Manual de Políticas Informáticas de la Universidad de Valparaíso
La Universidad de Valparaíso, es una institución pública de administración autónoma y descentralizada, por lo que, en el marco de su Plan Estratégico, asume a través del Rector y sus funcionarios, la responsabilidad en la correcta aplicación de la Políticas generales y específicas que se detallan a continuación:
ALCANCE Y APLICACIÓN DE TODAS LA POLÍTICAS
- Esta política general y las específicas que emanen de ésta se aplican a todos los usuarios, esto es, Académicos, Directivos, Funcionarios, Alumnos, Ex alumnos o Personas Externas que utilicen los recursos computacionales y sistemas de comunicación de la Universidad Valparaíso, sea cual fuere su nivel jerárquico y su calidad contractual. Todos los cuales serán denominados en forma genérica como “usuarios”.
- Estas políticas se aplican, también, a aquellos usuarios que acceden a los recursos desde fuera del recinto universitario a través de Internet.
- Estas políticas se aplican a todo sistema de información y comunicación institucional formalmente reconocido por el Comité de Informática.
1. Política General de desarrollo y Objetivos Informáticos de la Universidad de Valparaíso
- El desarrollo tecnológico de la información deberá contribuir de forma consistente a mejorar los procesos académicos y administrativos de la Universidad de Valparaíso presentes en el plan estratégico vigente y de esta manera aumentar su eficacia, transferencia oportuna de información para la toma de decisiones y mejora de procesos, en beneficio directo de los miembros de la comunidad y usuarios de los servicios.
- La Dirección de Servicios de Información y Computación (DTIC), es el único ente responsable de la asesoría, desarrollo y/o provisión de aplicaciones, redes de comunicación y sistemas computacionales institucionales y de la implementación de éstos, los que serán utilizados como herramientas de apoyo para los procesos administrativos y académicos en la Universidad de Valparaíso.
- Existirán Planes de Informática Anuales, que serán propuestos por DTIC y serán sometidos para su evaluación y aprobación al Comité de Informática.
- Los sistemas de información y comunicación institucionales existentes o que se desarrollen deberán cumplir estrictamente con la compatibilidad e integración (cuyo objetivo principal es la consistencia de datos entre los diferentes sistemas) de los programas correspondientes a la instalación de la red institucional de cómputo, al equipamiento computacional y a la capacitación de los recursos humanos en este terreno.
- El cumplimiento de la política general y las específicas que de esta emanen forma parte de la responsabilidad funcionaria y estudiantil, por lo que el usuario que viole las políticas dispuestas en este documento podrá ser sancionado en conformidad al reglamento interno de la Universidad de Valparaíso, al reglamento que regula la disciplina de los alumnos y otra norma dispuesta por el comité informático de la Universidad de Valparaíso, dependiendo de quién sea el responsable del hecho.
2. Política Específica de Uso Adecuado de las TIC de la Universidad de Valparaíso
- Los sistemas de información y comunicaciones de la Universidad de Valparaíso serán estandarizados y ajustados a procesos y procedimientos definidos por DTIC.
- Todo recurso computacional y de comunicación provisto por la Universidad de Valparaíso, necesariamente debe tener como fin alguno de los siguientes propósitos:
- Docencia
- Investigación
- Extensión
- Administración
- Difusión y Promoción Institucional
- Atención de usuarios.
- Todo uso de recursos computacionales y de comunicación por parte de los usuarios, debe ser con fines laborales del cargo y funciones para los que fue contratado. En el caso de los alumnos y ex-alumnos, el uso debe ser para los fines mencionados. Cualquier otro uso no enunciado no está permitido.
- Todo movimiento de personal debe ser informado a DTIC por parte de RR.HH. o el Jefe de Servicio para cambiar los perfiles asociados a los usuarios, con el objetivo de resguardar el acceso a los sistemas de información y comunicación.
- Todo el software que se utilice en los computadores de la Universidad de Valparaíso deberá contar con sus licencia de uso adquiridas por parte de la Universidad, las cuales serán informados por DTIC, en conformidad con el artículo 22 del decreto supremo número 83 del año 2004 del Ministerio Secretaria General de la Presidencia.
