CONSEJO DE TRANSPORTE PÚBLICO Considerando
Transcript of CONSEJO DE TRANSPORTE PÚBLICO Considerando
Consejo de Transporte Público
RE-TI-001 Reglamento de Seguridad Informática
Versión: 1.2 Fecha: 7 de
noviembre del 2020
1
CONSEJO DE TRANSPORTE PÚBLICO
La junta directiva del Consejo de Transporte Público, de conformidad con las atribuciones que para los efectos le confiere el numeral 7 de la Ley Reguladora del Servicio Público de Transporte Remunerado de Personas en Vehículos en la Modalidad de Taxi, Nº 7969 del 22 de diciembre de 1999 publicada el 28 de enero del 2000, artículos 11, 13, 59, 103, siguientes y concordantes de la Ley General de la Administración Pública, Nº 6227 de 1978.
Considerando:
1º—Que el Consejo de Transporte Público es un órgano de desconcentración máxima adscrito al Ministerio de Obras Públicas y Transportes, con competencia exclusiva en materia de regulación del transporte remunerado de personas.
2º— Que, en virtud de la naturaleza de la creación del Consejo de
Transporte Público, en el sector de transporte público remunerado de personas, y
enmarcado dentro de la política de seguridad informática, tomando en cuenta de
que la mayor parte de los funcionarios realizan tareas y responsabilidades
apoyándose en los sistemas y equipos informáticos que posee este Consejo, así
como para el resguardo de los sistemas y equipos informáticos del CTP.
3º— Que el Consejo de Transporte Público deberá velar por el uso
adecuado de los recursos recibidos por concepto de cánones, que son cobrados a
todos los concesionarios y permisionarios prestatarios del transporte público.
4º—Que, partiendo de estas necesidades, es necesario establecer un instrumento jurídico en el que se regulen los aspectos del uso de los bienes informáticos que sean adquiridos por el Estado como instrumentos de trabajo que como cualquier otro faciliten el mejor desempeño de las labores de los funcionarios públicos a quienes por necesidad comprobada y manifiesta les sea asignado este insumo, a efectos de determinar la licitud, procedencia, motivación y justificación de este proceder.
5º—Que de conformidad con lo que establece la Ley de autor y derechos
conexos N. 6683, Ley de protección de la persona frente al tratamiento de sus datos personales N. 8968, Ley de certificados, firmas digitales y documentos electrónicos N.8454,Decreto Ejecutivo N.37549-JP, Normas técnicas para la gestión y el control de las tecnologías (N-2-2007-CO-DFOE) emitida por la Contraloría General de la República, Política de formatos oficiales de los documentos electrónicos firmados digitalmente y Política de certificados para la Jerarquía nacional de certificadores registrados basado en el artículo 29 del Decreto Ejecutivo 33018-MICIT, entre otros, es necesario establecer la formulación de una reglamentación que permita y facilite la adecuada administración de los bienes, así como un control efectivo sobre su uso y
2
custodia. 6º—Que con fundamento en lo anterior se hace necesario emitir un
reglamento de responsabilidades y obligaciones en materia de seguridad informática para los funcionarios del Consejo de Transporte Público, aprobado por esta Junta Directiva mediante el acuerdo adoptado en el acuerdo adoptado en el artículo 7.17 de la sesión ordinaria 09-2015 del 18 de febrero del 2015 y se aprobó una modificación a los artículos 9,17, 18 y 19 por medio del artículo 7.17 de la Sesión Ordinaria 69-2015 del 16 de diciembre del 2015.
Por tanto,
Acuerdan el siguiente;
REGLAMENTO
RESPONSABILIDADES Y OBLIGACIONES EN MATERIA DE LA SEGURIDAD
INFORMATICA DE LOS FUNCIONARIOS DEL CONSEJO DE TRANSPORTE
PÚBLICO.
CAPITULO I
DISPOSICIONES GENERALES
Artículo 1. Definiciones generales, abreviaturas y acrónimos.
Para los efectos del presente reglamento se entiende por:
a- CTP: Consejo de Transporte Público.
b- Lugar de Contrato de Trabajo: Ubicación Geográfica de la dependencia en el
que el funcionario realiza el desarrollo normal de las labores según conste en el
contrato de trabajo firmado entre el CTP y el funcionario o en aquellos casos que
mediante acuerdo se desempeñen en el lugar establecido por dicho convenio.
c- Centro de Trabajo: Dependencia o lugar donde habitualmente labora el
funcionario.
d- Funcionario: Servidor del CTP, en propiedad, Interino o funcionario a préstamo
a través de convenios entre Instituciones Estatales.
e- Propietario: El Consejo de Transporte Público.
f- Administrador de la información: Es la unidad responsable o que puede
disponer sobre dicha información.
