Procedimientos de Auditoría / Guía para establecer políticas informáticas en las empresas.

Por: actualicese.com
Imprimir   
Publicado: 18 de agosto de 2005
close

Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas. Si detecta algún error, por favor avísenos haciendo click en "Reportar un error" (más abajo en esta misma página). Mil gracias.

 

Justificación

La masiva utilización de las Computadoras y de las redes de datos como medio para almacenar, transferir y procesar información, se ha incrementado desmesuradamente en los últimos años, al grado de convertirse en un elemento esencial para el funcionamiento de la sociedad.

En consecuencia, la información en todas sus formas y estados se ha convertido en un activo de altísimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y administrar la información para garantizar su integridad, confidencialidad y disponibilidad, de conformidad con lo establecido por la ley.

En los últimos años se ha incrementado uso de aplicaciones electrónicas que comprenden: correo, comercio, transacciones, firmas y certificados digitales, comunicaciones seguras, entre otras. Por tal motivo, los requerimientos de seguridad son cada vez mayores.

La política de seguridad de la información

La seguridad informática aplica las técnicas fundamentales para preservar la información en medio digital y también la protección del acceso a todos los recursos del sistema.

La política de seguridad de la información es el conjunto de normas, reglas, procedimientos y prácticas que regulan la protección de la información contra la pérdida de confidencialidad, integridad o disponibilidad, tanto de forma accidental como intencionada, en virtud de lo anterior, la empresa a través de la Dirección Informática , debe adoptar los mecanismos que le permitan el resguardo, confidencialidad, confiabilidad y oportunidad de su información, para lo cual diseñará, e implementará los aplicativos necesarios. Igualmente, tendrá como función administrar y controlar todos los accesos y privilegios a los sistemas implementados y futuros, siendo esta dependencia la responsable de definir y supervisar el cumplimiento de las políticas informáticas que todo el personal de la empresa deberá cumplir.

Marco Legal

La Ley 527 de 1999 define y reglamenta el acceso y uso de los mensajes de datos, entre ellos, el correo electrónico como un servicio de carácter estratégico en las empresas y una herramienta de utilidad en el trabajo diario, por lo que se hace necesario reglamentar para los usuarios internos el procedimiento de utilización del correo electrónico,

Definiciones.

Para efectos del presente documento se entiende por :

Administrador del sistema. Persona responsable de administrar, controlar, supervisar y garantizar la operabilidad y funcionalidad de los sistemas.Dicha administración está en cabeza de la Gerencia de informática .

En las agencias o sucursales , la administración será responsabilidad del profesional designado para supervisar y garantizar la operabilidad y funcionalidad de los sistemas .

Administrador de correo. Persona responsable de solucionar problemas en el correo electrónico, responder preguntas a los usuarios y otros asuntos en un servidor .

Buzón. También conocido como cuenta de correo, es un receptáculo exclusivo, asignado en el servidor de correo, para almacenar los mensajes y archivos adjuntos enviados por otros usuarios internos o externos a la empresa.

Chat. (Tertulia, conversación, charla). Comunicación simultánea entre dos o más personas a través de Internet.

Computador. Es un dispositivo de computación de sobremesa o portátil, que utiliza un microprocesador como su unidad central de procesamiento o CPU.

Contraseña o password. Conjunto de números, letras y caracteres, utilizados para reservar el acceso a los usuarios que disponen de esta contraseña.

Correo electrónico. También conocido como E-mail, abreviación de electronic mail. Consiste en el envío de textos, imágenes, videos, audio, programas, etc., de un usuario a otro por medio de una red. El correo electrónico también puede ser enviado automáticamente a varias direcciones.

Cuentas de correo . Son espacios de almacenamiento en un servidor de correo, para guardar información de correo electrónico. Las cuentas de correo se componen de un texto parecido a este hzuluaga @actualicese.com donde "hzuluaga" es nombre o sigla identificadora de usuario, "actualicese" el nombre de la empresa con la que se crea la cuenta o el dominio y "com" una extensión propio de Internet según el dominio.

Edición de cuentas de correo. Mirar o leer el contenido de los correos recibidos o enviados por un usuario.

Downloads. Descargar, bajar. Transferencia de información desde Internet a una computadora.