- El correo electrónico institucional es un medio de comunicación oficial, por los que su uso estará restringido a asuntos de esta naturaleza y como herramienta de apoyo para los fines descritos en el punto 2. Su empleo para asuntos personales está autorizado siempre y cuando consuma una mínima parte de los recursos y no interfiera con el cumplimiento de las obligaciones del funcionario, académico o alumno. Está prohibido utilizar el sistema de correo para el desarrollo de publicidad comercial, de entretenimiento o transmisión de mensajes ofensivos.
- La información proveniente desde los sistemas de información definidos como institucionales será considerada como la fuente única y oficial para todos los propósitos de entrega de información. Los usuarios responsables del ingreso y modificación de datos contenidos en los sistemas de información de la Universidad de Valparaíso serán responsables del contenido, consistencia y validez de dichos datos.
3. Política Específica de Desarrollo, Adquisición e Instalación de Aplicaciones y Sistemas Computacionales
- Cada unidad académica o administrativa de la Universidad de Valparaíso, para poder una solicitud de desarrollo de un sistema informático deberá utilizar los procesos y procedimientos definidos por DTIC.
- El Director de DTIC será el responsable de aprobar el desarrollo de un nuevo sistema de información o de una nueva aplicación según las prioridades determinadas con la unidad o autoridad solicitante.
- Para el desarrollo de un nuevo sistema informático o de una nueva aplicación se deberá privilegiar la tecnología existente, siempre y cuando se puedan obtener resultados óptimos y eficientes.
- En el caso de que existan requerimientos que no puedan ser satisfechos con el software institucional existente, se deberán valorar alternativas en primera instancia de software libre y luego como última medida el pago de licencias.
- DTIC, es el ente responsable de:
- Determinar si es necesario adquirir nuevo hardware institucional, en el caso de que el existente está obsoleto y/o no funcione adecuadamente con la tecnología actual o que se desee adquirir.
- Asesorar y autorizar la instalación de aplicaciones en las diferentes unidades administrativas y académicas de la Universidad de Valparaíso.
- Determinar las topologías de la red de la Universidad para desarrollar, implementar y/o instalar aplicaciones y sistemas computacionales.
- Cada unidad académica y administrativa de la Universidad de Valparaíso podrá contar con una persona responsable de instalar las aplicaciones que requiera para desarrollar sus funciones. El responsable de esta tarea deberá estar previamente capacitado y deberá trabajar en forma coordinada con DTIC.
4. Política Específica de Seguridad de la Información
- Toda la información que sea sensible, crítica o valiosa para la Universidad de Valparaíso deberá tener controles de acceso.
- Toda información secreta y/o confidencial que se transmita por las redes de comunicación de la Universidad de Valparaíso e Internet deberá estar cifrada.
- Todas las bases de datos institucionales deberán tener copias de respaldo según lo indicado en el artículo 23 del decreto supremo número 83 del año 2004 del Ministerio Secretaria General De La Presidencia.
- Todo equipamiento computacional deberán protegerse físicamente de las amenazas de riesgos del ambiente externo, pérdida o daño, incluyendo las instalaciones de apoyo tales como el suministro eléctrico y la infraestructura de cables.
- Las unidades administrativas y/o académicas de la Universidad de Valparaíso son los responsables de autorizar y de determinar el nivel de acceso a un usuario a los diferentes sistemas informáticos institucionales de apoyo a los procesos cuya gestión sean de su responsabilidad.
- El acceso a la red inalámbrica institucional de la Universidad de Valparaíso requerirá de un sistema de autentificación, la cual será determinada, implementada y accedida según las normas de DTIC.
- Los usuarios son responsables de:
- Proteger, evitar pérdidas, accesos no autorizados, exposición y utilización indebida de la información que disponen y deberán cumplir los lineamientos generales y especiales dados por la organización referidos a la protección de datos.
- Solicitar autorización previa antes de suministrar información de la organización a cualquier requiriente.
- Velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la información que maneje, especialmente si dicha información está protegida por reserva legal o ha sido clasificada como confidencial y/o crítica.
- Resguardar sus claves de acceso a los recursos informáticos, los que son personales e intransferibles.
- Todas las actividades llevadas a cabo con su clave de acceso.
- Almacenar y respaldar la información que es soportada por la infraestructura de tecnología informática de acuerdo con las normas emitidas por DTIC, de tal forma que se garantice su disponibilidad.
- Respaldar la información relevante de su estación de trabajo utilizando los protocolos de respaldo establecidos por DTIC.
