Procedimiento 294

CAJA DE SEGURO SOCIAL
DIRECCIÓN EJECUTIVA NACIONAL DE INNOVACIÓN Y TRANSFORMACIÓN

DIRECCIÓN NACIONAL DE PROCESOS
POLITICAS DE SEGURIDAD INFORMATICAS

PO-DENIT-294
Panamá, mayo de 2015

DIRECCIÓN EJECUTIVA NACIONAL DE INNOVACIÓN Y Revisión 1.0
TRANSFORMACIÓN
POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

PO-DENIT-294 Documento Nivel – III
PO-DENIT-294 Página 4 de 26
INDICE
I. Objetivo 5
II. Alcance 5
III. Responsables 6
IV. Lineamientos 6
V. Referencias 6
VI. Definiciones…………………………….…………………………………………………………..……….. 6
VII. Descripción de Actividades 9
VIII. Historia de antecedentes y actualizaciones 26

TRANSFORMACIÓN

I. Objetivo
Las políticas de seguridad dentro de la Caja de Seguro Social es el conjunto de requisitos
definidos por los responsables directos o indirectos de un sistema en la que te indicará qué
está y qué no está permitido en el área de seguridad durante la operación general de las
Tecnologías de Información.
Por medio de estas políticas de seguridad informática que se han implementado, se busca
comunicarse a los usuarios, ya que las mismas establecen un canal formal de actuación del
personal, en relación con los recursos y servicios informáticos de la Institución, por lo cual
esta herramienta organizacional servirá para concientizar a los colaboradores de la Caja sobre
la importancia y sensibilidad de la información que manejamos y tenemos dentro de ella.
Con todo esto se pretende reflejar una serie de normas, reglamentos y protocolos a seguir,
donde se definen las medidas a tomar para proteger nuestra propia información así como la
de todos.
Al poder aplicar estas políticas de seguridad se pretende contemplar los elementos claves de
seguridad los cuales son ya mencionados: la Integridad, Disponibilidad, Privacidad, Control,
Autenticidad y Utilidad de toda la información con que cuenta la Caja de Seguro Social.
Dentro de este documento se pretende que el usuario pueda visualizar los siguientes puntos:
• Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual
aplica.
• Objetivos de la política y descripción clara de los elementos involucrados en su
definición.
• Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a
todos los niveles de la Institución.
• Requerimientos mínimos para configuración de la seguridad de los sistemas que
abarca el alcance de la política.
• Definición de violaciones por no cumplir con las políticas.
• Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.
II. Alcance
El presente documento es para ser utilizado en la Dirección Ejecutiva Nacional de Innovación
y Transformación y todas sus Direcciones.
TRANSFORMACIÓN

III. Responsables
 Dirección Ejecutiva Nacional de Innovación y Transformación
IV. Lineamientos
 Ley 51 de 27 de diciembre de 2005, que modifica la Ley Orgánica de la Caja de Seguro
Social y dicta otras disposiciones, publicada en la Gaceta Oficial 25,453 de 28 de
diciembre de 2005.
 Decreto Ejecutivo 246 de 15 de diciembre de 2004 “Por el cual se dicta el Código

Uniforme de Ética de los servidores públicos que laboran en las entidades del Gobierno
Central”. Publicado en Gaceta Oficial Nº 25,199 del 20 de diciembre de 2004.
 Reglamento Interno de Personal. Capítulo II Deberes y Prohibiciones (Artículo 20).
V. Referencias
 Procedimiento de Seguridad de la Información PR-DENIT-294.
VI. Definiciones
 Acceso: Es el privilegio de una persona para utilizar un objeto o infraestructura.
 Acceso Físico: Es la actividad de ingresar a un área.

