Post on 27-Jun-2015
Servicio Médico Nacional de Empleados Públicos
MANUAL DE POLÍTICAS Y NORMAS DE SEGURIDAD EN INFORMÁTICA
SEGURIDAD EN INFORMÁTICA Mayo de 2010
Página :
1 de 30
Servicio Médico Nacional de Empleados Públicos
Historial del Documento
Fecha de Elaboración Versión
Elaborado por: Controlcambio
22/05/10 1.0
Luis NgGimenez Miguel
Sanchez YesseniaZerpa Aroidemar
SEGURIDAD EN INFORMÁTICA Mayo de 2010
Página :
2 de 30
Servicio Médico Nacional de Empleados Públicos
CONTENIDO
INTRODUCCIÓN ......................................................................................................... 4 VIGENCIA .................................................................................................................... 6 OBJETIVO .................................................................................................................... 6 ALCANCE .................................................................................................................... 6 SANCIONES POR INCUMPLIMIENTO .................................................................... 6 BASES LEGALES ....................................................................................................... 7 Ley contra los Delitos Informáticos .............................................................................. 7
Decreto N° 825 .......................................................................................................... 9 Decreto N° 3390 ........................................................................................................ 9
SEGURIDAD ORGANIZACIONAL. ......................................................................... 9 1.1. POLÍTICAS GENERALES DE SEGURIDAD ................................................. 9 1.2. CLASIFICACIÓN Y CONTROL DE ACTIVOS ........................................... 12 1.3. SEGURIDAD LIGADA AL PERSONAL ...................................................... 13
SEGURIDAD FÍSICA ................................................................................................ 14 2.1 PROTECCIÓN, UBICACIÓN Y ACCESO A LOS EQUIPOS ...................... 14 2.2 USO DE DISPOSITIVOS DE ALMACENAMIENTO ................................... 15
SEGURIDAD LOGICA ............................................................................................. 16 3.1. CONTROL DE APLICACIONES. .................................................................. 16 3.2. PROTECCIÓN CONTRA SOFTWARE MALICIOSO .................................. 17 3.3. CONTROL DE ACCESO A USUARIOS ...................................................... 17 3.4 ADMINISTRACIÓN DE PRIVILEGIOS O ROLES ....................................... 18
POLÍTICA DE CONCIENTIZACIÓN PARA EL CUMPLIMIENTO DE LA SEGURIDAD INFORMÁTICA ................................................................................. 19
SEGURIDAD EN INFORMÁTICA Mayo de 2010
Página :
3 de 30
INTRODUCCIÓN
La base para que una organización pueda funcionar de forma
correcta en el ámbito de seguridad en informática, conduce con la definición
y descripción de las políticas.
Las políticas y normas de seguridad destinadas a instituciones, surgen
como un lineamiento organizacional para concientizar a cada uno de sus
miembros sobre la importancia y sensibilidad de la información.
El presente documento tiene como finalidad dar a conocer las políticas
y Normas de Seguridad en Informática que deberán tener los usuarios
representados por los Técnicos de historias médicas, Doctores y personal
administrativo del Servicio Médico Nacional de Empleados Públicos para
proteger adecuadamente los activos tecnológicos y la información del centro
de salud.
En términos generales los siguientes criterios:
Política organizacional:
Dentro de este, se establece el marco de seguridad que debe
sustentar la Institución, integrando el recurso humano con la tecnología,
denotando responsabilidades y actividades complementarias como
respuesta ante situaciones irregular sobre la seguridad.
Seguridad física:
Identifica los controles en el manejo de equipos, transferencia de
información y control de los accesos a las distintas áreas con base en la
importancia de los activos.
Seguridad lógica:
Se refiere a la seguridad en el uso de software y los sistemas, la
protección de los datos, procesos y programas, así como la del acceso
ordenado y autorizado de los usuarios a la información.
Política de Concientización para el Cumplimiento de la Seguridad
Informática:
Concientizar a todos los empleados del Servicio Médico Nacional de
Empleados Públicos sobre su obligación de conocer y aplicar la normativa
en materia de seguridad informática para lograr un cambio favorable en la
cultura organizacional.
