Embed Size (px)
Citation preview
UNIVERSIDAD DE PUERTO RICORECINTO DE CIENCIAS MÉDICASDECANATO DE ADMINISTRACIÓN
DEPARTAMENTO DE GERENCIA DE CAPITAL HUMANOPROGRAMA DE APRENDIZAJE SOSTENIDO
Política Institucional sobre el Uso Aceptable de los Recursos de la
Tecnología de la Información en la Universidad de Puerto Rico
Por: Duhamel Monge Delgado, BS, MPHE: 2011Rev.: Francisco Pérez, CISSP, BS: 2016
Objetivos
• Al finalizar la experiencia educativa los participantes podrán:
1. Explicar el uso apropiado de las Tecnologías de Información establecidas en la Universidad de Puerto Rico y en el Recinto de Ciencias Médicas.
2. Adoptar prácticas ético legales y aceptables en el uso de las Tecnologías de Información en la Universidad de Puerto Rico y en el Recinto de Ciencias Médicas, como parte de las funciones y responsabilidades del personal Docente y No Docente.
3. Desarrollar destrezas que promuevan prácticas adecuadas en cuanto a la importancia de la administración de contraseñas, realizar respaldo (“backup”) y la protección de los derechos de autor.
Alcance
• Aplica a los siguientes usuarios: Estudiantes, Facultad, Investigadores y Empleados.
• También aplica a: contratistas, suplidores externos, consultores o visitantes, en la medida en que conecten equipos con derechos de propiedad registrado a la red o programas con derecho de propiedad de la Universidad de Puerto Rico (en adelante Universidad).
PD: “El desconocimiento de la existencia de esta política o de alguna parte de la misma no exime de su cumplimiento a los usuarios”.
Base Legal
• Ley Núm. 1 de 20 de enero de 1966, según enmendada.
• Reglamento General de la Universidad de Puerto Rico.
Propósito
• Definir una estructura normativa que permita hacer el mejor uso posible de los recursos y la tecnología, para promover los objetivos de la Universidad y aumentar el conocimiento mediante la educación, la investigación y la extensión de servicio.
Objetivos de la Política deTecnologías de Información
• Velar por la integridad de las computadoras, las redes, los sistemas, los programas y los datos, independientemente de que los mismos estén o no ubicados en los predios de la Universidad.
• Asegurar que el uso de las comunicaciones electrónicas cumpla con las leyes, políticas, normas y procedimientos de la Universidad, de los Estados Unidos y las internacionales.
• Proteger la Universidad de consecuencias dañinas de carácter legal o de seguridad.
Presunción de Inclusión de Géneros
• Todos los títulos, los puestos y las funciones incluidas en esta política son aplicables a ambos géneros por igual, ya que pueden referirse o ser ocupados o ejecutados por hombres o mujeres, indistintamente.
Declaración de la Política
• Las computadoras, las redes y los sistemas de información electrónica se deberán usar y manejar responsablemente para asegurar su integridad, seguridad y disponibilidad para actividades apropiadas de carácter educativo, investigativo, de servicio, y otras actividades de la institución.
• Se requiere que los usuarios usen los recursos de las Tecnologías de Información de forma efeciente, eficaz y responsable; de una manera que no afecte la calidad, puntualidad o entrega de trabajos, ni sea obstáculo para que el resto de la comunidad pueda realizar su trabajo para la Universidad.
Derechos y Responsabilidadesde los Usuarios
• Los miembros de la comunidad universitaria reciben acceso a los recursos de tecnología de la información para facilitar sus actividades académicas, de investigación, de servicio y de trabajo relacionadas con la Universidad.
• El uso personal ocasional de la tecnología de información está permitido, mientras dicho uso personal no interfiera con el desempeño en el trabajo ni viole alguna política, reglamento o ley vigente.
• Un supervisor puede requerirle un cambio en dicho uso personal como una condición para continuar en el empleo, de considerarse necesario.
Derechos y Responsabilidadesde los Usuarios
• Revisar, comprender y cumplir con todas las políticas, procedimientos y leyes relacionadas con el uso aceptable y la seguridad de los recursos de tecnología de la información de la Universidad.