- DTIC es el ente responsable de:
- La seguridad de la información institucional de la Universidad de Valparaíso.
- Establecer la utilización de las claves de acceso a los recursos informáticos, parámetros sobre la longitud mínima de las contraseñas, la frecuencia con la que los usuarios deben cambiar su contraseña y los períodos de vigencia de las mismas, entre otras.
- Definir las especificaciones y requerimientos de seguridad necesarios para cada sistema de información o aplicación que se desarrolle en la unidad.
- Preparar, actualizar periódicamente y probar en forma regular un plan de contingencia que permita a las aplicaciones críticas y sistemas de cómputo y comunicación estar disponibles en el evento de un desastre de grandes proporciones como terremoto, maremoto, explosión, terrorismo, inundación etc.
- Aprobar y certificar la conexión entre sistemas internos de la Universidad de Valparaíso y otros de terceros, con el fin de no comprometer la seguridad de la información interna de la organización.
- Regular las conexiones de redes externas de tiempo real que accedan a la red interna de la organización, la cuales deben pasar a través de los sistemas de defensa electrónica que incluyen servicios de ciframiento y verificación de datos, detección de ataques cibernéticos, detección de intentos de intrusión, administración de permisos de circulación y autentificación de usuarios.
- Borrar, de forma definitiva, los datos contenidos en los equipos informáticos y medios digitales que sean usados en el almacenamiento y/o procesamiento de información de la Universidad de Valparaíso antes de ser dados de baja.
- Cualquier brecha de seguridad o sospecha en la mala utilización en el Internet, la red corporativa o Intranet, los recursos informáticos de cualquier nivel (local o corporativo) deberá ser comunicada por el usuario que la detecta, en forma inmediata y confidencial a DTIC.
5. Política de Acceso y Administración de la Red de Datos y Sistemas de Comunicación
- El otorgamiento de acceso a la red de datos y sistema de comunicación está regulado mediante las normas y procedimientos definidos por la Universidad de Valparaíso publicados por DTIC.
- Todos los usuarios podrán tener acceso a la red de datos y sistemas de comunicación necesarios para el desarrollo de sus actividades.
- Todos los accesos a la red de datos y sistemas de comunicación de la Universidad de Valparaíso deben terminar inmediatamente después de que el trabajador deje de prestar sus servicios a la organización
- DTIC será el responsable de efectuar el seguimiento a los accesos realizados por los usuarios a la información de la organización, mediante el registro de eventos en los diversos recursos informáticos de la plataforma tecnológica. Cuando se presenten eventos que pongan en riesgo la integridad, validez y consistencia de la información el usuario deberá documentar y realizar las acciones tendientes a su solución informando a los responsables de los respectivos sistemas.
- La configuración e información relacionada con el diseño de los sistemas de comunicación, seguridad y cómputo de la organización, serán considerados y tratados como información confidencial.
6. Política de Administración de Equipamiento Computacional
- Todo equipamiento computacional, que esté o sea conectado a la red de la Universidad de Valparaíso, o aquel que en forma autónoma se tenga y que sea propiedad de la institución debe sujetarse a las normas y procedimientos de instalación, uso y administración que emite la Universidad de Valparaíso.
- DTIC deberá tener un registro de todos los equipos que son propiedad de la Universidad de Valparaíso, en el caso de que éstos sean adquiridos por unidades administrativas o académicas deberán ser informados a DTIC.
- El equipo de la institución que sea de propósito específico y que tenga asignada una misión crítica, debe estar ubicado en un área que cumpla con los requerimientos de: seguridad física, condiciones ambientales y de alimentación eléctrica. Estos requerimientos se encuentran normados por DTIC.
- La protección física de los equipos computacionales es responsabilidad de las personas a las cuales en un principio se les asigna, y les corresponde a estos notificar a DTIC los movimientos en caso de que existan.
- A DTIC le corresponde la supervisión del mantenimiento preventivo y correctivo de los equipos, la conservación de su instalación, la verificación de la seguridad física, y su acondicionamiento específico a que tenga lugar. El traslado o reubicación de un equipo se realizará satisfaciendo las normas y procedimientos determinados por DTIC.
- En el caso de los equipos atendidos por terceros, DTIC deberá normar al respecto y debe realizar en forma coordinada.