3
g- Custodio de la información: Los Custodios tienen la posesión física o lógica de
la información de aquélla que ha sido confiada al Consejo de Transporte Público.
h- Usuario de la información: Son personas físicas responsables de conocer y
cumplir todas las políticas, procedimientos y normas relativas a la seguridad
informática del Consejo de Transporte Público. Para tales efectos se debe
entender que pueden ser funcionarios que se encuentren desempeñando un cargo
para el CTP, o bien usuarios externos a la instrucción pero que a su vez realizan
alguna actividad relacionada con la información del CTP.
i- Sujetos Responsables. Son todos los funcionarios del Consejo de Transporte
Público en propiedad o interinos que presten servicios directamente al Consejo de
Transporte Público, en virtud de un acto válido y eficaz de investidura, con entera
independencia del carácter imperativo, representativo, remunerado, permanente o
público de la actividad respectiva.
j- Información confidencial: Se trata de una propiedad de la información que
pretende garantizar el acceso únicamente a las personas autorizadas por la
Institución a acceder a dicha información.
k- Información de uso interno: Es aquella información de uso cotidiano, que se
procesa y genera en la Institución para motivar algún acto propio, que conlleve a
un resultado que no afecta a la colectividad.
l- Información de uso público: Información generada en la Institución cuyo fin es
para uso estadístico, de estudio y de consulta, por lo que no contiene ninguna
restricción para su acceso físico o electrónico por parte de cualquier usuario.
m- TI: Departamento Tecnologías de la Información.
n- OGIRH: Oficina de Gestión Institucional de Recursos Humanos.
o- Titular Subordinado: Funcionario de la administración activa responsable de
un proceso, con autoridad para ordenar y tomar decisiones.
p- Base de datos: cualquier archivo, fichero, registro u otro conjunto estructurado
de datos, que sean objeto de tratamiento o procesamiento, automatizado o
manuales, cualquiera que sea la modalidad de su elaboración, organización o
acceso.
q- Datos personales: cualquier dato relativo a una persona física identificada o
identificable.
r- Datos personales de acceso irrestricto: los contenidos en bases de datos
públicas de acceso general, según dispongan leyes especiales y de conformidad
con la finalidad para la cual estos datos fueron recabados.
s- Datos personales de acceso restringido: los que, aun formando parte de
registros de acceso al público, no son de acceso irrestricto por ser de interés solo
para su titular o para la Administración Pública.
t- Datos sensibles: información relativa al fuero íntimo de la persona, como por
ejemplo los que revelen origen racial, opiniones políticas, convicciones religiosas o
espirituales, condición socioeconómica, información biomédica o genética, vida y
orientación sexual, entre otros.
4
u- Deber de confidencialidad: obligación de los responsables de bases de datos,
y personal a su cargo de guardar la confidencialidad con ocasión del ejercicio de
las facultades dadas por esta ley, principalmente cuando se acceda a información
sobre datos personales y sensibles. Esta obligación perdurará aun después de
finalizada la relación con la base de datos.
v- Interesado: persona física, titular de los datos que sean objeto del tratamiento
automatizado o manual.
w- Responsable de la base de datos: persona física o jurídica que administre,
gerencie o se encargue de la base de datos, ya sea esta una entidad pública o
privada, competente, con arreglo a la ley, para decidir cuál es la finalidad de la
base de datos, cuáles categorías de datos de carácter personal deberán registrase
y qué tipo de tratamiento se les aplicarán.
x- Tratamiento de datos personales: cualquier operación o conjunto de
operaciones, efectuadas mediante procedimientos automatizados o manuales y
aplicadas a datos personales, tales como la recolección, el registro, la
organización, la conservación, la modificación, la extracción, la consulta, la
utilización, la comunicación por transmisión, difusión o cualquier otra forma que
facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo,
supresión o destrucción, entre otros.
Artículo 2. Ámbito de aplicación.
El presente reglamento regula las responsabilidades inherentes de todos los
funcionarios del Consejo sobre el cuido, manipulación y uso correcto de los
equipos y sistemas informáticos que son propiedad del CTP.
Este reglamento, se aplica a todas las computadoras, equipo informático,
sistemas en red o no y sus aplicaciones, que posea o sean administrados por el
CTP, también abarca la información manejada por todos los usuarios que utilizan
computadoras y redes de información de este Consejo.
Artículo 3. Sujetos responsables.
a- Las personas o funcionarios que realicen labores en beneficio del CTP,
directamente o a través de un convenio o contrato.
Artículo 4. Importancia de la información.
Importancia de la información: El Consejo de Transporte Público depende de
forma directa de la información y de los sistemas informáticos para el desarrollo de
sus procesos. La información debe ser fidedigna, segura, y confiable para la toma
de decisiones, por lo que un dato inexacto puede generar posibles riesgos como,
servicio deficiente, procesos judiciales, falta de credibilidad, afectando la
funcionalidad y la imagen del Consejo de Transporte Público.
5
Artículo 5. Responsable de la seguridad informática.
El Departamento de Tecnologías de Información, es el responsable directo que
centraliza, dirige y autoriza las actividades de seguridad informática de todas
las unidades funcionales del Consejo de Transporte Público, también
establecerá y llevará a cabo en toda la organización, la aplicación de las
políticas de seguridad informática, el cumplimiento de las normas, los
lineamientos y los procedimientos que estén establecidos.
La responsabilidad en materia disciplinaria resultante de violaciones a los
requerimientos de seguridad informática, será manejada por los Titulares
Subordinados inmediatos, que coordinarán conjuntamente con la OGIRH cualquier
situación que se considere contrario a lo indicado en este reglamento.
CAPITULO II
RESPONSABILIDADES DE LOS FUNCIONARIOS SOBRE EL USO,
DISTRIBUCIÓN Y MANIPULACIÓN DE LA INFORMACIÓN,
SISTEMAS INFORMÁTICOS Y EQUIPO TECNOLÓGICO
Artículo 6. Categorías de responsabilidad sobre la información.
Para coordinar un esfuerzo de equipo, el Consejo de Transporte Público ha
establecido tres categorías, y al menos una de ellas se aplica a todo funcionario.