• Solicitar de los administradores del sistema o a los custodios de los datos aclaraciones sobre el acceso y sobre asuntos de uso aceptable que no necesariamente se discuten en las políticas, los reglamentos, los estándares y los procedimientos de la Universidad.
• Reportar las posibles violaciones de la política a las entidades adecuadas.
Conciencia sobre la Privacidad y la Seguridad
• La Universidad reconoce el derecho del usuario a la privacidad y la seguridad; y se hará responsable de tomar las medidas razonables para proteger la seguridad de los recursos de tecnología de información asignados a los usuarios individuales.
• La información personal del usuario se mantendrá en un ambiente seguro; y solamente accederán a la misma los empleados autorizados que necesiten la información para realizar su trabajo.
• Los usuarios deberán seguir los procedimientos adecuados de seguridad para ayudar a mantener la seguridad del equipo, los sistemas, las aplicaciones y las cuentas.
Consecuencias de las Violaciones
• La Universidad podrá denegar acceso a los recursos de la tecnología de información temporalmente si durante el curso de una investigación resulta necesario proteger la integridad, seguridad, o la operación continua de sus computadoras, sistemas, aplicaciones y redes, o para protegerse a sí misma de alguna responsabilidad.
• Las alegadas violaciones a las políticas de la tecnología de información de la Universidad se deberán referir a los oficiales universitarios correspondientes para su resolución o acción disciplinaria.
Derechos y Responsabilidades de la Universidad
• La Universidad es dueña de las aplicaciones, los sistemas, las computadoras y las redes que componen su infraestructura técnica. De la misma forma, la Universidad es dueña de todos los datos que residen en dicha infraestructura técnica; y es responsable de tomas las medidas necesarias para proteger la integridad, seguridad y confidencialidad de sus sistemas, aplicaciones, datos y cuentas de usuarios.
Responsabilidades Funcionales
• Vicepresidente de Investigación y Tecnología: – Difundirá esta Política a toda la Universidad.– Desarrollará estándares y procedimientos generales
sistémicos, que sean consistentes con esta Política en cuanto al uso de recursos de la Tecnología de la Información.
– Proveerá la implantación y ejecución de una campaña educativa continua a escala sistémica para guiar a la Universidad en cuanto al uso adecuado de la Tecnología de Información
Responsabilidades Funcionales
• Oficina de Sistemas de Información (OSI):– La Universidad apoya el uso de los recursos de la TI mediante la OSI
del Sistema y las diferentes OSI en las unidades. La tecnología de la Universidad y las responsabilidades del personal de la OSI que le ofrece apoyo, deberán estar de acuerdo con esta Política, el plan estratégico institucional y las necesidades específicas de la oficina, la unidad, la facultad o la instalación.
– Todas las adquisiciones de equipos relacionados con computadoras, redes y programas de la Universidad, así como cualquier propuesta de implantación de sistemas de información o de Tecnologías de Información, se deberán coordinar mediante la OSI del Sistema o la OSI de la Unidad correspondiente.
– Implantará políticas y procedimientos locales subordinados a esta Política y a los estándares y procedimientos sistémicos emitidos para la implantación, administración y uso de la Tecnología de la Información en los predios de la Universidad.
Responsabilidades Funcionales
• Oficina de Sistemas de Información (OSI):– Recoge los índices claves de desempeño para medir el nivel de servicio
provisto a los usuarios en apoyo del uso de la tecnología de información, y compara estas métricas con las expectativas y necesidades de nivel de servicio establecidas para medir el nivel de servicio provisto.
– Tomará los pasos necesarios para promover y mantener un ambiente de aprendizaje y mejoramiento continuo en los procesos de su equipo de trabajo. También orientará a los usuarios universitarios sobre el uso adecuado y eficaz de la Tecnología de Información.
Responsabilidades Funcionales
• Oficina de Sistemas de Información (OSI):– La Universidad faculta a la OSI con el poder de proteger los recursos y
los datos de la Tecnología de la Información.– El personal de la OSI tratará el contenido de los datos institucionales,
las cuentas asignadas individualmente y las comunicaciones personales como privadas y no eximirá ni difundirá su contenido, a menos que:
• Sea requerido para el mantenimiento del sistema, lo que incluye medidas de seguridad.