 Acceso Lógico: Es la habilidad de comunicarse y conectarse a un activo tecnológico
para utilizarlo.
 Acceso Remoto: Conexión de dos dispositivos de cómputo ubicados en diferentes
lugares físicos por medio de líneas de comunicación, ya sean telefónicas o por medio de
redes de área amplia, que permiten el acceso de aplicaciones e información de la red.
Este tipo de acceso normalmente viene acompañado de un sistema robusto de
autenticación.
 Antivirus: Programa que busca y eventualmente elimina los virus informáticos que
pueden haber infectado un disco rígido, o cualquier sistema de almacenamiento
electrónico de información.
 Ataque: Actividades encaminadas a quebrantar las protecciones establecidas de un

activo especifico, con la finalidad de obtener acceso a ese archivo y lograr afectarlo.
 Base de datos: Colección almacenada de datos relacionados, requeridos por las

organizaciones e individuos para que cumplan con los requerimientos de proceso de
información y recuperación de datos.
TRANSFORMACIÓN

 Confidencialidad: Se refiere a la obligación de los servidores que laboran en la caja no

divulgar información a personal no autorizado para su conocimiento.
 Contraseña: Secuencia de caracteres utilizados para determinar que un usuario
especifico requiere acceso a una computadora personal, sistema, aplicación o red en
particular.
 Control de Acceso: Es un mecanismo de seguridad diseñado para prevenir, salvaguardar
y detectar acceso no autorizado y permitir acceso autorizado a un activo.
 Copyright: Derecho que tiene un autor, incluido el autor de un programa informático

sobre todas cada una de sus obras ue le ermite decidir en u condiciones an de
ser estas reproducidas y distribuidas. Aunque este derecho es legalmente irrenunciable
puede ser ejercido de forma tan restrictiva o tan generosa como el autor decida.
 DENIT: Se refiere a la Dirección Ejecutiva Nacional de Innovación y Transformación.
 Disponibilidad: Se refiere a que la información est dis onible en el momento ue se
necesite.
 Estándar: Los estándares son actividades, acciones, reglas o regulaciones obligatorias
diseñadas para proveer a las políticas de la estructura y dirección que requieren para ser
efectivas y significativas.
 Falta administrativa: Acción u omisión contemplada por la normatividad aplicable a la
actividad de un servidor de la caja, mediante la cual se finca responsabilidad y se
sanciona esa acción u omisión.
 FTP: Protocolo de transferencia de archivos. Es un protocolo estándar de comunicación
que proporciona un camino simple para extraer y colocar archivos compartidos entre
computadoras sobre un ambiente de red.
 Gusano: Programa de com utadora ue uede re licarse a s mismo enviar co ias de
una computadora a otra a través de conexiones de la red, antes de su llegada al nuevo
sistema, el gusano debe estar activado para replicarse y propagarse nuevamente,
además de la propagación, el gusano desarrolla en los sistemas de cómputo funciones no
deseadas.
 Hardware: Se refiere a las características técnicas y físicas de las computadoras.
 Herramientas de seguridad: Son mecanismos de seguridad automatizados que sirven
para proteger o salvaguardar a la infraestructura tecnológica de una Comisión.
 Identificador de Usuario: Nombre de usuario (también referido como UserID) único
asignado a un servidor judicial para el acceso a equipos y sistemas desarrollados,
permitiendo su identificación en los registros.
 Impacto: Magnitud del daño ocasionado a un activo en caso de que se materialice.
 Incidente de Seguridad: Cualquier evento que represente un riesgo para la adecuada
conservación de confidencialidad, integridad o disponibilidad de la información utilizada
en el desempeño de nuestra función.
 Integridad: Se refiere a la pérdida ó deficiencia en la autorización, totalidad ó e actitud
de la información de la Institución. Es un principio de seguridad que asegura que la
información y los sistemas de información no sean modificados de forma intencional.
TRANSFORMACIÓN

 Internet: Es un sistema a nivel mundial de computadoras conectadas a una misma red,

