Politica De Uso

Política de uso adecuado de la tecnología para el procesamiento de Información. Universidad Nacional de Colombia - 2003

1/6

UNIVERSIDAD NACIONAL DE COLOMBIA VICERRECTORIA GENERAL

DIRECCIÓN NACIONAL DE INFORMÁTICA Y COMUNICACIONES

Política de uso adecuado de la tecnología para el procesamiento de Información

El propósito de la Dirección Nacional de Informática al presentar una política de uso adecuado de la tecnología para el procesamiento de información es apoyar la misión de la Universidad Nacional de Colombia, establecer una cultura de sistemas abiertos (en el sentido que equipos y programas de diferentes fabricantes puedan interconectarse) y busca mejorar la disponibilidad, la integridad y la confiabilidad de la información procesada por dichos sistemas. La dirección está comprometida en proteger a los miembros de la comunidad universitaria y la universidad en general de acciones ilegales o dañinas que realicen terceros con o sin intención. La información en medio electrónico, los sistemas y las redes (que incluyen, pero no están limitados, a equipos de interconexión, equipos de cómputo, software, sistemas operativos, medios de almacenamiento, cuentas de correo electrónico, mensajes, páginas web, bases de datos y archivos que pueden ser descargados a través de la red) pertenecen y son responsabilidad de la universidad. Estos sistemas deben ser utilizados en las actividades propias de la universidad y servir a los intereses de la nación colombiana. La seguridad efectiva es un esfuerzo en equipo que involucra la participación y el soporte de cada uno de los miembros de la universidad (empleados docentes, empleados administrativos, estudiantes y contratistas) que estén involucrados con el manejo de información y con sistemas de información. Es un compromiso de cada persona usuaria de un computador y de las redes conocer estas políticas y acatarlas durante el desarrollo de sus actividades. 2.0 Objetivo El objetivo de estas políticas es describir el uso adecuado de los servicios, aplicativos, equipos de computación y las redes dentro de la Universidad Nacional de Colombia. Estas reglas buscan proteger a la información, las personas y la universidad. Es importante anotar que el uso inapropiado de los recursos tecnológicos expone a la universidad a riesgos innecesarios como ataque de virus, compromiso de las redes y sistemas, problemas de índole jurídico nacionales, regionales e internacionales.


2/6

3.0 Alcance Estas políticas están dirigidas a los empleados docentes, empleados administrativos, estudiantes, contratistas, consultores y demás miembros de la comunidad universitaria, incluyendo el personal vinculado con firmas que prestan servicios a la universidad que utilicen tecnología de información. Estas políticas aplican a los equipos propios o arrendados que tiene la universidad y a los equipos propiedad de personas que sean conectados a las redes de la universidad. La garantía del cumplimiento de esta política será responsabilidad de cada miembro de la comunidad universitaria pues su contravención afecta a toda la universidad. 4.0 Política 4.1 Uso de la tecnología para el procesamiento de información y propiedad de la información

1. Mientras la administración de la Universidad Nacional de Colombia tenga como objetivo proporcionar un nivel razonable de privacidad en la red, los usuarios deben estar conscientes que los datos que ellos crean y manipulan en los sistemas durante el desarrollo normal de sus actividades son propiedad y responsabilidad de la Universidad Nacional de Colombia. Debido a la necesidad de proteger y vigilar la red y los sistemas de la Universidad Nacional de Colombia, la administración no puede garantizar la confidencialidad absoluta de la información almacenada en cualquier dispositivo perteneciente a la Universidad Nacional de Colombia.

2. Los miembros de la comunidad universitaria deben tener el criterio para decidir cuando pueden hacer uso personal de los recursos de tecnología de información y serán responsables de dicha decisión. De igual manera, las dependencias y oficinas son las responsables de crear unas normas internas de uso personal de los servicios de Internet y de la red de la Universidad. En ausencia de tales guías, los empleados, docentes o estudiantes deben guiarse por las políticas de facultad o de sede sobre uso personal, y si hay incertidumbre, los deben consultar con su superior inmediato.

3. Se recomienda el uso de criptografía para la información que los usuarios consideren sensitiva o vulnerable. Para una guía de clasificación de la información puede seguir la guía para la clasificación y el manejo de información confidencial de la universidad, para una política sobre uso de criptografía en el correo electrónico y en documentos siga la política para el uso de criptografía.

4. Para propósitos de mantenimiento de la red y de seguridad, las personas autorizadas dentro de la universidad podrán monitorear equipos, sistemas y tráfico de red en cualquier momento, de acuerdo con la política de auditoria de sistemas para seguridad informática de la universidad.

5. La Universidad Nacional de Colombia se reserva el derecho para auditar las redes y los sistemas periódicamente para garantizar el cumplimiento de esta política.