• Cuando exista una razón documentada para creer que un individuo está violando la ley o la Política Universitaria.
• Según lo permita la ley o la política que sea aplicable.
Responsabilidades Funcionales
• Oficina de Sistemas de Información (OSI):– Asegurará que las medidas de seguridad y los estándares
adecuados sean implantados y puestos en vigor. En caso de dudas, se tratará la información como confidencial hasta que se le informe de lo contrario.
– Cada OSI tiene la responsabilidad de proveer recursos de Tecnologías de Información a los usuarios que tienen una necesidad legítima y al mismo tiempo: proteger las redes, los sistemas y los datos de la Universidad del acceso no autorizado y el abuso.
– Llevará a cabo las acciones que sean razonables para asegurar el uso autorizado y la seguridad de los datos, los sistemas o redes y las comunicaciones que se transiten a través fe estos sistemas o redes. También revisará los derechos de acceso de los usuarios legítimos regularmente.
Política de Seguridad de Tecnologías de Información del
Recinto de Ciencias Médicas
UNIVERSIDAD DE PUERTO RICORECINTO DE CIENCIAS MÉDICASDECANATO DE ADMINISTRACIÓN
DEPARTAMENTO DE GERENCIA DE CAPITAL HUMANOPROGRAMA DE APRENDIZAJE SOSTENIDO
Por: Duhamel Monge Delgado, BS, MPHE: 2011Rev.: Francisco Pérez, CISSP, BS: 2016
Base Legal
• Entre las leyes que regulan la Política de Seguridad de Tecnologías de Información el Recinto de Ciencias Médicas (RCM), se encuentran las siguientes:– Ley Federal “Family Education Rights and Privacy Act” (FERPA) de
1974 – Ley Federal “Health Insurance Portability and Accountability Act”
(HIPAA) – Reglamento General de la UPR.– Certificación Núm. 35 (2007-2008): “Política Institucional sobre el
Uso Aceptable de los Recursos de la Tecnología de la Información en la Universidad de Puerto Rico”.
– Ley Federal de Derechos de Autor, Pub. L. 94-553, Titulo I, §101 , Oct. 19, 1976 según enmendada, 90 Stat, 2541, 17USCA § 101.
Responsabilidad Compartida
• Rectoría a través de OSI.• Decanos a través de los Directores de Unidades de
Informática con su respectivo personal técnico.• Usuarios en relación a la responsabilidad de proteger
y salvaguardar la seguridad y privacidad de los recursos.
Definiciones
• Rector: Autoridad administrativa y académica del Recinto de Ciencias Médicas, conforme al artículo 7, de la Ley Número 1, de 20 de enero de 1996 según enmendada.
• Gerencia: Se incluyen Decanos(as), Director(a) de OSI, Directores(as) de Departamentos, Directores de Unidades de Informática y otro personal gerencial relacionado, que tienen la responsabilidad de aprobar, evaluar los mecanismos, estándares, guías y procedimientos creados en sus respectivos Decanatos o Departamentos.
Definiciones
• Oficina de Sistemas de Información (OSI): – Objetivo Principal: Establecer y promulgar políticas, guías,
procedimientos y estándares de Tecnologías de Información que faciliten y promuevan el uso de la tecnología en forma integrada para satisfacer las necesidades de los usuarios en el Recinto.
– Provee a la comunidad del Recinto de Ciencias Médicas, igualdad de acceso a los recursos de Tecnologías de Información y facilita su uso e integración en los procesos estudiantiles, académicos, de investigación, administrativos y de servicios clínicos.
– Responsable por la administración, desarrollo y mantenimiento de la infraestructura de comunicación de data, voz y video para proveer a la comunidad del Recinto el acceso a Internet Doméstico e Internet 2.
Definiciones
• Personal Técnico de Informática: Comprende al personal de los decanatos, departamentos, proyectos especiales (propuestas federales, etc.) que son responsables de administrar equipo, manejo de usuarios y seguridad entre otros.