Electricidad estática . La corriente estática se presenta cuando no existe ninguna fuerza externa (voltaje) que impulse a los electrones o si estos no tienen un camino para regresar y completar el circuito, la corriente eléctrica simplemente "no circula". La única excepción al movimiento circular de la corriente la constituye la electricidad estática que consiste en el desplazamiento o la acumulación de partículas (iones) de ciertos materiales que tienen la capacidad de almacenar una carga eléctrica positiva o negativa.

Elementos de tecnología. Se consideran los siguientes, siendo la Gerencia de Informática responsable de su administración.

•  Computadores de escritorio y portátiles: conformados por CPU (Discos duros, memorias, procesadores, main borrad, bus de datos), cables de poder, monitor, teclado, mouse.

•  Impresoras, UPS, escáner, lectores, fotocopiadoras, teléfonos, radioteléfonos.

•  Equipos de redes comunicaciones como: Switch, router, Hub, Conversores de fibra y demás equipos de redes y comunicaciones.

Hacker. Persona dedicada a lograr un conocimiento profundo sobre el funcionamiento interno de un sistema, de una PC o de una red con el objeto de alterar en forma nociva su funcionamiento.

Internet . Conjunto de redes conectadas entre sí, que utilizan el protocolo TCP/IP para comunicarse entre sí.

Intranet. Red privada dentro de una empresa, que utiliza el mismo software y protocolos empleados en la Internet global, pero que solo es de uso interno.

Lan. (Local Area Network). (Red de Area Local). Red de computadoras ubicadas en el mismo ambiente, piso o edificio.

Log. Registro de datos lógicos, de las acciones o sucesos ocurridos en los sistemas aplicativos u operativos, con el fin de mantener información histórica para fines de control, supervisión y auditoría.

Megabyte MB. Es bien un millón de bytes ó 1.048.576 bytes.

Messenger: Opción de mensajería instantánea disponible en Internet. Puede traer problemas en las redes y sistemas privados, por cuanto puede convertirse en una herramienta de tráfico de virus y publicidad no solicitada así como una canal vulnerable para la seguridad de redes y servidores.

Red:Se tiene una red, cada vez que se conectan dos o más computadoras de manera que pueden compartir recursos.

Seguridad:Mecanismos de control que evitan el uso no autorizado de recursos.

Servidor. Computadora que comparte recursos con otras computadoras, conectadas con ella a través de una red.

Servidor de correo. Dispositivo especializado en la gestión del tráfico de correo electrónico. Es un servidor perteneciente a la red de Internet, por lo que tiene conexión directa y permanente a la Red Pública. Su misión es la de almacenar, en su disco duro, los mensajes que envía y que reciben los usuarios.

SO. (Sistema Operativo). Programa o conjunto de programas que permiten administrar los recursos de hardware y software de una computadora.

Software. Todos los componentes no físicos de una PC (Programas).

Usuario . Toda persona, funcionario (empleado, contratista, temporal), que utilice los sistemas de información de la empresa debidamente identificado y autorizado a emplear las diferentes aplicaciones habilitadas de acuerdo con sus funciones.

Virus. Programa que se duplica a sí mismo en un sistema informático, incorporándose a otros programas que son utilizados por varios sistemas. Estos programas pueden causar serios problemas a los sistemas infectados. Al igual que los virus en el mundo animal o vegetal, pueden comportarse de muy diversas maneras. (Ejemplos: caballo de Troya y gusano).

Monitoreo de Cuentas de correo. Vigilancia o seguimiento minucioso de los mensajes de correo que recibe y envía un usuario.

Web Site . Un Web Site es equivalente a tener una oficina virtual o tienda en el Internet. Es un sitio en Internet disponible para ser accesado y consultado por todo navegante en la red pública. Un Web Site es un instrumento avanzado y rápido de la comunicación que facilita el suministro de información de productos o entidades. Un Web Site es también considerado como un conjunto de páginas electrónicas las cuales se pueden accesar a través de Internet.

Web Mail. Es una tecnología que permite acceder a una cuenta de Correo Electrónico (E-Mail) a través de un navegador de Internet, de esta forma podrá acceder a su casilla de correo desde cualquier computadora del mundo.