VIGENCIA
El documento presentado entrará en vigor desde el momento en que
éste sea aprobado como documento técnico de seguridad informática por la
Directora del Servicio Médico Nacional de Empleados Públicos, el cual
deberá ser revisado y actualizado conforme a las exigencias y necesidades
del centro de salud.
OBJETIVO
Brindar la información necesaria a los usuarios del centro, sobre las
políticas y normas de seguridad en informática que deben cumplir y utilizar
para proteger el hardware y software perteneciente al Servicio Médico
Nacional de Empleados Públicos, así como la información que es procesada
y almacenada en estos.
ALCANCE
El documento describe las Políticas y Normas de Seguridad que
deberán aplicar de manera obligatoria todos los empleados para el buen uso
de los equipos de cómputo, aplicaciones y servicios informáticos del Servicio
Médico Nacional de Empleados Públicos.
SANCIONES POR INCUMPLIMIENTO
Todos los usuarios del Servicio Médico Nacional de Empleados
Públicos deberán hacer el uso adecuado de los recursos informáticos y de
información, así como comprometerse a cumplir con lo establecido en el
Manual de Políticas y Normas en Seguridad Informática.
Se establecerán medidas disciplinarias para el cumplimiento efectivo
de las políticas las cuales se representan de la siguiente forma:
• Faltas moderadas: Se consideran violaciones moderadas la
divulgación de las contraseñas de los equipos, daños a los
equipos computacionales y el uso no autorizado de dispositivos
de almacenamiento (CD, pen drive). La sanción estará
representada por amonestaciones que van desde la
suspensión temporal o perdida de Cesta ticket hasta el despido
justificado contra el usuario responsable.
• Faltas Graves: Se consideran violaciones graves el robo, daño,
divulgación de información reservada o confidencial de las
historias médicas o información general del Servicio Médico.
Las sanciones estarán sujetas a la Ley Especial contra los
Delitos Informáticos.
BASES LEGALES
Ley contra los Delitos Informáticos
Artículo 6 Expresa:
Acceso indebido. El que sin la debida autorización o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de información, será penado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias.
Artículo 7 Expresa:
Sabotaje o daño a sistemas. El que destruya, dañe, modifique o realice cualquier acto que altere el funcionamiento o inutilice un sistema que utilice tecnologías de información o cualquiera de los componentes que lo conforman, será penado con prisión de cuatro a ocho años y multa de cuatrocientas a ochocientas unidades tributarias.
Artículo 8 Expresa:
Sabotaje o daño culposos. Si el delito previsto en el artículo anterior se cometiere por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, se aplicará la pena correspondiente según el caso, con una reducción entre la mitad y dos tercios.
Artículo 9 Expresa:
Acceso indebido o sabotaje a sistemas protegidos. Las penas previstas en los artículos anteriores se aumentarán entre una tercera parte y la mitad cuando los hechos allí previstos o sus efectos recaigan sobre cualquiera de los componentes de un sistema que utilice tecnologías de información protegido por medidas de seguridad, que esté destinado a funciones públicas o que contenga información personal o patrimonial de uso restringido sobre personas o grupos de personas naturales o jurídicas
El Artículo 13 expresa el hurto de la siguiente forma:
Hurto Quien a través del uso de tecnologías de información, acceda, intercepte, interfiera, manipule o use de cualquier forma un sistema o medio de comunicación para apoderarse de bienes o valores tangibles o intangibles de carácter patrimonial sustrayéndolos a su tenedor, con el fin de procurarse un provecho económico para sí o para otro, será sancionado con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.
Artículo 14 declara:Fraude Todo aquel que, a través del uso indebido de tecnologías de información, valiéndose de cualquier manipulación en sistemas o cualquiera de sus componentes, o en la data o información en ellos contenida, consiga insertar instrucciones falsas o fraudulentas, que produzcan un resultado que permita obtener un provecho injusto en perjuicio ajeno, será penado con prisión de tres a siete años y multa de trescientas a setecientas unidades tributarias.