• Usuarios: Toda aquella persona que utiliza cualquiera de los recursos de Tecnologías de Información en el Recinto, ya sea de forma permanente o temporera.
• Sistemas Centralizados: Servicios ofrecidos por OSI a todo el Recinto, entre ellos e-mail, Sistema Administrativo, entre otros.
• Computer Area Network (CAN): Red de comunicación de data, voz y video del Recinto.
Principios y Filosofía
• Apoyo Institucional: La OSI contará con el apoyo y recursos fiscales institucionales para poder presentar e implantar los mecanismos necesarios para cumplir con esta política, incluyendo programas educativos.
• Desarrollo de Políticas Existentes: El Recinto tiene la responsabilidad de crear políticas, procedimientos y estándares de seguridad de Tecnologías de Información, a tenor con la Política Institucional sobre el Uso Aceptable de los Recursos de la Tecnología de la Información en la Universidad de Puerto Rico, Certificación Núm. 35 (2007-2008).
• Educación: El Recinto tiene la responsabilidad de concienciar sobre los deberes, responsabilidades y derechos de los usuarios sobre el acceder, utilizar, manejar, resguardar y disponer de la información, sistemas y equipo que manejan.
Principios y Filosofía
• Niveles Razonables y Costo Efectividad en la Seguridad: – Esta política busca establecer los indicadores razonables para que los
Directores(as) de las Unidades de Informática, con su Personal Técnico,puedan determinar los niveles de costo efectividad adecuados yfuncionales de seguridad, control de acceso y privacidad necesaria parasus recursos de información.
– Al RCM ser una Institución de Educación Superior, que cuenta con áreasAcadémicas, Investigación y Administrativa, se deben de ajustar losniveles de seguridad requeridos por entidades reguladoras tales como:National Institute of Health (NIH), Food and Drugs Administration(FDA) y la Oficina del Contralor de Puerto Rico entre otras.
Principios y Filosofía
• Prácticas de Seguridad Comúnmente Aceptadas: Los requisitos y recomendaciones mencionadas en esta política buscan estar acorde con Prácticas Comúnmente Aceptadas para las Instituciones de Educación Superior.
• Responsabilidad Institucional de la OSI: Velar por que se cumplan con todos los requisitos y aspectos de seguridad y privacidad según requerido por leyes estatales, federales afines como por ejemplo La Oficina del Contralor de Puerto Rico, La Oficina de Auditoría Interna de la Junta de Síndicos de la Universidad de Puerto Rico y la National Intitutes of Health (NIH) entre otras.
Propósito
• Establecer elementos uniformes para el cumplimiento de losestatutos reglamentarios pertinentes y con el uso adecuadode Tecnologías de Información en todo el Recinto.
• Proveer los procedimientos necesarios para el uso adecuadode las tecnologías garantizando la protección de lainformación, los derechos de autor y las enseñanzas endistintos niveles a la seguridad y privacidad de informaciónde los usuarios y pacientes.
Propósito
• Coordinar con todos los decanatos y unidades la mejor estrategiay los procedimientos para determinar los niveles, prácticasóptimas y funcionales de seguridad, uso de los equipos yprogramas en el Recinto.
• Establecer mecanismos para divulgar los requisitos yespecificaciones mencionados en la Política Institucional sobreel Uso Aceptable de los Recursos de la Tecnología de laInformación en la Universidad de Puerto Rico, CertificaciónNúm. 35 (2007-2008), relacionados con los distintos niveles deprivacidad y seguridad.
Alcance
• Cubre a todos los miembros de la comunidad del Recinto,entre ellos: estudiantes, facultativos, investigadores, personaladministrativo, personal destacado en facilidades externas,compañías e individuos asociados u otro que solicite acceder aalguno de los sistemas o fuentes de información del Recinto.
• Establecerá las obligaciones y responsabilidades de laspersonas (usuarios, personal técnico de informática y gerencia)que utilizan cualquiera de los recursos de Tecnologías deInformación en el Recinto.
Alcance
• Este documento no busca restringir, limitar o excluirprácticas existentes en los sistemas de informacióndel Recinto. La política se crea en el marco deestablecer una base o principios básicos aceptables deprocedimientos de seguridad y operacionales quepromuevan la uniformidad entre los trabajos yestrategias para proteger los datos y recursos deinformación del Recinto.