Políticas

Se adoptan las siguientes políticas de seguridad informáticas en la empresa:

1. Cuentas de Usuarios

2. Internet

3. Correo Electrónico

4. Directrices especiales

El propósito de estas políticas es asegurar que los funcionarios utilicen correctamente los recursos tecnológicos que la empresa pone a su disposición para el desarrollo de las funciones institucionales.

Dichas políticas son de obligatorio cumplimiento.

Cada funcionario debe cumplir las políticas y directrices de la empresa, relativas a:

Cuentas de los usuarios, claves de acceso, Internet y correo electrónico.

El funcionario que incumpla las políticas de seguridad informática, responderá por sus acciones o por los daños causados a la infraestructura tecnológica de la empresa, de conformidad con las leyes penales, fiscales y disciplinarias.

1 .Cuentas de Usuarios

Es la cuenta que constituye la principal vía de acceso a los sistemas de información que posee la empresa;estas cuentas aíslan al usuario del entorno, impidiendo que pueda dañar al sistema o a otros usuarios, y permitiendo a su vez que pueda personalizar su entorno sin que esto afecte a otros.

Cada persona que acceda al sistema debe tener una sola cuenta de usuario. Esto permite realizar seguimiento y control, evita que interfieran las configuraciones de distintos usuarios o acceder al buzón de correo de otro usuario.

Una cuenta de usuario asigna permisos o privilegios al usuario para acceder a los sistemas de información y desarrollará actividades dentro de ellas. Los privilegios asignados delimitan las actividades que el usuario puede desarrollar sobre los sistemas de información y la red de datos.

Procedimiento para la creación de cuentas nuevas:

  • La solicitud de una nueva cuenta o el cambio de privilegios, deberá hacerse por escrito y ser debidamente autorizada por la Gerencia de Informática.
  • Cuando un usuario recibe una cuenta, debe firmar un documento donde declara conocer las políticas y procedimientos de seguridad informática y acepta sus responsabilidades con relación al uso de esa cuenta.
  • No debe concederse una cuenta a personas que no sean funcionarios de la empresa, a menos que estén debidamente autorizados .
  • Los usuarios deben entrar al sistema mediante cuentas que indiquen claramente su identidad. Esto también incluye a los administradores del sistema.
  • Toda cuenta queda automáticamente suspendida después de 30 días de inactividad.
  • La Gerencia del Talento Humano debe reportar a la Gerencia de Informática, a los funcionarios que cesan sus actividades y solicitar la desactivación de su cuenta.
  • Para las agencias y sucursales deberán solicitar la desactivación de dichas cuentas.
  • El Administrador del sistema debe desactivar la cuenta, o los privilegios de un usuario, cuando un empleado cesa sus funciones en la empresa, con fundamento en un comunicado de la Gerencia del Talento Humano o de los responsables en las agencias y sucursales.
  • Los Privilegios especiales de borrar o depurar los archivos de otros usuarios, sólo se otorgan a los encargados de la administración en la Gerencia de Informática.
  • No debe otorgarse cuentas a técnicos de mantenimiento externos, ni permitir su acceso remoto, a menos que la Gerencia de Informática determine que es necesario. En todo caso, esta facilidad solo debe habilitarse por el lapso requerido para efectuar el trabajo (como por ejemplo, el mantenimiento remoto).
  • No se deben crear cuentas anónimas o de invitado.

Claves de acceso o password

Las claves de acceso son la barrera para evitar ingresos no autorizados a los sistemas de información de la empresa.

Políticas de claves de acceso

  • No poner como clave de acceso su nombre, apellido o algún otro dato personal o famili ar.
  • No utilizar palabras simples, que pueden ser encontradas fácilmente.
  • No comentar a nadie su clave de acceso.
  • Las claves de acceso se deben memorizar y no anotar.
  • Al tercer intento de acceso fallido, el sistema bloqueará la cuenta.

Longitud del password .

Mínimo seis (6) caracteres-Máximo diez (10) caracteres.

Tipo. Alfanumérico y que combine al menos 2 características como mayúsculas, minúsculas, símbolos.

Expiración del password:

La clave de acceso o password debe cambiarse cada noventa (90) días.