Artículo 20, Expresa:
Violación de la Privacidad de la Data o Información de Carácter Personal Toda persona que intencionalmente se apodere, utilice, modifique o elimine por cualquier medio, sin el consentimiento de
su dueño, la data o información personales de otro o sobre las cuales tenga interés legítimo, que estén incorporadas en un computador o sistema que utilice tecnologías de información, será penada con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias. La pena se incrementará de un tercio a la mitad si como consecuencia de los hechos anteriores resultare un perjuicio para el titular de la data o información para un tercero.
Decreto N° 825
El Estado declara la utilización del Internet para el beneficio de la
eficiencia en la administración pública, la salud y la educación.
Decreto N° 3390
Artículo 1. Expresa:
La Administración Pública Nacional empleará prioritariamente Software Libre desarrollado con Estándares Abiertos, en sus sistemas, proyectos y servicios informáticos. A tales fines, todos los órganos y entes de la Administración Pública Nacional iniciarán los procesos de migración gradual y progresiva de éstos hacia el Software Libre desarrollado con Estándares Abiertos.
Nivel 1.
SEGURIDAD ORGANIZACIONAL.
1.1. POLÍTICAS GENERALES DE SEGURIDAD
1.1.1 El Servicio Médico Nacional de Empleados Públicos nombrará y
asignará un grupo, representado por un comité de seguridad, que de
seguimiento al cumplimiento de las normativas. Tendrá entre sus funciones:
a) Velar por la seguridad de los activos informáticos
b) Gestión y procesamiento de la información
c) Elaboración de planes de seguridad
d) Capacitación a usuarios en temas de seguridad
e) Poner especial atención a los usuarios de la red institucional sobre
sugerencias o quejas con respecto al funcionamiento de los activos de
información.
f) Concientizar a los empleados.
1.1.2. Los empleados del Servicio Médico Nacional de Empleados
Públicos, gozaran de absoluta privacidad sobre su información o la
información que provenga de sus acciones, salvo en casos, en que se vea
involucrado en actos ilícitos o contraproducentes para la seguridad de la red
institucional. De acuerdo con lo establecido en la Ley contra los Delitos
Informáticos.
1.1.3. Los usuarios tendrán acceso a Internet, como lo expresa el Decreto
825 nombrado en las bases legales, siempre y cuando se cumplan con las
normas de seguridad establecidas en este manual.
1.1.4. Regular el correcto uso de correo electrónico en el Servicio Médico
Nacional de Empleados Públicos.
Se asignarán cuentas de correo electrónico por departamento, creándose
la cuenta con la primera inicial del nombre del usuario seguido del apellido.
Ejem. Acarrillo@serviciomedico.gob. Así mismo queda prohibido el envío de
correos electrónicos anónimos, estos deben ser enviados con su respectiva
firma y con copia a su jefe directo.
1.1.5. Se realizará un monitoreo periódico sobre el uso de los correos, a
fin de eliminar aquellas cuentas que no sean utilizadas. Adicionalmente a
esto, se llevará acabo una depuración de forma semestral.
1.1.6. Para garantizar la seguridad de la información, se establecerán
filtros y medidas para regular el acceso a contenidos no autorizados en pro al
cumplimiento de esta normatividad; por lo tanto, se prohíbe:
• Utilizar el correo electrónico, para intimidar, insultar o acosar a
otras personas, o interferir con el trabajo de los demás.
• Provocar intencionalmente el mal funcionamiento de
computadoras y sistemas.
• Utilizar los servicios de red para jugar, ver publicaciones
variadas y pornografía.
1.1.7. Llevar el registro y control de las direcciones IP de los equipos
conectados a la red con acceso a Internet y la información de los usuarios.
Para llevar el control de las direcciones Se pretende utilizar el rango
de direcciones de Clase C desde la 192.168.1.1 a la 192.168.1.255,
mascara de red 255.255.255.224, mascara de subred en formato barra
diagonal /27 para 30 equipos o equipos por subred y sería como sigue:
Rango SubRed IP Subred IP Broadcast
192.168.1.33-192.168.1.62 192.168.1.32 192.168.1.63
192.168.1.65 – 192.168.1.94 192.168.1.64 192.168.1.95
192.168.1.97 –192.168.1.126 192.168.1.96 192.168.1.127
192.168.1.129 -192.168.1.158 192.168.1.128 192.168.1.159
Tabla 1: Control de Direcciones IP
1.1.8. Proporcionar la documentación actualizada de la red local.
1.1.9. Solucionar fallas menores como son: cables desconectados,
pérdida de suministro de energía eléctrica en los equipos de datos,
desconfiguración de las computadoras de los usuarios o direcciones IP
repetidas. Además de Brindar mantenimiento preventivo y/o correctivo
únicamente a los equipos que cuente con número de inventario.