Políticas
• Elementos Generales– Todo usuario es responsable del uso y contenido de la(s)
computadora(s) y otras Tecnologías de Información asignadas para su uso.
– La OSI proveerá las guías para el uso de los sistemas centralizados existentes, mediante el “Manual sobre Tecnologías de Información del Recinto” disponible en el Portal de Empleados.
– La OSI es la oficina que administra y mantiene directamente la red de comunicación del Recinto y la seguridad global que impera en esta.
Políticas
• Elementos Generales– La OSI integra el concepto de Red Privada, Red Externa y Zona
Intermedia “DMZ”, las cuales permiten ubicar los servicios estratégicamente, a base de sus necesidades de acceso, seguridad y otras peculiaridades.
– Se considera abuso de recurso de información cuando un usuario utiliza, accede o modifica información, equipo o ambas para actividades personales y no oficiales acorde con la Política Institucional de la Universidad. Esto comprende acceso no autorizado, violación a los derechos de autor, uso de la red para acceder o descargar archivos no relacionados con las tares y/o funciones oficiales, entre otras.
Políticas
• Elementos Generales– La OSI utiliza el Procedimiento de Manejo de Incidente, el
cual está disponible a través del Portal de Empleados(Intranet), donde se establece que se interviene con la PC oequipo que esté en abuso de recurso de información acordecon la Política Institucional sobre el Uso Aceptable de losRecursos de la Tecnología de la Información en laUniversidad de Puerto Rico, y se toman las medidas paranotificar a la Gerencia sobre el incidente y determinar laacción apropiada o correctiva a tomar.
Políticas
• Adquisición de Equipo y Programado:– La OSI autorizará la adquisición de programado o equipo,
para evaluar su conectividad con la red de comunicación del Recinto, a tenor con las Certificaciones de la Junta de Síndicos de la UPR, 192 de 2002-2003 y 35 de 2007-2008
– La OSI en coordinación con los decanatos, colaborará en la integración del nuevo equipo programado a la red de comunicación del Recinto de forma óptima y aceptable que no resulte en conflicto alguno.
Políticas
• Privacidad y Confidencialidad:– Acceso No Autorizado
• Todo sistema de datos localizado en una estación de trabajo o servidor deberá tener un mecanismo de control de acceso, privilegio y registro de bitácora (Log). Es responsabilidad de los Directores(as) de Unidades de Informática con su respectivo personal técnico de informática el implantar los mecanismos para cumplir con este requisito. Esto requiere incluir las notificaciones de “Prohibido el Acceso no Autorizado” y una notificación de privacidad.
Políticas
• Privacidad y Confidencialidad:– Acceso No Autorizado
• La OSI por su parte es responsable de responder por el control de acceso, seguridad y aspectos relacionados a Sistemas Centralizados que administra.
• La OSI también es responsable de responder por el control de acceso, seguridad y aspectos relacionados con la red de comunicación del Recinto.
Responsabilidades
• Oficina de Sistemas de Información– Creará los programas de educación y publicación de manejo de
incidentes en forma general.– En coordinación con los Directores(as) de Informática, tendrá los
criterios y la discreción de otorgar la cualificación a la hora de brindar acceso y privilegio basado en el concepto de necesidad de saber (“need to know”) y necesidad de tener (need to have”).
– Analizar, evaluar, someter y recomendar para probar toda petición, plan de proyecto o propuesta alguna que requiera o proponga integrar algun componente a la red de comunicación del recinto.
Responsabilidades
• Usuarios “Acceso”– Acceso a recursos de información de sus áreas de trabajos, entre estos:
archivos, computadoras y documentos internos.– Implantar las medidas adecuadas para proteger la privacidad y acceso a
la información guardada en su PC.– La autenticación de usuarios es requerida para el acceso a
computadoras, laptops y servicios centralizados.– Notificar y coordinar con OSI o Directores(as) de Informática, la
disposición de toda información contenida en cualquier equipo que vaya a ser dado de baja o intercambiado con otra persona perteneciente a la comunidad universitaria.