conocida como la red de redes (World wide web) en donde cualquier usuario consulta
información de otra computadora conectada a esta red e incluso sin tener permisos.
 Intrusión: Es la acción de introducirse o acceder sin autorización a un activo.
 Maltrato: Son todas aquellas acciones que de manera voluntaria o involuntaria el
usuario ejecuta y como consecuencia daña los recursos tecnológicos ro iedad de la Caja
de eguro ocial. e contem lan dentro de ste al descuido y la negligencia.
 Malware: Código malicioso desarrollado para causar daños en equipos informáticos, sin
el consentimiento del propietario. Dentro de estos códigos se encuentran: virus,
spyware, troyanos, rootkits, backdoors, adware y gusanos.
 Mecanismos de seguridad: Es un control manual o automático para proteger la
información, activos tecnológicos, instalaciones, etc. que se utiliza para disminuir.
 Medios de almacenamiento magnéticos: Son todos aquellos medios en donde se
pueden almacenar cualquier tipo de información (diskettes, CD s, D D s, etc.
 Módem: Es un aparato electrónico que se adapta una terminal o computadora y se
conecta a una red de. Los módems convierten los pulsos digitales de una computadora
en frecuencias dentro de la gama de audio del sistema telefónico. Cuando actúa en
calidad de receptor, un modem decodifica las frecuencias entrantes.
 “Necesidad de saber” principio: Es un principio o base de seguridad que declara que los
usuarios deben tener exclusivamente acceso a la información, instalaciones o recursos
tecnológicos de información entre otros que necesitan para realizar o completar su
trabajo cumpliendo con sus roles y responsabilidades dentro de la Comisión.
 Normatividad: Conjunto de lineamientos que deberán seguirse de manera obligatoria
para cumplir un fin dentro de una organización.
 Respaldo: Archivos, equipo, datos y procedimientos disponibles para el uso en caso de
una falla o pérdida, si los originales se destruyen o quedan fuera de servicio.
 Riesgo: Es el potencial de que una amenaza tome ventaja de una debilidad de seguridad
(vulnerabilidad) asociadas con un activo, comprometiendo la seguridad de este.
Usualmente el riesgo se mide por el impacto que tiene.
 Servidor: Computadora que responde peticiones o comandos de una computadora
cliente. El cliente y el servidor trabajan conjuntamente para llevar a cabo funciones de
aplicaciones distribuidas. El servidor es el elemento que cumple con la colaboración en la
arquitectura cliente-servidor.
 Sitio Web: El sitio web es un lugar virtual en el ambiente de internet, el cual proporciona
información diversa para el interés del público, donde los usuarios deben proporcionar la
dirección de dicho lugar para llegar a él.
 Software: Programas y documentación de respaldo que permite y facilita el uso de la
computadora. El software controla la operación del hardware.
 Spyware: Código malicioso desarrollado para infiltrar a la información de un equipo o
sistema con la finalidad de extraer información sin la autorización del propietario.
 Usuario: Este término es utilizado para distinguir a cualquier persona que utiliza algún
sistema, computadora personal o dispositivo (hardware).
TRANSFORMACIÓN

 Virus: Programas o códigos maliciosos diseñados para esparcirse y copiarse de una

computadora a otra por medio de los enlaces de telecomunicaciones o al compartir
archivos o medios de almacenamiento magnético de computadoras.
 Vulnerabilidad: Es una debilidad de seguridad o brecha de seguridad, la cual indica que
el activo es susceptible a recibir un daño a través de un ataque, ya sea intencional o
accidental.
VII. Descripción de Actividades

A. Políticas y Estándares de Seguridad del Personal.
1. odo usuario de bienes servicios inform ticos se com rometen a conducirse bajo los
rinci ios de confidencialidad de la información de uso adecuado de los recursos
inform ticos de la Caja de eguro ocial, as como el estricto a ego al anual de Pol ticas
y Estándares de Seguridad Informática para usuarios.
2. Obligaciones De los Usuarios:
a. Es responsabilidad de los usuarios de bienes y servicios informáticos cumplir
las Políticas y Estándares de Seguridad Informática para Usuarios del presente
manual.
3. Acuerdos de uso y confidencialidad.
a. Todos los usuarios de bienes y servicios informáticos de la Caja deber n
conducirse conforme a los rinci ios de confidencialidad uso adecuado de
los recursos inform ticos de información, as como com rometerse a
cumplir con lo establecido en el Manual de Políticas y Estándares de
Seguridad Informática para Usuarios.
4. Entrenamiento en Seguridad Informática
a. Todo funcionario de la Caja de Seguro Social nuevo ingreso deberá:
 Leer el Manual de Políticas y Estándares de Seguridad Informática
para Usuarios de la Caja de Seguro Social de Panamá, el cual se
encuentra disponible en el portal de intranet de la Institución, donde
se dan a conocer las obligaciones para los usuarios y las sanciones
que pueden aplicar en caso de incumplimiento.
5. Medidas disciplinarias
TRANSFORMACIÓN