1.2.1. Se segmentarán de manera lógica las redes, a través de la
creación de Vlan, las cuales permiten organizar grupos conectados a la red.
Dichos grupos serán basados por los diferentes departamentos del
Servicio Médico Nacional de Empleados Públicos.
La configuración de las Vlan en los dispositivos (Switch) estará
establecida por un número de Vlan, seguido del nombre del departamento.
Ejemplo:
Sw1( config) # vlan 10
Sw1 (config-vlan)# name HISTORIAS MÉDICAS
1.2. CLASIFICACIÓN Y CONTROL DE ACTIVOS
1.2.1. Responsabilidad por los Activos
Los jefes de cada departamento del Servicio Médico Nacional de
Empleados Públicos, (coordinadores y directores) son responsables de
mantener o proteger los activos del centro de salud de mayor importancia.
1.2.3 Clasificación de la información
Cada departamentos del Servicio Médico Nacional de empleados
Públicos, es responsables de clasificar la información de acuerdo al nivel de
importancia.
Se tomará como base, los siguientes criterios, como niveles de
importancia, para clasificar la información:
• Pública: información global sobre eventos, jornadas de
vacunación, información sobre citas médicas, etc.
• Interna: información propia de cada departamento (reportes).
• Confidencial: el acceso a las historias médicas solo esta
permitido únicamente por el personal del departamento de
historias médicas y estadísticas de salud, representado por los
técnicos de historia médicas y jefe directo de dicho
departamento.
La información confidencial a la cual cada empleado tiene acceso
debe ser administrada, de modo que no sea divulgada a personas que
podrían utilizarla en beneficio propio, en contra de terceros o de la propia
institución.
Ningún Empleado debe modificar, borrar, esconder o divulgar
información en beneficio propio o de terceros. Esta norma hace referencia a
la base legal que sustenta el principio de confidencialidad de la información,
establecida en el articulo seis (6) de la Ley contra los Delitos Informáticos.
1.3. SEGURIDAD LIGADA AL PERSONAL
1.3.1. Capacitación de Usuarios
Todo empleado del Servicio Médico de nuevo ingreso como los que se
encuentran fijos dentro del centro, contaran con la inducción sobre el
Manual de Políticas y normas de Seguridad en Informática. Se darán a
conocer las obligaciones para los usuarios y las sanciones que pueden
existir en caso de incumplimiento.
1.3.2 El material de apoyo para las capacitaciones (manuales, guías,
etc.) será entregado minutos antes de iniciar la capacitación.
1.3.4 La institución deben elaborar un plan de recuperación y respaldo de
información generada en los sistemas, bases de datos, así como la
información residente en los equipos de los empleados del Servicio Médico
Nacional de Empleados, donde los respaldos deberán realizarse
periódicamente conforme a las características de los equipos, las
aplicaciones y los datos asociados este respaldo lo realizará cada jefe de
departamento.
Nivel 2.
SEGURIDAD FÍSICA
2.1 PROTECCIÓN, UBICACIÓN Y ACCESO A LOS EQUIPOS
2.1.1 Uso y Acceso a los Equipos Computacionales.
Los departamentos del Servicio médico, asi como el cuarto de
comunicaciones son áreas restringuida, por lo que solo el personal
autorizado, técnico de historias médicos, técnico de sistema y/o personal
administrativo pueden acceder a estos espacios. Esta prohibido que
personas ajenas accedan y operen dichos equipos.
2.1.2. Los usuarios no deben mover o reubicar los equipos o de
telecomunicaciones, instalar o desinstalar dispositivos.
2.1.3. Mientras se opera el equipo de cómputo, no se deberá fumar,
consumir alimentos o ingerir líquidos, ya que estas acciones pueden dañar el
equipo. De igual forma el empleado deben evitar colocar objetos encima
del equipo o cubrir los orificios de ventilación del monitor o del CPU.