4.2 Información y seguridad

1. La interfaz de usuario para acceder a la información disponible en los sistemas debe


3/6

ser clasificada como confidencial o no, de acuerdo con la guía para la clasificación y el manejo de información confidencial de la universidad. Ejemplos posibles de información que se considera confidencial son “los datos de los aspirantes a programas de pregrado”, “las historias clínicas de los pacientes de Unisalud”, “información de investigaciones académicas en curso cuyos resultados sean críticos para la competitividad de la universidad y de los grupos de investigación” y “los expedientes de la oficina de asuntos disciplinarios”. Las personas que estén involucradas con este tipo de información deben seguir procedimientos adecuados para evitar el acceso sin autorización a esta información.

2. Tenga claves seguras y no comparta su cuenta. Los usuarios autorizados son los responsables por la seguridad de su cuenta y de su clave. Las claves de los usuarios con privilegios deben cambiarse mínimo cada mes y las claves de los usuarios sin privilegios deben cambiarse mínimo cada tres meses. Para informarse sobre las características de una clave segura siga la guía características de un buen password (clave).

3. Todos los PCs, laptops y estaciones de trabajo deben tener configurados un protector de pantalla con clave y con un tiempo de espera máximo de 10 minutos o con logging-off automático (para usuarios con Windows2000 o Windows NT) cuando el equipo esté desatendido.

4. Utilice criptografía en cumplimiento de las políticas de uso adecuado de criptografía de la universidad.

5. Debido a que la información contenida en computadores portátiles es especialmente vulnerable, debe tenerse especial cuidado. Los laptops deben seguir la guía de protección para la información procesada por equipos portátiles.

6. Los mensajes enviados a listas de correo o grupos de discusión por los miembros de la comunidad universitaria y que utilicen las direcciones de correo de la universidad deben contener un párrafo donde diga "las opiniones expresadas en este mensaje son estrictamente personales y no es una posición oficial de la Universidad Nacional de Colombia". Se recomienda que los mensajes de correo electrónico y las cubiertas (cover) de fax con información confidencial incluyan la siguiente nota:

CONFIDENCIAL. UNIVERSIDAD NACIONAL DE COLOMBIA. La información contenida en este mensaje es confidencial y sólo puede ser utilizada por la persona o la organización a la cual está dirigido. Si usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje está prohibida y será sancionada por la ley. Si por error recibe este mensaje, favor reenvíelo y borre el mensaje recibido inmediatamente.

7. Todos los equipos conectados a la red de la Universidad Nacional de Colombia,

aunque sea propiedad de la persona que lo utiliza, deben ejecutar regularmente el software de antivirus permitido por la universidad con la base de datos de virus más actualizada. Este punto puede ser modificado por una política de grupo de trabajo o de dependencia con previa autorización de la oficina de sistemas de la sede.

8. Los miembros de la comunidad universitaria deben ser cuidadosos cuando abran los anexos (attachments) colocados en los mensajes de correo electrónico que sean


4/6

recibidos de remitentes desconocidos o sospechosos ya que pueden contener virus. Siga la guía básica para controlar virus informáticos.

4.3. Usos inadecuados Bajo ninguna circunstancia los miembros de la comunidad universitaria pueden utilizar los recursos de la universidad para realizar actividades prohibidas por las normas de la institución o por normas jurídicas nacionales o internacionales. La siguiente es una lista de actividades que, sin ser completa, intenta proporcionar una referencia de las actividades que se ajustan a la categoría de uso inadecuado para “sistemas y redes”, y para “correo electrónico y sistemas de comunicaciones”. 4.3.1 Actividades en los sistemas y en la red Las siguientes actividades están prohibidas:

1. Violaciones de los derechos de cualquier persona o institución protegidos por derechos de autor, patentes o cualquier otra forma de propiedad intelectual. Entre otras actividades, se incluye la distribución o instalación de software sin la licencia de uso adecuada adquirida por la Universidad Nacional de Colombia (software “pirata”).

2. Copia no autorizada de material protegido por derechos de autor que incluye, pero no está limitado a, digitalización y distribución de imágenes o fotografías de cualquier origen (revistas, libros, páginas web, etcétera), digitalización y distribución de música, audio o video, distribución e instalación de software de los cuales ni la universidad ni el usuario tienen la licencia debida.

3. Exportar software, información técnica, software y tecnologías para criptografía en contra de leyes de control regionales o internacionales. Las dependencias apropiadas (dirección de informática y oficina jurídica) deben ser consultadas antes de exportar cualquier material de este tipo.

4. Introducción de software malicioso en la red o en los servidores (virus, worms, ráfagas de correo electrónico no solicitado, etcétera).

5. Revelar la clave ó código de su cuenta a otros (por ejemplo, su cuenta de correo electrónico, su usuario de bases de datos, su código para realizar llamadas de larga distancia) o permitir su uso a terceros para actividades ajenas a la misión de la universidad. La prohibición incluye familiares y cualquier otra persona que habite en la residencia del funcionario, docente o estudiante cuando la actividad se realiza desde el hogar (por ejemplo, computadores portátiles, teléfonos celulares o agendas electrónicas propiedad de la universidad).

6. Utilizar la infraestructura de tecnología de información de la universidad para conseguir o transmitir material con ánimo de lucro. Igualmente se prohíbe el uso del sistema de comunicaciones de la universidad con el fin de realizar algún tipo de acoso, difamación, calumnia o cualquier forma de actividad hostil.