Responsabilidades
• Usuarios “Contraseña”– Re requiere que todo acceso a Recursos Centralizados sea
mediante una cuenta de usuario (“user name”) y contraseña, esta última con un mínimo de ocho (8) caracteres.
– Toda contraseña debe de cumplir con el requisito de expirar en un periodo no menor de 90 días, usando el enfoque de contraseña histórica en donde la misma contraseña no sea usada dos (2) veces.
Responsabilidades
• Usuarios “Virus y Vulnerabilidades”– La UPR participa de la iniciativa gubernamental de hacer uniforme
el uso de antivirus.– Es requerido que se utilize y apoye de programados de
actualización automática para su antivirus.– Seguir las recomendaciones mencionadas en el procedimiento para
manejo de Antivirus.– Utilizar las herramientas incluidas en los sistemas operativos para la
actualización de vulnerabilidades, entre estas, parchos, “hotfix” y “service packs”.
– Realizar resguardo (backup) de la información de sus computadoras u otras tecnologías de información
Responsabilidades
• Personal Técnico de Informática– Les aplican las observaciones mencionadas en la sección de
usuarios, dado que ellos también utilizan recursos provistos por el Recinto a través de la OSI.
– Ejecutar el plan de resguardo (backup) para los sistemas que administra y el personal gerencial en las Escuelas y Decanatos es el responsable de crear y mantener actualizado el plan de resguardo.
– Estará encargado del apoyo técnico de seguridad a los recursos de informática.
Responsabilidades
• Gerencia– Puede emitir políticas, procedimientos y estándares que atiendan
aspectos mencionados de forma general en esta política o aspectos nuevos no contemplados. Las nuevas políticas no deberán entrar en conflicto con esta política una vez establecida.
– Participar en la planificación, evaluación y aprobación de nuevas tecnologías que fortalezcan la estructura de sistemas computadorizados de sus Decanatos o Departamentos.
– Delegar en los Directores de Unidades de Informática con su respectivo personal técnico de información y en OSI, el coordinar los adiestramientos o programas educativos para informar a los usuarios sobre las políticas de seguridad vigentes y el mejor uso de los sistemas disponibles.
Responsabilidades
• Gerencia– Proveer un plan de contingencia para la eventualidad de falla no
esperada o desastre natural que interrumpa el funcionamiento de los servicios que estos administran. El plan estratégico debe incluir el resguardo y restauración, equipo alterno que se pueda utilizar en caso de falla del equipo principal y participar junto con la OSI para integrarse en el Plan de Contingencia Central del R1ecinto.
– Evaluar e implantar medidas para la seguridad de las computadoras, mediante el uso de cuenta de usuario (“username”) y contraseña (“pasword”) o alguna estrategia similar que aplique.
– Emitir guías y/o estándares que no estén contemplados en esta política o respondan a sus necesidades específicas, esto con previa autorización de la OSI y la aprobación del Decano o Director de Departamento según aplique.
Administración de laPolítica de Seguridad
• Acorde con la Política Institucional sobre el Uso Aceptable de los Recursos de la Tecnología de la Información en la Universidad de Puerto Rico, se delega en las unidades (recintos) en coordinación con la OSI, la implantación de esta política y otras relacionadas.
• La OSI en conjunto con las Unidades de Informática y otro personal gerencial relacionado revisará la política para atemperarla a las nuevas necesidades de la comunidad del Recinto relacionadas con las Tecnologías de Información.
Referencias
• Ley Federal de Derechos de Autor, Pub. L. 94-553, Títuli 1 § 101, Oct. 19, 1976, según enmendada, 90 Stat, 2541, 17USCA § 101.
• Política Institucional sobre el Uso Aceptable de los Recursos de la Tecnología de la Información en la Universidad de Puerto Rico.
• “Principles to Guide Efforts to Improve computer and Network Security for Higher Education”, agosto 2002, publicado por EDUCASE/Intranet2 computer and Network Security Task Force.
• Política Institucional de la UPR sobre Patentes e Invenciones, Certificación #132, Serie 2002-03 de la Junta de Síndicos de la U.P.R.