a. Cuando en la Dirección Ejecutiva Nacional de Innovación y

Transformación identifique el incumplimiento al presente Manual
remitirá el reporte o denuncia correspondiente a la Dirección Ejecutiva
Nacional de Recursos Humanos, para los efectos de su competencia y
atribuciones.
B. N N
1. Los mecanismos de control, acceso físico para el personal y terceros deben permitir el
acceso a las instalaciones reas restringidas de la Caja de eguro ocial, solo a ersonas
autori adas ara la salvaguarda de los e ui os de cóm uto de comunicaciones, as
como las instalaciones y los diferentes Centros de Cómputo.
2. Resguardo y protección de la información.
a. El usuario deber re ortar de forma inmediata a su efe nmediato cuando
detecte que existan riesgos reales o potenciales para equipos de cómputo o
comunicaciones, como pueden ser fugas de agua, conatos de incendio u otros.
b. El usuario tiene la obligación de proteger los CD-ROM, DVD, memorias USB,
tarjetas de memoria, discos externos, computadoras y dispositivos portátiles
que se encuentren bajo su administración, aun cuando no se utilicen.
c. Es responsabilidad del usuario evitar en todo momento la fuga de la
información de la Caja que se encuentre almacenada en los equipos de
cómputo personal que tenga asignados.
3. Controles de acceso físico
a. Cual uier ersona ue tenga acceso a las instalaciones de la Caja de eguro,
deber registrar en el Sistema de Ingreso SICAS, el equipo de cómputo, equipo
de comunicaciones, medios de almacenamiento y herramientas que no sean
propiedad de la Caja de Seguro Social, el cual podrán retirar el mismo día, sin
necesidad de trámite alguno.
b. En caso de que el equipo que no es propiedad de la Caja de Seguro Social,
permanezca dentro de la institución más de un día hábil, es necesario que el
TRANSFORMACIÓN

responsable de la Dirección Nacional en el que trabaja el dueño del equipo,

elabore y firme nota notificando que el equipo no es propiedad de la Caja del
Seguro Social.
4. Seguridad en áreas de trabajo
a. Los Centros de cómputo de la Caja de Seguro Social son áreas restringidas, por
lo que solo el personal autorizado por la Dirección puede acceder a ellos.
5. Protección y ubicación de los equipos
a. Los usuarios no deben mover o reubicar los equipos de cómputo o de
telecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los
mismos sin la autorización de la Dirección, debiéndose solicitar a la misma en
caso de requerir este servicio.
b. El área de soporte técnico de la Dirección Ejecutiva Nacional de Innovación y
Transformación ser la encargada de generar el resguardo y recabar la firma
del usuario informático como responsable de los activos informáticos que se
le asignen y de conservarlos en la ubicación autorizada por la Dirección.
c. El equipo de cómputo asignado, deber ser para uso exclusivo de las
funciones asignadas al usuario de la Caja de Seguro Social.
d. er res onsabilidad del Jefe directo solicitar la capacitación necesaria para el
manejo de las herramientas informáticas que se utilizan en su equipo, a fin de
evitar riesgos por mal uso y para aprovechar al máximo las mismas. Es
responsabilidad de los usuarios almacenar su información únicamente en el
directorio de trabajo que se le asigne, ya que los otros están destinados para
archivos de programas y sistema operativo
e. Mientras se opera el equipo de cómputo, no se deberán consumir alimentos
o ingerir líquidos.
f. Se debe evitar colocar objetos encima del equipo o cubrir los orificios de
ventilación del monitor o del gabinete.
g. Se debe mantener el equipo informático en un entorno limpio y sin
humedad.
TRANSFORMACIÓN

