Los funcionarios y la seguridad de la información.
La responsabilidad por la seguridad de la información no es únicamente de las áreas de seguridad informática, es una obligación de cada funcionario.
1. Códigos de identificación y palabras claves
1.1 Las palabras claves o los mecanismos de acceso que les sean otorgados a los funcionarios son responsabilidad exclusiva de cada uno de ellos y no deben ser divulgados a ninguna persona, a menos que exista un requerimiento legal o medie un procedimiento de custodia de claves. De acuerdo con lo anterior, los usuarios no deben obtener palabras claves u otros mecanismos de acceso de otros usuarios que pueda permitirles un acceso indebido.
1.2 Los usuarios son responsables de todas las actividades llevadas a cabo con su código de identificación de usuario y sus claves personales.
2. Control de la Información
2.1 Los usuarios deben informar inmediatamente al área que corresponda dentro de la entidad toda vulnerabilidad encontrada en los sistemas, aparición de virus o programas sospechosos e intentos de intromisión y no deben distribuir este tipo de información interna o externamente.
2.2 Los usuarios no deben instalar software en sus computadores o en servidores sin las debidas autorizaciones.
2.3 Los usuarios no deben intentar sobrepasar los controles de los sistemas, examinar los computadores y redes de la entidad en busca de archivos de otros sin su autorización o introducir intencionalmente software diseñado para causar daño o impedir el normal funcionamiento de los sistemas.
2.4 Los funcionarios no deben suministrar cualquier información de la entidad a ningún ente externo sin las autorizaciones respectivas esto incluye los controles del sistema de información y su respectiva implementación.
2.5 Los funcionarios no deben destruir, copiar o distribuir los archivos de la entidad sin los permisos respectivos.
2.6 Las personas o clientes tienen derecho a bloquear su información para que no sea distribuida a terceros o incluida en listados del correo y hacer que la información de ellos sea borrada de las listas de mercadeo directo por lo cual los funcionarios deben actuar de conformidad con lo anterior, guardando en todo momento la privacidad de la información del cliente.
2.7 Todo funcionario que utilice los recursos de los Sistemas, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la información que maneje, especialmente si dicha información ha sido clasificada como crítica.
3. Otros usos
3.1 Los computadores, sistemas y otros equipos deben usarse solamente para las actividades propias de la entidad, por lo tanto los usuarios no deben usar sus equipos para asuntos personales a menos que exista una autorización respectiva que evalúe el riesgo informático de tal labor.
3.2 La Entidad debe tener definido un código de ética para la seguridad informática, el cual debe incluir tópicos relacionados con la seguridad informática y de datos.
Nota: Esta politica fué seleccionada porque es de considerar que el recurso humano es el más complejo y a criterio personal el más importante en cuanto a la seguridad de información y el adecuado uso de los equipos dependen también de los funcionarios de un ente. Nunca están de más por insignificantes que parezcan los mecanismos y técnicas adoptadas por el ente focalizados al recurso humano.
No hay comentarios:
Publicar un comentario