Período de advertencia:

El sistema, cinco (5) días antes de expirar el password, emitirá una advertencia al usuario (la frecuencia es cada vez que inicie sesión).

Histórico de cuentas:

El usuario no podrá volver a utilizar una clave anterior, sino a la sexta vez que el sistema le solicite el cambio de password.

Está prohibido el uso de contraseñas de grupo para facilitar el acceso a archivos, aplicaciones, bases de datos, computadoras, redes, y otros recursos del sistema. Esto se aplica en particular a la contraseña del administrador.

La contraseña inicial emitida a un nuevo usuario, solo debe ser válida para la primera sesión. En ese momento, el usuario debe cambiarla.

Las contraseñas predefinidas que traen los equipos nuevos, tales como routers, switchs, etc., se deben cambiar inmediatamente al ponerse en servicio el equipo.

Ningún usuario está autorizado para poner claves de acceso para iniciar el sistema operativo de los computadores personales. Esto es competencia del administrador.

Los funcionarios no deben intentar violar los sistemas de seguridad y de control de acceso, acciones de esta naturaleza se consideran violatorias de las políticas de la empresa.

Desbloqueo:

El usuario deberá informar a la Gerencia de Informática y solicitar el desbloqueo.

Una vez se identifique al usuario y las razones por las cuales se bloqueó la clave, se determinará su reactivación.

Los permisos o privilegios pueden ser suspendidos por las siguientes causas:

  • Cuando los funcionarios se ausenten por vacaciones.
  • Cuando el usuario y clave no hayan sido utilizados por un lapso de 30 días.
  • Cuando supere los intentos máximos de acceso fallidos.

Para rehabilitar el usuario, se deben solicitar las autorizaciones nuevamente, dependiendo del tipo de suspensión aplicada. Para el caso de suspensiones por inactividad del sistema, el usuario debe solicitar la reasignació de la clave nuevamente.

2. Internet

Internet es una herramienta cuyo uso autoriza la empresa en forma extraordinaria, puesto que que contiene ciertos peligros. Los hackers están constantemente intentando hallar nuevas vulnerabilidades que puedan ser explotadas. Se debe aplicar una política que procure la seguridad y realizar monitoreo constante, por lo que se debe tener en cuenta lo siguiente:

Política de Uso de la Internet

Los virus pueden dañar o eliminar archivos, o incluso borrar todo el disco duro.

Si el software de protección contra virus no está actualizado, ofrece una protección muy débil contra nuevos virus; para mitigar este suceso, la Gerencia de Informática debe instalar software antivirus fiable y examinar regularmente los sistemas para comprobar que no haya virus. Lo más importante es actualizar el software de forma frecuente.

Si recibe un mensaje de correo electrónico con un archivo adjunto sospechoso, no lo abra incluso si conoce al emisor. Nunca abra archivos adjuntos de fuentes desconocidas o archivos adjuntos que no esté esperando; desactive la apertura automática de archivos adjuntos de correo electrónico.

Mientras los usuarios están viendo información en Internet, otros pueden estar observando los movimientos y la información que ellos están viendo. Por lo anterior, el administrador desactivará la capacidad de los computadores para recibir archivos nocivos, esto evitará que los sitios Web registren los movimientos de los usuarios en Internet.

Web sites:

La Gerencia de Informática , supervisará e identificará, dentro de las categorías los web sites que más han sido visitados por los usuarios de empresa, de los tipos de pornografía, violencia, ocio, Screen Savers, gif animation, tarjetas electrónicas, música y otros no relacionados con las funciones de la entidad, y procederá a bloquear los web site y los demás que constituyan objeto no institucional.

Web Mail .

No habrá accesos a Web mail no corporativos como Hotmail, yahoo, etc., en todo caso, podrá permitirse el acceso en caso extraordinario de algún imprevisto.

Messenger.

El auge de la Mensajería Instantánea, le ha brindado nuevas oportunidades a los virus para que se propaguen y a los hackers para que accedan a su sistema.

