato del funcionario, siempre

respectando la información personal, por lo que el funcionario creará una carpeta

con el nombre “Documentos personales”, en la que almacenará todo lo

considerado de uso personal. (Resolución 2005-15063 de la Sala Constitucional en

relación con el artículo 24 de la Constitución Política y el artículo 11 de la

Convención Americana sobre derechos humanos).

CAPITULO XII

SANCIONES

Artículo 49. Conducta inapropiada.

20

El titular subordinado inmediato se reserva el derecho de revocar los privilegios

informáticos a través del Departamento de TI, a cualquier usuario en cualquier

momento, siempre y cuando exista razón motivada para dicho acto. No es

permisible la conducta que interfiera con la normal y adecuada operación de los

sistemas informáticos de la institución que adversamente afecte la capacidad de

otros de utilizar estos sistemas o que sea dañina u ofensiva.

Artículo 45. Informes obligatorios.

Todas las violaciones de políticas de las que se tenga sospecha, intrusiones en el

sistema, contaminaciones por virus o cualquier otra condición que pueda amenazar

la información o los sistemas informáticos del Consejo de Transporte Público,

deben ser inmediatamente informadas al Departamento de TI.

Artículo 51. Delitos informáticos.

De conformidad con lo establecido en los artículos 196, 196 bis, 217 bis, 229 bis,

229 ter, 232, 233, 234, de la Sección VIII “Delitos Informáticos” del Código Penal,

serán sancionados con prisión de uno a seis años, a quienes incumplan con el

acatamiento de esta normativa. Ley 8148. Ley 4573

Artículo 52. Incumplimiento.

El incumplimiento de cualquiera de las disposiciones establecidas en el presente

Reglamento, las disposiciones internas que en el futuro se emitan y en cualquier

otra normativa relacionada con la materia, derivará en una investigación preliminar,

a fin de determinar el mérito para la apertura de un procedimiento administrativo.

De requerirse la instrucción del caso por parte de un órgano director, deberán

respetarse los principios del debido proceso, otorgando oportunidad al funcionario

para ejercer su defensa.

En caso de determinar que hay responsabilidad, será sancionado

disciplinariamente de conformidad con los artículos contenidos en el Capítulo XXII

del Reglamento Autónomo de Organización y Servicio del CTP (RAOS). La

enunciación de los grados en que se sancionaran las faltas en que incurra el

funcionario, no implica su aplicación en el orden establecido, sino que dependerá

de las circunstancias de hecho y derecho relacionadas con la falta.

CONSEJO DE TRANSPORTE PÚBLICO Considerando

Documents

Transcript of CONSEJO DE TRANSPORTE PÚBLICO Considerando