h. El usuario debe asegurarse que los cables de conexión no sean pisados o

aplastados al colocar otros objetos encima o contra ellos. El usuario no
deberá cambiar la forma que el equipo fue instalado por el personal Técnico.
i. Cuando se requiera realizar cambios múltiples del equipo de cómputo
derivado de reubicación de lugares físicos de trabajo, éstos deberán ser
notificados con una semana de anticipación a la Dirección Nacional de
Informática a través de un plan detallado de movimientos debidamente
autorizados por el titular del área que corresponda.
j. Queda prohibido que el usuario abra o desarme los equipos de cómputo,
porque con ello perdería la garantía que proporciona el proveedor de dicho
equipo.
6. Mantenimiento de equipo
a. Los usuarios deberán solicitar a la Dirección Nacional Informática los servicios
de reparación y soporte frente a cualquier condición que afecte al equipo
asignado, únicamente el personal autorizado de la Dirección Nacional de
Informática odr llevar a cabo los servicios y reparaciones al equipo
informático.
b. Los usuarios deberán asegurarse de respaldar la información que considere
relevante cuando el equipo sea enviado a reparación y borrar aquella
información sensible ue se encuentre en el e ui o reviendo as la pérdida
involuntaria de información, derivada de proceso de reparación, solicitando la
asesor a del ersonal de la Dirección.
7. Pérdida o transferencia de equipo
a. El usuario ue tenga bajo su resguardo alg n e ui o de cóm uto ser

res onsable de su uso custodia en consecuencia, res onder or dic o
bien de acuerdo a la normatividad vigente en los casos de extravío o pérdida
del mismo.
b. El resguardo ara las la to s, tiene el car cter de ersonal ser
intransferible. Por tal motivo, ueda ro ibido su r stamo.
TRANSFORMACIÓN

c. El usuario deber dar aviso de inmediato a la Dirección de la desaparición,

robo o extravío del e ui o de cóm uto o accesorios bajo su resguardo.
d. En los casos de robo o hurto del equipo fuera de la instalación, el usuario
tiene la responsabilidad de presentar ante sus jefes, documentación de la
denuncia del mismo ante las autoridades competentes.
8. Uso de dispositivos especiales
a. El uso de los grabadores de discos compactos es exclusivo para respaldos de
información ue or su volumen as lo justifi uen.
b. La asignación de este ti o de e ui o ser revia justificación por escrito y
autorización del titular o jefe inmediato correspondiente.
c. El usuario ue tenga bajo su resguardo este ti o de dis ositivos ser
res onsable del buen uso ue se le d .
d. Los módems internos deberán existir solo en las computadoras portátiles no
se deber n utili ar dentro de las instalaciones de la institución ara
conectarse a ning n servicio de información externo, excepto cuando lo
autorice la DENIT.
9. a o de e ipo
a. El equipo de cómputo o cualquier recurso de tecnología de información que
sufra alguna descompostura por maltrato, descuido o negligencia por parte del
usuario, su valor de reparación o reposición será cubierto por el usuario
responsable. Para tal caso la Dirección Ejecutiva de Innovación y
Transformación determinará la causa de dicha descompostura.
C. N N N
N
a. Los usuarios deberán utilizar los mecanismos institucionales para proteger la
información que reside y utiliza la infraestructura de la Caja de Seguro Social
de Panamá. De igual forma, deberán proteger la información reservada o
confidencial que por necesidades institucionales deba ser almacenada o
TRANSFORMACIÓN

transmitida, ya sea dentro de la red interna de la Institución o hacia redes

externas como internet.
10. Uso de medios de almacenamiento
a. oda solicitud ara utili ar un medio de almacenamiento de información

com artido, deber contar con la autori ación del jefe inmediato del usuario
del titular del área dueña de la información.
b. Dic a solicitud deber e licar en forma clara concisa los fines ara los ue
se otorgar la autori ación, ese documento se resentar con sello firma del
titular de rea, a la Dirección o al re resentante de sta en su zona.
c. os usuarios deber n res aldar de manera eriódica la información sensible
cr tica ue se encuentre en sus com utadoras ersonales o estaciones de
trabajo, solicitando asesor a de la Dirección Nacional de Informática o al
representante de sta en su ona, ara ue dic os asesores determinen el
medio en ue se reali ar dic o res aldo.
d. En caso de ue or el volumen de información se re uiera alg n res aldo en
CD, este servicio deber solicitarse or escrito al itular de la Dirección,
deber contar con la firma del titular del rea de adscri ción del solicitante.
e. Los funcionarios de la Caja de eguro ocial deben conservar los registros o
información que se encuentra activa y aquella que ha sido clasificada como
reservada o confidencial, de conformidad a la Ley 51 de 27 de diciembre de
2005, la Ley 6 de 22 de enero de 2002, que dicta normas para la transparencia
en la gestión pública y su respectiva reglamentación, así como las
disposiciones que emita la Unidad de Acceso a la Información Pública a través
de la Secretaría de Transparencia, en términos de acceso a la información
pública en la República de Panamá.
f. Las actividades que realicen los usuarios de la Caja de eguro ocial en la
infraestructura de ecnolog a de la nformación son registradas susce tibles
de auditor a.
11. ns a aci n de o are
TRANSFORMACIÓN