Estas categorías son:
a- Propietario
b- Custodio
c- Usuario
Artículo 7. Responsabilidades del propietario.
a- De los sistemas informáticos. Se considera propietarios de la información a la
unidad responsable o el que puede disponer sobre dicha información (Normas N-
2-2007-CO-DFOE). El Jerarca y los Titulares Subordinados dentro del Consejo de
Transporte Público que asumen la responsabilidad de la adquisición, desarrollo y
mantenimiento de la información que se procesa y genera. Las aplicaciones de
6
producción son programas computarizados que regularmente proveen informes
que soportan la toma de decisiones y otras actividades de la Institución.
Toda la información sobre los sistemas de aplicaciones de producción debe
tener un Propietario designado.
b- De compartir información: El propietario de la información será el único
autorizado para compartir información, tanto a lo interno como a lo externo de la
institución. Podrá coordinar con el Departamento de Tecnologías de Información
la creación de aplicaciones tecnológicas para llevar a cabo su gestión.
c- Clasificación: Es obligación del propietario, la clasificación de la información
como confidencial en aquellos casos en lo que aplique y de ser posible y/o
necesario deberá informarlo a los custodios y/o usuarios.
Artículo 8. Responsabilidades del custodio.
a- Sistemas Informáticos. Los Custodios tienen la posesión de la información de
forma física o lógica, que ha sido confiada al Consejo de Transporte Público. Si
bien los funcionarios del Departamento de Tecnologías de la Información son
claramente Custodios, también lo son los administradores de un sistema en
particular. Los Custodios son responsables de salvaguardar la información,
incluyendo el control de acceso para evitar la divulgación inadecuada, alteraciones
o modificaciones y hacer respaldos de forma que no se pierda información crítica
para el CTP. Los Custodios también deben implementar, operar y mantener las
medidas de seguridad definidas por los Propietarios de la información.
b- Equipo informático. Se señala como responsables del uso del equipo
informático las personas que custodian los bienes informáticos que le fueron
asignados como los responsables del uso debido, de la pérdida o daño del equipo.
Salvo que el equipo sea considerado dañado por desgaste, caso fortuito o
deterioro natural y/o comprobable. Por lo que estarán obligadas a velar por el
correcto uso de los bienes, debiendo gestionar el mantenimiento y conservación
adecuada de los mismos.
a) De compartir información: El custodio, salvo que también sea el propietario de
la información, no tendrá autorización para compartirla.
Artículo 9. Responsabilidades del usuario.
Los usuarios son responsables de conocer y cumplir todas las políticas, procedimientos y normas relativos a la seguridad informática del Consejo de Transporte Público.
CAPITULO III
ASESORÍAS TECNOLÓGICAS
7
Artículo 10. Asesorías tecnológicas.
Las inversiones a realizar en el CTP en materia de Tecnologías de Información y
Comunicación, ya sea mediante el desarrollo de un proyecto o a través de la
adquisición de bienes o servicios, deberá ser analizado por el Comité de
Proyectos, el cual deberá emitir un criterio con respecto a la posible inversión al
Jerarca del Consejo. Lo anterior aplica tanto para la Administración Activa como
para la Auditoría Interna, debe cumplirse en todas las contrataciones con las
normas sobre derechos de autor, al adquirir y utilizar programas de cómputo con
sus respectivas licencias ó utilizar software de código abierto.
Para estos efectos la administración dispondrá de la comisión correspondiente
según lo establecido en este reglamento de manera tal que se cada de los
proyectos de adquisición de bienes y servicios en materia de Tecnologías de
Información y Comunicación, posea la aprobación requerida.
CAPITULO IV
PARTICIPACIÓN DE LA AUDITORÍA INTERNA
Artículo 11. Participación de la Auditoría Interna.
La Auditoría Interna del Consejo de Transporte Público desarrollará
dentro de sus actividades las gestiones que considere necesarias con
respecto a las tecnologías de información aplicadas por la
Administración con el fin de orientar y coadyuvar de conformidad con
sus competencias según artículo 48 del Reglamento de Organización y
Funcionamiento para la Auditoría Interna del Consejo publicado en el
Decreto No. 42394-MOPT, a que el control interno en tecnologías de
la información proporcione una garantía razonable del cumplimiento de
los objetivos en esa materia.
CAPITULO V
RESPONSABILIDADES DE LOS FUNCIONARIOS SOBRE EL USO
DEL CORREO ELECTRÓNICO
8
Artículo 12. Correo electrónico.
Todo funcionario del CTP que utiliza una computadora recibirá una dirección de
correo electrónico, que será el medio oficial para asuntos relacionados con la
institución, salvo los oficios, que por su naturaleza jurídica deban ser comunicados
de forma física. La cuenta no podrá utilizarse para actividades ajenas a la
institución.
No se debe sobrecargar la cuenta de correo electrónico con grandes cantidades de
mensajes. Todas las comunicaciones de trabajo transmitidas por correo electrónico
deben tener una apariencia y tono profesional. Todos los funcionarios deben
abstenerse de enviar números de tarjetas de crédito, contraseñas o cualquier otra
información confidencial que pueda ser interceptada. Todo el personal debe
emplear una firma normalizada de correo electrónico que incluya su nombre
completo, cargo, dirección de trabajo y número telefónico del trabajo.
Artículo 13. Envío de correo electrónico masivo.