2.1.4. Queda prohibido que el usuario abra o desarme los equipos de
cómputo.
2.1.5. El equipo de que sufra alguna descompostura por maltrato,
descuido o negligencia por parte del usuario a quien se le fue asignado,
deberá cubrir el valor de la reparación o reposición del equipo o accesorio
afectado.
2.1.6 Queda prohibido el uso de módems inalámbricos en las
computadoras.
2.2 USO DE DISPOSITIVOS DE ALMACENAMIENTO
2.2.1 Toda solicitud para utilizar un medio de almacenamiento (CD, pen
drive) deberán contar con la autorización del jefe directo. El personal que
requiera estos medios debe justificar su utilización.
2.2.2 El uso de los CD es exclusivo para respaldos de información que
por su volumen así lo justifiquen. Y sólo serán utilizados por los jefes de cada
departamento.
Nivel 3.
SEGURIDAD LOGICA
3.1. CONTROL DE APLICACIONES.
3.1.1. Uso del software Libre.
Partiendo del decreto 3390, el Servicio Médico Nacional de Empleados
Públicos por ser un ente perteneciente a la Administración Pública Nacional
empleará Software Libre desarrollado con estándares abiertos, en sus
sistemas, proyectos y servicios informáticos.
3.1.2 Instalación de Software.
Los usuarios que requieran la instalación de software, deberán justificar
su uso y solicitar su autorización a su jefe directo, a través de un oficio
firmado, indicando el equipo donde se instalará el software y el período de
tiempo que permanecerá dicha instalación.
3.2. PROTECCIÓN CONTRA SOFTWARE MALICIOSO
3.2.1 Prevenir Contaminaciones por Virus Informáticos.
Los usuarios del Servicio Médico Nacional de Empleados Publicose sólo
utilizarán el software que se le haya sido asignado.
3.2.2 Todos los archivos de computadora que sean proporcionados por
personal interno o externo, considerando bases de datos, documentos y hojas
de cálculo que tengan que ser descomprimidos, deberán ser verificadas para
evitar que contenga algún tipo de virus antes de su ejecución.
3.3. CONTROL DE ACCESO A USUARIOS
3.3.1 El uso de Nombres de Usuarios y contraseñas.
Cada empleado del Servicio Médico Nacional de Empleados Públicos se
le La asignara un nombre de usuario y una contraseña, esta debe ser
realizada de forma individual, por lo que el uso de contraseñas compartidas
está prohibida.
3.3.2 Cuando un usuario olvide, bloquee o extravíe su contraseña deberá
levantar un reporte dirigido a su jefe directo, para que este gestione el
cambio de contraseña, una vez que lo reciba deberá cambiarlo en el
momento en que acceda nuevamente a la infraestructura tecnológica.
Si el empleado olvida su contraseña más de tres veces, esta acción
será tomada como una falta moderada, y se le aplicará una sanción. (Ver
Página 7).
3.3.3. Esta prohibido que las contraseñas de acceso se encuentren de
forma legible en cualquier medio impreso y dejarlos en un lugar donde
personas no autorizadas puedan descubrirlas.
3.3.4. Todos los usuarios deberán observar los siguientes lineamientos
para la construcción de sus contraseñas:
• Deben estar compuestos por lo menos por seis (6) caracteres y
máximo diez (10), estos caracteres deben ser alfanuméricos.
• Deben ser difíciles de adivinar, esto implica que las
contraseñas no deben relacionarse con el trabajo o la vida
personal del empleado.
• No deben ser idénticos o similares a contraseñas que hayan
usado previamente.
3.3.5. La contraseña tendrá una vigencia de 30 días, finalizando este
periodo el usuario recibe una solicitud electrónica para el cambio de
contraseña.
3.4 ADMINISTRACIÓN DE PRIVILEGIOS O ROLES
3.4.1 Cambio de Privilegios o Roles
Cualquier cambio en los roles y responsabilidades de los usuarios que
modifique sus privilegios de acceso a la red del servicio Médico Nacional,
deberán ser notificados a los jefes directo o a el personal encargado de los
sistemas.