7. Hacer ofrecimientos fraudulentos de productos o servicios cuyo origen sean los recursos o servicios propios de la universidad.


5/6

8. Realizar actividades que contravengan la seguridad de los sistemas o que generen interrupciones de la red o de los servicios. Entre las acciones que contravienen la seguridad de la red se encuentran, aunque no están limitadas es estas, acceder a datos cuyo destinatario no es usted, ingresar a una cuenta de un servidor o de una aplicación para la cual no está autorizado. Para propósitos de esta sección la palabra “interrupción” incluye, pero no está limitada a, capturar tráfico de la red, inundar de pings la red (ping es un comando que permite verificar que otro equipo está activo para la red), realizar spoofing de paquetes (spoofing es la falsificación la dirección de red), ataques distribuidos de negación de servicios (agresiones desde la red que buscan que servicios válidos como el correo electrónico o el servidor web se “ocupen” y no atiendan a usuarios legítimos. Se conocen también como ataques DDoS) o falsificar información de enrutamiento y de configuración de los equipos y sistemas con el objetivo de aprovechar alguna vulnerabilidad.

9. Está prohibido explícitamente el monitoreo de puertos o análisis de tráfico de red con el propósito de evaluar vulnerabilidades de seguridad. Las personas responsables de la seguridad informática pueden realizar estas actividades cuando se realicen en coordinación con el personal responsable de los servidores, los servicios, las aplicaciones y de la red.

10. Ejecutar cualquier herramienta o mecanismo de monitoreo de la red de manera no autorizada.

11. Burlar los mecanismos de seguridad, autenticación, autorización o de auditoria de cualquier servicio de red, aplicación, servidor, o cuenta de usuario.

12. Interferir o negar el servicio a usuarios autorizados con el propósito de lesionar la prestación del servicio o la imagen de la universidad (por ejemplo, ataques DDoS).

13. Uso de comandos o programas o el envío de mensajes de cualquier tipo con el propósito de interferir o deshabilitar una sesión de usuario a través de cualquier medio, local o remoto (Internet o Intranet).

14. Proporcionar información sobre los aspirantes, estudiantes, empleados administrativos o docentes a personas o entidades externas que no tengan ningún tipo de relación contractual, relación jurídico-administrativa o convenio con la Universidad Nacional de Colombia donde se especifique que ellos pueden disponer de dicha información.

4.3.2 Actividades con el correo electrónico y sistemas de comunicación

1. Enviar mensajes de correo no solicitados, incluyendo junk mail (material publicitario enviado por correo) o cualquier otro tipo de anuncio comercial a personas que nunca han solicitado ese tipo de material (email spam, mensajes electrónicos masivos, no solicitados y no autorizados en el correo electrónico).

2. Cualquier forma de acoso a través de correo electrónico, teléfono o mensajes a localizadores personales (beepers) sin importar el idioma, la periodicidad o tamaño del mensaje.

3. Generar o enviar correos electrónicos a nombre de otra persona si autorización o suplantándola.

4. Envío de mensajes de correo electrónico con una dirección de correo diferente al verdadero remitente con el fin de realizar algún tipo de acoso, difamación u obtener


6/6

información. 5. Crear o reenviar cartas cadena o cualquier otro esquema de “pirámide” de mensajes. 6. Colocar mensajes de correo iguales o similares no relacionados con las actividades de

la Universidad a un gran número de grupos de noticias (newsgroup spam, mensajes electrónicos masivos, no solicitados y no autorizados en grupos de noticias).

4.3.3 Excepciones Algunos miembros de la comunidad universitaria pueden estar exentos de seguir algunas de las restricciones enumeradas en los numerales anteriores debido a las responsabilidades de su cargo o a eventos no programados. Estas excepciones deben ser solicitadas y avaladas por la Dirección Nacional de Informática, anexando la documentación respectiva y la excepción será aprobada formalmente por la Vicerrectoría General. 5.0 Vigencia de la política Esta política, y las guías que le acompañan, tendrá vigencia a partir de ________ ___ de 2003 y serán nuevamente revisadas en __________ ______ de 2004 6.0 Advertencia Cualquier miembro de la comunidad universitaria que sea encontrado realizando actividades que contravengan estas políticas podrá ser investigado y puede ser causal de sanciones, sin perjuicio de las acciones disciplinarias y/o jurídicas que puedan ser adelantadas por las entidades de control del estado. 7.0 Más información o sugerencias Para consultar las diferentes guías mencionadas en este documento e información actualizada sobre el programa de seguridad informática de la Universidad Nacional de Colombia visite http://www.unal.edu.co/seguridad/. Si considera que el texto de la presente política debe revisarse para realizar un cambio o tiene alguna sugerencia en relación con las guías que se citan en el documento, por favor diríjase, en la Dirección Nacional de Informática y Comunicaciones, a las personas encargadas de la seguridad informática: teléfono 3165087, fax 3165382.

Politica De Uso

Business

Transcript of Politica De Uso