Para la solicitud de envíos de correos electrónicos masivos existirá una cuenta
de correo electrónico ([email protected]).
El Departamento de TI está autorizado para utilizar herramientas de monitoreo
sobre el uso de los recursos, para lo cual podrá establecer controles cuando se
envíe información masiva a través del correo electrónico (Actividades de control-
Ley General de Control Interno N° 8292).
Se advierte que esta facilidad solo podrá ser utilizada por aquellas personas a las
que se les haya debidamente autorizado su uso y que, además, la información que
se transmita sea de índole oficial.
Queda prohibido el envío de mensajes masivos por funcionarios que no estén
debidamente autorizados, o que no se trate de mensajes oficiales o de carácter
laboral, por lo que el Departamento de TI funcionara como un filtro para estos
casos.
CAPITULO VI
SEGURIDAD DE LA INFORMACIÓN
Artículo 14. Manejo consistente de la información.
La información que se genera en el CTP, o aquélla que le ha sido confiada,
debe ser protegida contra el uso no autorizado de la misma. Deben observarse
9
las medidas de seguridad establecidas por la institución, de acuerdo
con el medio en que ha sido almacenada la información, los sistemas que la
procesan o los métodos a través de los cuales es transportada. La información
debe ser protegida sin importar en qué fase de su ciclo de vida se encuentre,
desde el origen hasta la destrucción.
Artículo 15. Etiquetado de la clasificación de la información.
a- La información considerada confidencial, deberá clasificarse de esa manera por el
propietario de la información.
b- La información que pueda ser vinculada directamente a un usuario en
específico se considera confidencial y no se debe revelar a terceros, salvo que haya
autorización por escrito, o si el CTP está legalmente obligado a divulgarla.
Artículo 16. De la necesidad de conocer.
El acceso a información en posesión o bajo el control del Consejo de Transporte
Público debe proporcionarse de acuerdo al concepto de la necesidad de conocer.
La información debe ser divulgada únicamente a aquellas personas que tienen una
necesidad legítima, salvo que la información sea clasificada como pública, por lo
que no tendrá restricciones. Al mismo tiempo, los funcionarios no pueden negar el
acceso a la información cuando el propietario (CTP) autoriza que sea compartida.
Los funcionarios no deben intentar acceder a información confidencial a menos
que el propietario (CTP) le haya dado la autorización al acceso. Cuando un
funcionario cambia sus responsabilidades, incluyendo cese laboral, transferencia,
promoción y permiso remunerado, el Titular Subordinado debe notificar
inmediatamente al Departamento de TI. Los privilegios que se otorgan a todos los
funcionarios deben ser revisados periódicamente por los propietarios y custodios
de la información para garantizar que únicamente aquéllos que cuenten con
autorización tengan acceso a la información confidencial o de uso interno.
Artículo 17. Seguridad física para controlar el acceso a la
información.
Debe restringirse el acceso físico a cualquier oficina, sala de computadoras u otra
área de trabajo del Consejo de Transporte Público que contenga información
confidencial. Si no es utilizada, siempre debe estar protegida contra la divulgación
no autorizada y si está en papel debe guardarse bajo llave cuando se deja en una
oficina sin vigilancia, por lo que la institución deberá brindar los medios necesarios
a los funcionarios para que esto sea posible. Fuera del horario de trabajo, los
funcionarios que trabajan en áreas que contienen información sensible deben
guardar bajo llave toda la información. Los funcionarios deben colocar las
pantallas de sus computadoras en una posición en la que se evite que personal no
autorizado o el usuario en general pueda ver la información confidencial que se
encuentre desplegada en ellas.
10
Artículo 18. Responsabilidad de respaldar.
Los funcionarios deben respaldar con regularidad la información almacenada en
sus computadoras. En el caso de computadoras multiusuario y sistemas de
comunicación, el administrador del sistema es responsable de realizar respaldos
periódicos. Si es solicitado, el Departamento de TI debe instalar o proveer
asistencia técnica para la instalación de dispositivos de hardware y/o software para
respaldos. Todos los respaldos que contengan información confidencial deben ser
almacenados en una ubicación aprobada fuera del sitio de respaldo, en donde
existan controles de acceso físico o cifrado, a cargo del Departamento de TI. Debe
prepararse un plan de contingencia para todas las aplicaciones que manejan
información confidencial. Es responsabilidad del propietario de la información
conjuntamente con el Departamento de TI, garantizar que este plan se desarrolle
adecuadamente, que se actualice regularmente y que se pruebe periódicamente.
En este sentido la información de uso interno de la Institución deberá almacenarse
en una carpeta ubicada en el disco duro con el nombre respaldos, y la ruta para
accederla será C:\respaldos (el nombre es sensitivo a mayúsculas y minúsculas,
se debe respetar los indicado).
Artículo 19. Protección antirrobo.
Todas las computadoras y redes del CTP deben estar físicamente aseguradas con
dispositivos antirrobo en caso de que se encuentren en una oficina de libre acceso.
Los servidores de redes locales y otros sistemas multiusuario deben colocarse en
gabinetes, armarios o salones de computación bajo llave. Las computadoras
portátiles que se encuentren en una oficina de libre acceso y que no se estén
usando, también deben estar aseguradas con cables bloqueadores, colocados en
gabinetes cerrados o asegurados con cualquier otro sistema de bloqueo. Los
equipos de redes y computación no pueden ser removidos de las oficinas del CTP,
a menos que la persona que quiera hacerlo sea el custodio de dicho bien y haya
obtenido la autorización del Titular Subordinado inmediato. El custodio está
obligado al resguardo del equipo, de no contar con un dispositivo de seguridad,
debe de solicitarlo a través del Titular Subordinado inmediato.