a. os usuarios ue re uieran la instalación de soft are ue no sea ro iedad de

la Caja de Seguro Social, deber n justificar su uso solicitar su autori ación a la
DENIT, a través de una nota firmado or el titular del rea de su adscri ción,
indicando el e ui o de cóm uto donde se instalar el soft are el er odo
ue ermanecer dic a instalación, siem re cuando el due o del soft are
presente la factura de compra de dicho software.
b. i el due o del soft are no resenta la factura de com ra del soft are, el
personal asignado por la Dirección Ejecutiva Nacional de Innovación y
Transformación roceder de manera inmediata a desinstalar dic o soft are.
12. Identificación del incidente
a. El usuario ue sos ec e o tenga conocimiento de la ocurrencia de un
incidente de seguridad inform tica deber re ortarlo a la Dirección de
informatica o al representante de sta en su ona, lo antes osible, indicando
claramente los datos or los cuales lo considera un incidente de seguridad
inform tica.
b. Cuando e ista la sos ec a o el conocimiento de ue información confidencial
o reservada a sido revelada, modificada, alterada o borrada sin la
autori ación de las unidades administrativas com etentes, el usuario
inform tico está obligado a notificar al titular de su adscripción.
c. Cualquier incidente generado durante la utili ación u o eración de los activos
de tecnolog a de información de la Caja de eguro ocial, debe ser re ortado a
la Dirección de nformatica a la esa de ervicio.
13. d inis raci n de a con i raci n

a. Los usuarios de las Unidades Ejecutoras de la Caja de eguro ocial no deben
establecer redes de rea local, cone iones remotas a redes internas o
e ternas, intercambio de información con otros e ui os de cóm uto
utilizando el protocolo de transferencia de archivos (FTP), u otro ti o de
rotocolo ara la transferencia de información em leando la infraestructura
TRANSFORMACIÓN

de red de la nsitución, sin la autori ación or escrito de la Dirección Ejecutiva

Nacional de Innovación y Transformación.
14. Seguridad de la red
a. er considerado como un ata ue a la seguridad inform tica una falta grave
cual uier actividad no autori ada or la Dirección Ejecutiva Nacional de
nnovación ransformación en la cual los usuarios realicen la e loración de
los recursos inform ticos en la red de la Caja de eguro ocial, as como de las
aplicaciones que sobre dicha red operan, con fines de detectar y mostrar una
posible vulnerabilidad.
15. Uso del correo electrónico
a. os usuarios no deben usar cuentas de correo electrónico asignadas a otras
personas, ni recibir mensajes en cuentas de otros. i fuera necesario leer el
correo de alguien m s mientras esta ersona se encuentra fuera o ausente ,
el usuario ausente debe redireccionar el correo a otra cuenta de correo
interno, quedando prohibido hacerlo a una dirección de correo electrónico
e terna de la Caja de eguro ocial, a menos ue cuente con la autori ación de
la Dirección Ejecutiva Nacional de Innovación y Transformación.
b. os usuarios deben tratar los mensajes de correo electrónico arc ivos
adjuntos como información ue es ro iedad de la Caja de eguro ocial. os
mensajes de correo electrónico deben ser manejados como una comunicación
privada y directa entre emisor y receptor(es).
c. os usuarios odr n enviar información reservada o confidencial
e clusivamente a ersonas autori adas en el ejercicio estricto de sus
funciones atribuciones, a trav s del correo institucional ue le ro orcionó la
Dirección Ejecutiva Nacional de Innovación y Transformación.
d. La Caja de Seguro Social, se reserva el derec o de acceder revelar todos los
mensajes enviados or este medio ara cual uier ro ósito revisar las
comunicaciones v a correo electrónico de ersonal ue a com rometido la
seguridad violando ol ticas de eguridad nform tica de la nstitución o
realizado acciones no autorizadas.
TRANSFORMACIÓN

e. La información del correo electrónico institucional es propiedad de la Caja de