Existen cinco grandes problemas que amenazan la mensajería instantánea, estos son:

  • Los gusanos y virus.
  • Programas de puertas traseras o troyanos
  • Secuestro de sesiones o suplantación de personalidad
  • Denegación de servicio
  • Divulgación de información no autorizada

Todos los programas de mensajería instantánea, envían las conversaciones sin cifrar, en texto plano, lo que no supone ningún problema para un hacker malicioso medianamente experimentado. Las sesiones no caducan y el programa da la opción de recordar la clave, con lo que alguien con acceso a la máquina puede obtener información no sólo de la víctima, sino de todos sus contactos cuando se hace pasar por él.

Tampoco incluyen ninguna herramienta que compruebe la autenticidad de los archivos que se envían a través de ellos, aumentando así la posibilidad de esconder virus o troyanos. Por lo anterior, el acceso al Messenger no será posible para ningún funcionario.

Downloads:

Los programas gratuitos como protectores de pantalla y juegos que se descargan de sitios Web a menudo son fuentes de virus. Por lo tanto NO se deben descargar estos programas;sólo El Gerente de informática, tendrán la opción de realizar los Downloads desde Internet; para las agencias y sucursales se trabajará con Software distribuido.

3. Correo electrónico

El correo electrónico es un privilegio y se debe utilizar de forma responsable. Su principal propósito es servir como herramienta para agilizar las comunicaciones oficiales que apoyen la gestión institucional de la empresa.

Es de anotar que el correo electrónico es un instrumento de comunicación de la empresa y los usuarios tienen la responsabilidad de utilizarla de forma eficiente, eficaz, ética y de acuerdo con la ley.

Los mensajes por correo electrónico, deberán seguir los estándares establecidos para la comunicación escrita que indique la Gerencia de Informática y que se relacionan en anexo.

Política de correo electrónico:

Se permite el uso personal del correo electrónico siempre y cuando sea responsable, y:

  • No provoque problemas legales a la empresa.
  • No se utilice para fines lucrativos personales.
  • No contravenga las políticas y directrices de la empresa.
  • No atente contra la imagen de la empresa.
  • No interfiera con el trabajo de los funcionarios.
  • Todo funcionario que tenga dudas acerca del material que puede enviar o recibir, debe consultarlo con su jefe inmediato.

Queda prohibido distribuir, acceder o guardar material ofensivo, abusivo, obsceno, racista, ilegal o no laboral, utilizando los medios electrónicos de la empresa.

Se prohíbe:

  • Fraude (o intento de fraude) de los mensajes electrónicos.
  • Intentar leer, borrar, copiar o modificar correos electrónicos de otros usuarios.
  • Intentar enviar mensajes de acoso, obscenos o amenazadores a otro usuario.
  • Envío de correo electrónico basura, mensajes con ánimo de lucro o mensajes en cadena.
  • Interceptar el correo electrónico de otros usuarios.
  • Enviar correo electrónico, utilizando el nombre del usuario y la contraseña de otro funcionario, sin su debida autorización.
  • Enviar mensajes de manera masiva, por ejemplo, cadenas de cartas y relativos a falsos virus, excepto si contienen información de interés institucional.
  • Mensajes de carácter religioso, superación personal, así como chistes y bromas.
  • El acceso al correo en forma remota, sólo se debe realizar en extrema urgencia.
  • Cualquier otro uso indebido.

Están autorizados para el envío de mensajes electrónicos masivos: la Gerencia General , los demás funcionarios del Nivel Directivo y los administradores de correo electrónico y de red de la Gerencia de Informática. Los demás funcionarios deberán solicitar la autorización de la Gerencia de Informática.

Administración y seguimiento del sistema de correo electrónico.

La Gerencia de Informática es la encargada de ejercer la administración del sistema de correo electrónico, lo que incluye disponer los recursos para la entrega de mensajes internos y de o hacia Internet o Intranet. En virtud de lo anterior se establece que:

  • Las cuentas de correo serán creadas y sobre ellas se dará permisos o privilegios a los funcionarios vinculados a la empresa, previa aprobación de la Gerencia de Informática de la solicitud enviada por la Gerencia del Talento Humano, suscrita por el Jefe inmediato del funcionario o por él mismo en caso en que sea Directivo.
  • Se asignarán dos clases de buzones: individuales y globales o de grupo . Los buzones individuales serán manejados por un solo funcionario, los globales, por un grupo de funcionarios.
  • Los buzones individuales son de carácter personal e intransferible . El usuario es totalmente responsable de todas las actividades realizadas con dicho buzón. Los buzones globales serán manejados por varios funcionarios, quienes serán responsables mancomunadamente de las actividades realizadas con ellos.
  • Es deber de los funcionarios que manejan los buzones globales mencionar el nombre del remitente en los mensajes enviados.
  • Las personas que administran este servicio no monitorean, editan o descartan el contenido de las comunicaciones de los usuarios. Se debe tener en cuenta que los procesos de administración del Centro de Cómputo, podrán implicar el movimiento temporal y/o definitivo de sus correos, mas no de su edición. Sólo se hará monitoreo con la debida autorización de la Gerencia General.
  • El tamaño máximo asignado al buzón, por cuenta individual de correo electrónico, es de 20MB.
  • La ampliación del tamaño del buzón podrá ser solicitada por Directivos, Administradores de Agencias y Sucursales , nunca podrá superar los 30MB. La Gerencia de Informática es responsable en la aprobación de ampliación y definición del tamaño del buzón.
  • Para los Buzones Globales se asignará un tamaño máximo de 40 MB.
  • Cuando el nivel de ocupación del buzón de correo exceda el asignado, el usuario correspondiente no podrá enviar ni recibir mensajes; en este caso el Administrador de Correo electrónico de la Gerenc ia de Informática podrá eliminar la información contenida en dicho buzón.
  • La Gerencia de Informática, podrá autorizar la asignación de cuentas de correo a usuarios diferentes de los indicados en el presente artículo y modificar el tamaño asignado, de acuerdo con las necesidades del servicio.
  • Es deber de los usuarios del servicio de correo electrónico, evacuar periódicamente la información contenida en sus buzones, tanto para cuentas individuales como globales, de manera que no excedan los límites de tamaño asignados. En caso de no conocer las herramientas para depurar la información, se debe solicitar asistencia a la Gerencia de Informática.
  • Se suspenderá el servicio de correo electrónico a los funcionarios que no hagan uso de este durante un período mayor o igual a dos meses.
  • Se suspenderá por un mes el servicio de correo electrónico a los funcionarios que se les compruebe que están realizando uso indebido de este, y definitivamente en caso de reincidir.
  • Las cuentas de los funcionarios que se retiren de la Entidad se desactivarán y eliminarán de inmediato, previa comunicación a la Gerencia de Informática por la Gerencia del Talento Humano o los Delegados departamentales.
  • El tamaño máximo para envíos de archivos adjuntos es de 5MB.
  • Se filtrará en el correo el tráfico de extensiones *.avi,*.bat,*.bmp, *.exe, *.mdb,*.mp3,*.wma.

4º. Directrices especiales.

La Gerencia de Informática, en colaboración con la Oficina de Comunicaciones y Prensa, instruirá mediante circulares a los funcionarios de la empresa, las buenas prácticas, riesgos, recomendaciones, confidencialidad, reserva y en general sobre el buen uso del correo electrónico y se divulgarán por el medio pertinente.

Manejo especial de información.

Los asuntos relativos a publicaciones de información en la página de Internet de la empresa, deben someterse a consideración y previa aprobación de la Gerencia de Informática.

Control.

Corresponde a la Gerencia de Informática ejercer el control sobre el uso del correo electrónico e informar a la Gerencia de la empresa, la cual podrá delegar esta función a la Oficina de Auditoria o a la Revisoría Fiscal sobre el mal uso de este recurso por parte de algún funcionario.

Computadores, impresoras y periféricos (hardware).

El hardware de la empresaes para uso de los funcionarios de la misma, como herramienta útil para el desarrollo ágil y eficiente de las funciones en cumplimiento de la misión y visión.