Artículo 20. Divulgación de las medidas de seguridad informática.
La información acerca de las medidas de seguridad para las computadoras y
sistemas de red del Consejo de Transporte Público es confidencial y no debe ser
divulgada a personas que no sean usuarios autorizados de dichos sistemas a
menos que lo autorice el Titular Subordinado del Departamento de TI.
Artículo 21. Derecho a investigar y monitorear.
11
El Consejo de Transporte Público se reserva el derecho de monitorear,
inspeccionar o investigar en cualquier momento todos sus sistemas informáticos, lo
cual se hará por medio del Departamento de TI, en razón de que las computadoras
y redes de la institución son proporcionadas únicamente con fines laborales. El
CTP se reserva el derecho de eliminar de sus sistemas informáticos cualquier
material que considere ofensivo, riesgoso, o potencialmente ilegal por medio del
Departamento de TI.
Se enfatiza que en lo que concierne a la computadora asignado al funcionario, el
examen del contenido en su disco duro puede hacerse solo en presencia del
funcionario que tiene asignado el bien.
Artículo 22. Derecho de inspección informática.
El Departamento de TI está autorizado por el CTP de inspeccionar o investigar en
cualquier momento los equipos y sus sistemas informáticos, los cuales se
realizarán durante todo el año por medio de pruebas selectivas, mediante la
selección de una muestra a juicio del Departamento de Tecnologías de
Información, en razón de que las computadoras y redes de la institución son
proporcionadas únicamente con fines laborales y deben cumplir con la protección
de los derechos de autor. El CTP por medio del Departamento de TI se reserva el
derecho de eliminar o desinstalar cualquier material, programa o sistema que
considere ofensivo, riesgoso, o potencialmente ilegal.
Se enfatiza que en lo que concierne a la computadora asignado al funcionario, el
examen del contenido en su disco duro debe hacerse solo en presencia del
funcionario que tiene asignado el bien o mediante autorización escrita y con la
presencia física del Titular Subordinado inmediato del funcionario, siempre
respectando la información personal, por lo que el funcionario creará una carpeta
con el nombre “Documentos personales”, en la que almacenará todo lo
considerado de uso personal. (Resolución 2005-15063 de la Sala Constitucional en
relación con el artículo 24 de la Constitución Política y el artículo 11 de la
Convención Americana sobre derechos humanos).
Artículo 23. Actividades prohibidas.
Los funcionarios no deben examinar o intentar comprometer las medidas de
seguridad de las computadoras o sistemas de comunicación, a menos que hayan
sido previamente autorizados por escrito por el Departamento de TI. Los incidentes
que involucren actividades no autorizadas en el sistema, adivinado de contraseñas,
descifrado de archivos, contrabando de copias de software, o instalación de
tarjetas o dispositivos no autorizados en la computadora y cualquier otro intento
similar de comprometer las medidas de seguridad, pueden ser ilegales y serán
considerados como una seria violación a la seguridad informática del Consejo de
Transporte Público. Están absolutamente prohibidos los atajos que circunden las
12
medidas de seguridad, las travesuras y bromas prácticas que comprometan las
medidas de seguridad de los sistemas (incluyendo a los propios funcionarios del
Departamento de TI).
Solo el Departamento de TI o quien ellos designen, podrán realizar una apertura
del equipo informático que custodia el funcionario, cualquier elemento que no sea
parte del equipo será removido inmediatamente y se realizará el informe
correspondiente.
CAPITULO VII
IDENTIFICACIÓN A TRAVÉS DE USUARIO Y CONTRASEÑA
Artículo 24. Identificadores de usuario y contraseña.
a- Para implementar el concepto de necesidad de conocer, el Consejo de
Transporte Público requiere que cada funcionario que accede a sistemas
informáticos multiusuario tenga un único identificador y una contraseña. Estos
identificadores de usuario se usan para restringir los privilegios informáticos con
base en las responsabilidades del trabajo, el proyecto y de otras actividades de la
institución. Cada funcionario es responsable por el uso de su identificador y
contraseña, así también el Departamento de TI, es el responsable de suministrar la
herramienta adecuada para evitar posibles privilegios para la obtención de la
información basado en las responsabilidades de trabajo de cada usuario.
b- El Departamento de TI mantendrá un inventario de los sistemas que usa el CTP
con su respectivo dueño, al cual se le considerará el propietario de la información
generada por dicha aplicación. El propietario, directamente o a través del
Departamento de TI será el único autorizado para definir el rol que se asigna a los
usuarios dentro del sistema.
Artículo 25. Identificadores de usuarios anónimos.
Los usuarios tienen prohibido conectarse a cualquier sistema o red del Consejo
de Transporte Público en forma anónima.
Artículo 26. Política de contraseñas.
Los usuarios deben tratar de elegir contraseñas que sean difíciles de adivinar. Esto
significa que las contraseñas no debieren estar relacionadas con su trabajo o con
su vida privada. Por ejemplo, el número de placa del automóvil, el nombre del
cónyuge, partes de una dirección, o nombres propios. Con ello tendrán una mayor
13
seguridad del uso de los sistemas que operan según las responsabilidades de
cada usuario.