Nivel 4.
POLÍTICA DE CONCIENTIZACIÓN PARA EL CUMPLIMIENTO DE LA SEGURIDAD INFORMÁTICA
4.1 CUMPLIMIENTO DE LAS POLÍTICAS Y NORMAS DE
SEGURIDAD
4.1.1 Revisiones del cumplimiento.
La máxima autoridad del Servicio Médico Nacional Empleados públicos, y
los jefes de cada departamento deberán realizar acciones de verificación del
cumplimiento del Manual de Políticas y Normas de Seguridad Informática
semestralmente.
4.1.2 Los Planes de Continuidad de la Gestión
Se deberán elaborar respectivos Planes de Continuidad de la Gestión y
de procesos alternos de tecnologías de información.
La utilización de propagandas impresas, carteleras de concientización
donde se incluyan controles y procedimientos destinados a identificar el buen
uso del Manual y de las Políticas y Normas de Seguridad ayudando así a
reducir riesgos.
GLOSARIO
A
Acceso:
Tipo específico de interacción entre un sujeto y un objeto que resulta
en el flujo de información de uno a otro. Es el privilegio de un sujeto para
utilizar un objeto.
Aplicación:
En informática, las aplicaciones son los programas con los cuales el
usuario final interactúa a través de una interfaz y que realizan tareas útiles
para éste. Conjunto completo y auto contenido de instrucciones que se
utilizan para realizar una determinada tarea, como procesamiento de texto,
contabilidad o administración de datos.
Autorización:
Es el proceso de asignar a los usuarios permisos para realizar
actividades de acuerdo a su perfil o puesto.
B
Bases de Datos:
Colección almacenada de datos relacionados, requeridos por las
organizaciones e individuos para que cumplan con los requerimientos de
proceso de información y recuperación de datos.
C
CD
Medio de almacenamiento de información.
Computadora
Es un conjunto de dispositivos electrónicos que forman una máquina
electrónica capaz de procesar información siguiendo instrucciones
almacenadas en programas.
Confidencialidad
Se refiere a que la información no sea divulgada a personal no
autorizado para su conocimiento.
Contraseña:
Palabra de paso compuesta por la combinación de caracteres
alfabéticos, numéricos y especiales; la cuál es requerida para tener acceso a
los sistemas de información, componentes de hardware, bases de datos y
otros componentes electrónicos.
Control de Acceso
Es un mecanismo de seguridad diseñado para prevenir, salvaguardar
y detectar acceso no autorizado y permitir acceso autorizado a un activo
tecnológico.
Correo Electrónico:
Herramienta informática que permite el trasiego de mensajes entre
usuarios de computadoras. Permite además la incorporación de archivos de
documentos, imágenes y voz.
Cuentas de Usuario:
Es un identificador, el cual es asignado a un usuario del sistema para
el acceso y uso de la computadora, sistemas, aplicaciones, red, etc.
D
Descargar:
Acción de transferir información computarizada de una computadora a
otra.
Descomprimir:
Acción que se lleva a cabo después de haber comprimido un archivo
para regresarlo a su estado original.
Disco Duro:
Dispositivo encargado de almacenar información de forma
permanente en una computadora. Disco de metal cubierto con una superficie
de grabación magnética
Disponibilidad:
Se refiere a que la información esté disponible en el momento que se
requiera
Dispositivo:
Se puede definir Dispositivo como un aparato, artificio, mecanismo,
artefacto, órgano o elemento de un sistema.
Dispositivo de telecomunicaciones:
Un dispositivo de telecomunicación es uno de los varios dispositivos
de hardware, que permiten que ocurra la comunicación electrónica o que se
lleve a cabo en forma eficiente. Casi todos los sistemas de
telecomunicaciones usan uno o más de estos dispositivos para transmitir o
convertir señales.
E
Estación de trabajo:
Es un ordenador o computador que facilita a los usuarios el acceso a
los servidores y periféricos de la red.
Estándar:
Los estándares son actividades, acciones, reglas o regulaciones
obligatorias diseñadas para proveer a las políticas de la estructura y
dirección que requieren para ser efectivas y significativas.