 

Políticas de uso de computadores, impresoras y periféricos

  • La infraestructura tecnológica: servidores, computadores, impresoras, UPS, escáner, lectoras y equipos en general; no puede ser utilizado en funciones diferentes a las institucionales.
  • Los usuarios no pueden instalar, suprimir o modificar el software originalmente entregado en su computador. Es competencia de la Gerencia de Informática la instalación de software.
  • No se puede instalar ni conectar dispositivos o partes diferentes a las entregadas en los equipos. Es competencia de la Gerencia de Informática, el retiro o cambio de partes.
  • No se puede utilizar disquetes traídos de sitios externos a la empresa, sin la previa revisión por parte del administrador del sistema , para control de circulación de virus.
  • No es permitido destapar o retirar la tapa de los equipos, por personal diferente al Gerente de Informática o bien sus asistentes o sin la autorización de esta.
  • Los equipos, escáner, impresoras, lectoras y demás dispositivos, no podrán ser trasladados del sitio que se les asignó inicialmente, sin previa autorización de la Gerencia de Informática.
  • Los computadores del PMT, deberán ser utilizados única y exclusivamente por personal calificado y previamente capacitado para el efecto. El traslado de cualquier persona que haya recibido capacitación específica para el manejo y funcionamiento del PMT, deberá requerir autorización previa y escrita de las Gerencias de Talento Humano y de Informática.
  • Se debe garantizar la estabilidad y buen funcionamiento de las instalaciones eléctricas, asegurando que los equipos estén conectados a las instalaciones eléctricas apropiadas de corriente regulada, fase, neutro y polo a tierra.
  • Es estrictamente obligatorio, informar oportunamente a la Gerencia de Informática la ocurrencia de novedades por problemas técnicos, eléctricos, de planta física, líneas telefónicas, recurso humano, o cualquiera otra, que altere la correcta funcionalidad de los procesos. El reporte de las novedades debe realizarse a la Gerencia de Informática tan pronto se presente el problema.
  • Los equipos deben estar ubicados en sitios adecuados, evitando la exposición al sol, al polvo o zonas que generen electricidad estática.
  • Los Centros de información cuentan con las herramientas necesarias para generar los backup del sistema y de las aplicaciones, por lo tanto, deben realizar las copias de seguridad regularmente (Diario y Semanal).
  • Las UPS, no pueden ser usadas como multitomas o fuente de energía de otros aparatos eléctricos diferentes a los misionales y no deben exceder su capacidad.
  • Ningún usuario puede ser administrador local de un computador, la administración de los computadores y demás elementos es competencia de la Gerencia de Informática.
  • Los protectores de pantalla y tapiz de escritorio, serán establecidos por la Gerencia de Informática y deben ser homogéneos para todos los usuarios.
  • Ningún funcionario, podrá formatear los discos duros de los computadores.
  • Ningún funcionario podrá retirar o implementar partes sin la autorización del administrador.
  • En las Agencias y sucursales, los ingenieros administradores o encargados del área tecnológica, deben realizar el mantenimiento de primer nivel a los equipos de cómputo, para tal efecto deben solicitar a la Gerencia Administrativa y Financiera el suministro de los elementos.
  • Para la salida de elementos de tecnología se cumplirán las siguientes normas:
  • No saldrá de oficinas centrales ningún equipo, impresora, escáner, UPS o demás elemento tecnológico, sin la autorización directa de la Gerencia de Informática.
  • Podrá ser soporte para la salida de elementos de tecnología, los formatos diligenciados por vigilancia durante el ingreso del elemento y serán válidos solamente el mismo día de su ingreso y dentro del horario hábil, de lo contrario, se deberá pedir autorización a la Gerencia de Informática para su retiro.
  • En las agencias y sucursales, la salida de elementos de tecnología debe estar autorizada por los administradores del sistema local.
  • Se prohíbe el ingreso a las Oficinas de la empresa o agencias y sucursales, de computadores o elementos de CPU, de uso doméstico de los funcionarios.
El correcto manejo de los equipos de sistemas de la empresa es responsabilidad directa de sus funcionarios.
 
Estudio preparado por el Comité Contable, de Auditoría y Tributario de actualícese.com.
Adaptado del Manual de control informático de
la RNEC.
AGOSTO 16 DE 2005

Comparte esta página:
Enlace corto:

¿Hemos cometido un error? ¡Reporta una corrección!

Última actualización: abril 1, 2009 | Volver al inicio de esta sección
Revisoría Fiscal, Auditoría y Control

Comentarios



Programación


Otros Canales de Actualización...

Actualizaciones por email Suscripción Oro facebook You Tube Twitter RSS

Artículos Publicados

Por Categorias

Archivo