Los usuarios no deben construir contraseñas usando una secuencia básica de
caracteres que cambia parcialmente en función de la fecha o de otro factor
predecible. Los usuarios no deben construir contraseñas que son idénticas o
sustancialmente similares a contraseñas que hayan utilizado con anterioridad.
Las contraseñas deben tener al menos 16 caracteres de longitud, no pueden
contener el nombre o apellidos del funcionario y debe contener números, letras
mayúsculas, minúsculas y caracteres especiales (punto, guion, asterisco, entre
otros). Deben ser cambiadas cada 30 días o a intervalos más frecuentes. Cuando
un funcionario sospecha que su contraseña la conoce otra persona, debe
cambiarla inmediatamente o solicitar ayuda al Departamento de TI.
Artículo 27. Conexiones a la red interna.
Todas las computadoras del Consejo de Transporte Público que almacenan
información confidencial y que están permanente o intermitentemente conectados
a las redes internas deben tener un sistema de control de acceso aprobado por el
Departamento de TI, mediante contraseñas. Al margen de las conexiones de red,
todas las computadoras no conectadas que manejan información confidencial
también deben tener un sistema aprobado de control de acceso con contraseñas.
Los usuarios que trabajan con otras clases de computadoras deben emplear las
contraseñas del protector de pantalla provistas por los sistemas operativos, de
forma tal que después de un período de inactividad, la información en pantalla
desparezca hasta que se introduzca la contraseña apropiada. Los sistemas
multiusuario usados en el CTP deben emplear sistemas de desconexión
automática que finalizan la sesión del usuario después de un determinado período
de inactividad.
Artículo 28. Conexiones a la red externa.
Todas las sesiones entrantes de conexión a las computadoras del Consejo de
Transporte Público desde redes externas, deben estar protegidas con un sistema
autorizado de control de acceso mediante contraseñas. Cuando usen las
computadoras del Consejo de Transporte Público, los funcionarios no pueden
establecer conexiones con redes externas, incluyendo proveedores de servicios de
Internet, a menos que estas conexiones hayan sido autorizadas por el
Departamento de TI.
14
Artículo 29. Modificaciones a la red
Con excepción de situaciones de emergencia, todos los cambios en las redes de
telecomunicaciones del Consejo de Transporte Público deben estar documentados
en una orden de trabajo y autorizados previamente por el Titular Subordinado del
Departamento de TI. Todos los cambios de emergencia a las redes del Consejo de
Transporte Público deben ser efectuados únicamente por personas autorizadas por
el Departamento de TI. Este proceso evita cambios inesperados que puedan
conducir a la negación de algún servicio, divulgación no autorizada de información
y otros problemas.
CAPITULO VIII
ACCESO A INTERNET
Artículo 30. Acceso a Internet.
Los funcionarios están provistos de acceso a Internet para llevar a cabo sus tareas,
pero este acceso puede darse por terminado en cualquier momento a discreción
del Titular Subordinado inmediato del funcionario. El acceso a Internet es
monitoreado para asegurar que los funcionarios no visiten sitios no relacionados
con su trabajo y también para garantizar el cumplimiento de las políticas de
seguridad. Los funcionarios deben tener especial cuidado en no representar al
Consejo de Transporte Público en grupos de discusión por Internet o en otros foros
públicos, a menos que hayan recibido previamente autorización del Director
Ejecutivo para así hacerlo. Toda la información que se recibe de Internet debe ser
considerada sospechosa hasta que se confirme con fuentes confiables. Los
funcionarios no deben colocar material del Consejo de Transporte Público en
sistemas de computación accesibles públicamente como por ejemplo Internet, a
menos que haya sido aprobado tanto por el Propietario de la información como por
el Departamento de TI. La información confidencial, incluyendo contraseñas y
números de tarjetas de crédito, no debe ser enviada a través de Internet a menos
que se encuentre encriptado.
CAPITULO IX
USO DE CERTIFICADOS, FIRMAS DIGITALES Y DOCUMENTOS
ELECTRÓNICOS
15
Artículo 31. Firma digital, alcance del concepto (Ley de
Certificados, firmas digitales y documentos electrónicos N° 8454).
Entiéndase por firma digital cualquier conjunto de datos adjunto o lógicamente asociado a un documento electrónico, que permita verificar su integridad, así como identificar en forma unívoca y vincular jurídicamente al autor con el documento electrónico. Una firma digital se considerará certificada cuando sea emitida al amparo de un certificado digital vigente, expedido por un certificador registrado.
Artículo 32. Firma digital, valor equivalente.
Los documentos y las comunicaciones suscritos mediante firma digital, tendrán el mismo valor y la eficacia probatoria de su equivalente firmado en manuscrito. En cualquier norma jurídica que se exija la presencia de una firma, se reconocerá de igual manera tanto la digital como la manuscrita. Los documentos públicos electrónicos deberán llevar la firma digital certificada.
Artículo 33. Firma digital, presunción de autoría y
responsabilidad.
Todo documento, mensaje electrónico o archivo digital asociado a una firma digital certificada se presumirá, salvo prueba en contrario, de la autoría y responsabilidad del titular del correspondiente certificado digital, vigente en el momento.
CAPITULO X
SOFTWARE Y PROTECCIÓN ANTIVIRUS
Artículo 34. Software antivirus.