F
Falta:
Es la consecuencia que resulta del incumplimiento de la normatividad,
pueden ser faltas moderadas o graves.
H
Hardware:
Se refiere a las características técnicas y físicas de las computadoras.
Herramientas de seguridad:
Son mecanismos de seguridad automatizados que sirven para
proteger o salvaguardar a la infraestructura tecnológica.
I
Información:
En sentido general, la información es un conjunto organizado de datos
procesados, que constituyen un mensaje sobre un determinado ente o
fenómeno.
Información confidencial:
Se define como cualquier información ya sea en forma electrónica,
escrita o verbal, relacionada con el cumplimiento de las funciones, los
asuntos u operaciones de la institución.
Internet:
Es un sistema a nivel mundial de computadoras conectadas a una
misma red, conocida como la red de redes en donde cualquier usuarios
consulta información de otra computadora conectada a esta red e incluso sin
tener permisos necesarios acceder a dichos activos.
Integridad:
Se refiere a las medidas de salvaguarda que se incluyen en un sistema de
información para evitar la pérdida accidental de los datos.
M
Maltrato, descuido o negligencia:
Son todas aquellas acciones que de manera voluntaria o involuntaria
el usuario ejecuta y como consecuencia daña los recursos tecnológicos
propiedad del Servicio Médico Nacional de Empleados públicos.
Mecanismos de seguridad o de control
Es un control manual o automático para proteger la información,
activos tecnológicos, instalaciones, etc.
Módem Inalámbrico:
Es un aparato electrónico que se adapta una Terminal o computadora
y se conecta a una red de comunicaciones.
N
Norma o Normatividad:
Conjunto de lineamientos que deberán seguirse de manera obligatoria
para cumplir un fin dentro de una organización.
P
Políticas de Seguridad
Es un plan de acción para afrontar riesgos de seguridad, o un conjunto
de reglas para el mantenimiento de cierto nivel de seguridad
Planes de Continuidad de la Gestión:
Se elaborar con el fin de reducir la discontinuidad de los servicios que
pueda ser ocasionada por debilidades o fallas de seguridad que pueden
materializarse luego de desastres naturales, accidentes, fallas en los equipos
y acciones deliberadas como vandalismo.
R
Respaldo
Archivos, equipo, datos y procedimientos disponibles para el uso en
caso de una falla o pérdida, si los originales se destruyen o quedan fuera de
servicio.
Riesgo:
Es el potencial de que una amenaza tome ventaja de una debilidad de
seguridad (vulnerabilidad) asociadas con un activo, comprometiendo la
seguridad de éste. Usualmente el riesgo se mide por el impacto que tiene y
su probabilidad de ocurrencia.
S
Seguridad informática:
Es una disciplina que se relaciona a diversas técnicas, aplicaciones y
dispositivos encargados de asegurar la integridad y privacidad de la
información de un sistema informático y sus usuarios.
Servidor:
Computadora que responde peticiones o comandos de una
computadora cliente. El cliente y el servidor trabajan conjuntamente para
llevar a cabo funciones de aplicaciones distribuidas. El servidor es el
elemento que cumple con la colaboración en la arquitectura cliente-servidor.
Sistema de Información:
Se denomina Sistema de Información al conjunto de procedimientos
manuales y/o automatizados que están orientados a proporcionar
información para la toma de decisiones.
Software:
Programas y documentación de respaldo que permite y facilita el uso
de la computadora. El software controla la operación del hardware.
Switch:
Dispositivo de red que filtra y direcciona paquetes a las direcciones
destinatarias. El switch opera en la capa de enlace de datos del modelo OSI.
U
Usuario:
Este término es utilizado para distinguir a cualquier persona que utiliza
algún sistema, computadora personal, o dispositivo (hardware).
V
Virus:
Programas o códigos maliciosos diseñados para esparcirse y copiarse
de una computadora a otra por medio de los enlaces de telecomunicaciones
o al compartir archivos o diskettes de computadoras.
Vulnerabilidad:
Es una debilidad de seguridad o hueco de seguridad, el cual indica
que el activo es susceptible a recibir un daño a través de un ataque, ya sea
intencionado o accidental.