- Los responsables de las áreas de tecnologías de la información de una unidad pueden otorgar mantenimiento preventivo y correctivo, a partir del momento en que sean autorizados por DTIC informando periódicamente de las actividades indicadas.
- Corresponde a DTIC dar a conocer las listas de las personas, que puedan tener acceso a los equipos y brindar los servicios de soporte básico, a excepción de los atendidos por terceros, los cuales deben ser informados a DTIC.
- DTIC y los soportes informáticos de la Universidad no realizará mantenimiento ni otorgará ningún tipo de soportes a equipamiento que no sea de propiedad de la institución.
7. Política de Administración de Data Center y Servicios Institucionales
- La administración y control de acceso al Data Center de la Universidad de Valparaíso es responsabilidad de DTIC.
- La solicitudes de nuevo servicios institucionales que requieran de soporte tecnológico o de comunicaciones estará estandarizado por procesos y procedimientos definidos por DTIC.
8. Definiciones Aplicables a Todas las Políticas
- Aplicación: Una aplicación es un programa de computadora que se utiliza como herramienta para una operación o tarea específica.
- Brecha de seguridad: Cualquier evento que tenga efecto sobre la integridad, confidencialidad o disponibilidad de los sistemas institucionales o de su contenido.
- Comité de Informática: Comité desarrollado con el fin de cooperar con el Director de DTIC en el cumplimiento de sus funciones, así como para asesorar al Rector sobre la materia. La conformación del comité será determinada por decreto del Rector.
- Data Center: Instalación empleada para albergar los servidores y equipos de comunicación, que contienen sistemas de información y sus componentes asociados, como las telecomunicaciones y los sistemas de almacenamiento.
- Desarrollo Informático: Soporte informático de Sistemas de Información y Gestión utilizando productos de tecnología avanzada, que permite la rápida incorporación de cambios en las estructuras de datos, agregando además, características de alto rendimiento y seguridad a la organización.
- Equipamiento computacional: Computadores, estaciones de trabajo y equipo accesorio.
- Evento de seguridad de la información: Ocurrencia identificada de un estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información o la falla de salvaguardas, o una situación previamente desconocida que pueda ser pertinente a la seguridad. [ISO/IEC 13335-1:2004].
- Incidente de seguridad de la información: Un evento o serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la información. [ISO/IEC 18044-1:2004].
- Información crítica y valiosa: Aquellos datos que son necesarias para la operación y sustentabilidad de la Institución.
- Información sensible: Aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.
- Información: Conjunto de datos que están organizados y que tienen un significado, los cuales pueden ser transmitidos digitalmente por sistemas de información (referencia DS 83 2004 del documento electrónico) y redes de computadoras, por voz (a través de teléfono, televisión, radio), escrita ( por medio de cartas, memos, entre otros.).
- Movimiento de personal: Nombramiento, contratación y desvinculación del personal.
- Red de Datos: Se denomina red de datos a aquellas infraestructuras o redes de comunicación (cableada o inalámbrica) que se ha diseñado específicamente a la transmisión de información mediante el intercambio de datos.
- Seguridad de la información: Preservación de la confidencialidad, la integridad y la disponibilidad de la información; además, puede involucrar otras propiedades, tales como autenticidad, responsabilidad con obligación de informar (accountability), no repudio, y confiabilidad. [ISO/IEC 13335-1:2004].
- Sistema Informático: Conjunto de elementos interrelacionados, hardware, software y de recurso humano que permite almacenar y procesar información. El hardware incluye computadores, que consisten en procesadores, memoria, sistemas de almacenamiento externo, etc. El software incluye al sistema operativo y aplicaciones, siendo especialmente importante los sistemas de gestión de bases de datos. Por último el soporte humano incluye al personal técnico que crean y mantienen el sistema (analistas, desarrolladores, operarios, etc.) y a los usuarios que lo utilizan. Un sistema informático forma parte de un sistema de información.
- Sistemas de información y comunicación institucionales: Los sistemas de información y comunicación institucional son un conjunto de elementos interrelacionados con el propósito de prestar atención a las demandas de información y comunicación de la Universidad de Valparaíso, para elevar el nivel de conocimientos que permitan un mejor apoyo a la toma de decisiones, desarrollo de acciones y la transferencia y/o intercambio de información.
- Topología de red: Cadena de comunicación usada por los nodos que conforman una red para comunicarse.