Todos los usuarios de computadoras deben tener versiones actualizadas de
software antivirus ejecutándose en sus computadoras, utilizando solamente el
antivirus oficial de la institución. Los usuarios no deben abortar procesos
automáticos de actualización de antivirus. El software antivirus debe utilizarse para
revisar todos los archivos, programas y dispositivos extraíbles provenientes de
terceros o de otros grupos del Consejo de Transporte Público. Esta revisión debe
hacerse antes de abrir nuevos archivos de datos o de ejecutar nuevos programas.
16
Los funcionarios no deben dejar de utilizar o desactivar el proceso de revisión del
antivirus que podría evitar la transmisión de un virus.
Artículo 35. Erradicación de virus.
Si los funcionarios sospechan que la computadora está infectada con un virus,
deben dejar de utilizarlo inmediatamente y llamar al Departamento de TI. No deben
intercambiarse medios de almacenamiento magnético extraíble entre el
computador infectado y otras computadoras hasta que el virus haya sido
exitosamente erradicado. La computadora infectada debe ser inmediatamente
aislada de las redes internas. Los usuarios no deben intentar erradicar los virus por
sí mismos. El personal del Departamento de TI o consultores autorizados debe
llevar a cabo esta tarea de manera que se minimicen tanto la destrucción de los
datos como el tiempo de caída del sistema.
Artículo 36. Respaldos limpios.
Todos los programas de las computadoras del CTP deben ser copiados antes de
ser utilizados por primera vez y estas copias deben almacenarse en lugares
seguros, como un gabinete bajo llave. Estas copias maestras no deben ser
utilizadas en las actividades cotidianas, sino ser guardadas, en caso de
recuperación por infecciones de virus, fallas del disco duro y otros problemas.
CAPITULO XI
INSTALACIÓN, DISTRIBUCIÓN Y ADMINISTRACIÓN DE
LICENCIAS DE SOFTWARE Y PROGRAMAS INFORMÁTICOS
Artículo 37. De las fuentes del software.
Los usuarios de las computadoras y redes del Consejo de Transporte Público
no deben ejecutar o instalar programas que provengan de fuentes ajenas a la
institución. No deben utilizarse los programas que se descargan de boletines
electrónicos, dominios públicos (Internet) y otras fuentes no confiables a menos
que hayan sido objeto de rigurosas pruebas aprobadas por el Departamento de
TI.
17
Artículo 38. Especificaciones escritas para los propietarios y
custodios de la información.
Todos los programas desarrollados internamente, para procesar información
confidencial o de uso interno aprobado por el Departamento de TI del Consejo de
Transporte Público, deben tener una especificación formal por escrito. Esta
especificación debe incluir un análisis sobre riesgos de seguridad y controles como
sistemas de control de acceso y planes de contingencia. La especificación debe
formar parte de un acuerdo entre el Propietario o Custodio de la información y el
desarrollador del sistema. En este caso no se consideran programas, las macros
para hojas de cálculo y los documentos elaborados en procesadores de palabras.
Artículo 39. Requisito de autorización por seguridad.
Cuando una aplicación es nueva o se haya modificado de manera sustancial,
deberá ser rigurosamente revisada en un ambiente de pruebas, previo a ser
instalado en el ambiente de producción, para lo cual deberá existir la
documentación que lo respalde. En caso de que haya sido una modificación,
deberán guardarse copias de respaldo de la versión anterior por cualquier
eventualidad.
Artículo 40. Control formal de cambios.
Todas las computadoras y sistemas de comunicación utilizados para el
procesamiento de producción deben emplear un proceso documentado de control
de cambios, de forma tal que se garantice que solamente se realicen cambios
autorizados. Este procedimiento de control de cambios debe utilizarse para todos
los cambios significativos en los sistemas de producción, hardware, enlaces de
comunicación y procedimientos. Este procedimiento se aplica a las computadoras
portátiles o de escritorio en donde se ejecutan sistemas de producción y en
grandes sistemas multiusuario.
Artículo 41. Desarrollo de software.
Todas las actividades de desarrollo de software de producción y de mantenimiento
llevadas a cabo internamente deben cumplir las políticas, normas y procedimientos
del Departamento de TI y demás convenios de desarrollo de sistemas. Estos
convenios incluirán la correcta verificación, capacitación y documentación.
Artículo 42. Derechos sobre el material desarrollado.
Derechos sobre el material desarrollado. Mientras los funcionarios desempeñen
labores para el Consejo de Transporte Público, deben ceder a ésta los derechos
exclusivos sobre patentes, derechos de autor, de invenciones o de propiedad
intelectual de todo lo que creen o desarrollen en beneficio del Consejo. Todos los
18
programas y documentación generados o provistos por los funcionarios para
beneficio de la institución son propiedad de esta. El Consejo de Transporte Público
tiene la propiedad sobre los contenidos de todos los sistemas informáticos bajo su
control, menos el de carácter personal del funcionario. El CTP se reserva el
derecho de acceder y utilizar la información a su discreción.
Artículo 43. Licencias.
Todas las licencias de software que el Consejo de Transporte Público adquiera,
deben entregarse por parte del proveedor en medios físicos o estar disponibles
para su descarga en un sitio en Internet, aunque se hayan solicitado pre-instalado.
Artículo 44. Copias no autorizadas.
Los funcionarios no deben copiar los programas suministrados por el Consejo de
Transporte Público en ningún medio de almacenamiento, transferir dichos
programas a otra computadora ni hacerlos públicos a terceros sin el permiso previo
del Departamento de TI. Las copias de respaldo son una excepción autorizada de
este reglamento.
Artículo 45. Instalación de software no autorizado.
Los funcionarios del Consejo de Transporte Público no podrán descargar o utilizar
bajo cualquier circunstancia la instalación de sistemas o software en sus equipos
de trabajo que no hayan sido instalados y autorizados por el Departamento de TI,
el cual tendrá toda la potestad de realizar auditorías (siempre deberá contar con la
presencia física del responsable del equipo asignado) en cualquier computador
para verificar el uso correcto de las mismas; además, de encontrar software no
perteneciente a este Consejo, el mismo será eliminado de la computadora y se
procederá a realizar el debido reporte de las inconsistencias localizadas. El
Departamento de TI utilizará una lista de software autorizado, el cual será
actualizado de acuerdo a las necesidades de los usuarios.
Artículo 46. Herramientas que comprometen la seguridad.
A menos que hayan sido expresamente autorizados por el Titular Subordinado del
Departamento de TI, los funcionarios del Consejo de Transporte Público
(incluyendo a los propios funcionarios del departamento de TI) no pueden adquirir,
poseer, comerciar o utilizar herramientas de hardware, software o servicios de
telecomunicaciones que puedan ser empleadas para evaluar o comprometer la
seguridad de los sistemas informáticos. Pueden ser ejemplos de estas
herramientas aquéllas que frustran la protección de copiado de programas,
descubren contraseñas secretas, identifican vulnerabilidades en la seguridad o
descifran archivos cifrados. Los funcionarios tienen prohibido utilizar cualquier
19
clase de hardware o software que monitoree el tráfico en una red o las actividades
de una computadora.
Artículo 47. Sistema de información para el inventario de
hardware y software.
El inventario de los equipos y el control de la cantidad de licencias de software,
sistemas y programas, se llevará a cabo de forma automática por medio de una
aplicación tecnológica. Será responsabilidad del Titular Subordinado de TI
autorizar la instalación de las licencias en los equipos del CTP, lo cual se realizará
por alguno de sus colaboradores, en el sistema respectivo deberá registrarse está
información.
Artículo 48. Auditorías informáticas de software (Decreto
Ejecutivo Nº 37549-JP).
El Consejo de Transporte Público se reserva el derecho de realizar auditorías
internas o externas con el fin de cumplir con el “Reglamento para la Protección
de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al
Gobierno Central” publicado en la gaceta # 43 del 1-3-13 en relación con la Ley
de derechos de autor y derechos conexos, por lo cual todos los funcionarios del
CTP deberán brindar toda la colaboración que sea requerida para este fin,
incluyendo el acceso cuando sea necesario a la computadora asignada al
funcionario.
Se enfatiza que en lo que concierne a la computadora asignado al funcionario, el
examen del contenido en su disco duro debe hacerse solo en presencia del
funcionario que tiene asignado el bien o mediante autorización escrita y con la
presencia física del Titular Subordinado inmediato del funcionario, siempre
respectando la información personal, por lo que el funcionario creará una carpeta
con el nombre “Documentos personales”, en la que almacenará todo lo
considerado de uso personal. (Resolución 2005-15063 de la Sala Constitucional en
relación con el artículo 24 de la Constitución Política y el artículo 11 de la
Convención Americana sobre derechos humanos).
CAPITULO XII
SANCIONES
Artículo 49. Conducta inapropiada.
20
El titular subordinado inmediato se reserva el derecho de revocar los privilegios
informáticos a través del Departamento de TI, a cualquier usuario en cualquier
momento, siempre y cuando exista razón motivada para dicho acto. No es
permisible la conducta que interfiera con la normal y adecuada operación de los
sistemas informáticos de la institución que adversamente afecte la capacidad de
otros de utilizar estos sistemas o que sea dañina u ofensiva.
Artículo 45. Informes obligatorios.
Todas las violaciones de políticas de las que se tenga sospecha, intrusiones en el
sistema, contaminaciones por virus o cualquier otra condición que pueda amenazar
la información o los sistemas informáticos del Consejo de Transporte Público,
deben ser inmediatamente informadas al Departamento de TI.
Artículo 51. Delitos informáticos.
De conformidad con lo establecido en los artículos 196, 196 bis, 217 bis, 229 bis,
229 ter, 232, 233, 234, de la Sección VIII “Delitos Informáticos” del Código Penal,
serán sancionados con prisión de uno a seis años, a quienes incumplan con el
acatamiento de esta normativa. Ley 8148. Ley 4573
Artículo 52. Incumplimiento.
El incumplimiento de cualquiera de las disposiciones establecidas en el presente
Reglamento, las disposiciones internas que en el futuro se emitan y en cualquier
otra normativa relacionada con la materia, derivará en una investigación preliminar,
a fin de determinar el mérito para la apertura de un procedimiento administrativo.
De requerirse la instrucción del caso por parte de un órgano director, deberán
respetarse los principios del debido proceso, otorgando oportunidad al funcionario
para ejercer su defensa.
En caso de determinar que hay responsabilidad, será sancionado
disciplinariamente de conformidad con los artículos contenidos en el Capítulo XXII
del Reglamento Autónomo de Organización y Servicio del CTP (RAOS). La
enunciación de los grados en que se sancionaran las faltas en que incurra el
funcionario, no implica su aplicación en el orden establecido, sino que dependerá
de las circunstancias de hecho y derecho relacionadas con la falta.