Seguro Social, por consecuencias, la única forma en la que puede ser revelada
es mediante una orden judicial
f. El usuario debe de utili ar el correo electrónico de la Caja de eguro ocial,
nica e clusivamente ara los recursos ue tenga asignados las facultades
ue les a an sido atribuidas ara el desem e o de su em leo, cargo o
comisión, uedando ro ibido cualquier otro uso distinto, por lo que el uso de
este se considerará como una falta administrativa.
g. a asignación de una cuenta de correo electrónico externo, deber solicitarse
por escrito a la DENIT o al re resentante de sta en su ona, se alando los
motivos or los ue se desea el servicio. Esta solicitud deber contar con el
visto bueno del titular del rea ue corres onda.
h. Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un
usuario de correo electrónico, el hacerlo se considerará como una falta grave.
i. De estar recibiendo correo spam o correo no deseados deberá informar a la
Dirección Nacional de Informática para que adopte las medidas pertinentes.
16. on ro es con ra c di o a icioso
a. Para prevenir infecciones por virus informáticos, los usuarios de la Caja de
Seguro Social, deben evitar hacer uso de cualquier clase de software que no
haya sido proporcionado y validado por la Dirección Ejecutiva Nacional de
Innovación y Transformación.
b. Los usuarios de la Caja de Seguro Social, deben verificar que la información
los medios de almacenamiento, considerando al menos memorias , discos
fle ibles, CD s, est n libres de cual uier ti o de código malicioso, ara lo cual
deben ejecutar el software antivirus autorizado por la Dirección Ejecutiva
c. El usuario debe verificar mediante el software de antivirus autorizado por la
DENIT ue est n libres de virus todos los arc ivos de com utadora, bases de
datos, documentos u ojas de c lculo, etc. que sean proporcionados por
TRANSFORMACIÓN

personal externo o interno, considerando que tengan que ser

descomprimidos.
d. Ning n usuario de la Caja de eguro ocial debe intencionalmente escribir,
generar, com ilar, co iar, ro agar, ejecutar o tratar de introducir código de
com utadora dise ado ara autore licarse, da ar o en otros casos im edir el
funcionamiento de cualquier memoria de com utadora, arc ivos de sistema o
soft are. am oco debe robarlos en cual uiera de los ambientes o
lataformas de la Caja de eguro ocial. El incum limiento de este est ndar
ser considerado una falta grave.
e. Ningún funcionario de la Caja de eguro ocial o ersonal e terno odr bajar
o descargar soft are de sistemas, boletines electrónicos, sistemas de correo
electrónico, de mensajer a instant nea redes de comunicaciones e ternas,
sin la debida autori ación de la DENIT.
f. Cualquier usuario ue sos ec e de alguna infección or virus de com utadora,
deber dejar de usar inmediatamente el e ui o llamar a ersonal de so orte
y mesa de ayuda de la DENIT ara la detección erradicación del virus.
g. Cada usuario que tenga bajo su resguardo algún dispositivo de cómputo
personal portátil, cuyo uso será de uso externo, ser res onsable de solicitar
de manera periódica a la DENIT las actualizaciones del software de antivirus.
h. Los usuarios no deberán alterar o eliminar las configuraciones de seguridad
para detectar y/o prevenir la propagación de virus que sean implantadas por la
Dirección Ejecutiva Nacional de Innovación y Transformación en programas
tales como:
 Antivirus;
 Correo electrónico;
 Paquetería Office;
 Navegadores u Otros programas.
i. Debido a ue algunos virus son e tremadamente com lejos, ning n usuario de
la Caja de Seguro Social debe intentar erradicarlos de las computadoras, lo
indicado es llamar al personal de Soporte y a la mesa de ayuda de la Dirección
TRANSFORMACIÓN

Ejecutiva Nacional de Innovación y Transformación para que sean ellos

quienes lo solucionen.
17. Permisos de uso de Internet
a. El acceso a internet provisto a los usuarios de la Caja de Seguro Social es
exclusivamente para las actividades relacionadas con las necesidades del
uesto función ue desempeña.
b. a asignación del servicio de internet, deber solicitarse or escrito a la DENIT,
se alando los motivos or los ue se desea el servicio. Esta solicitud deber
contar con el visto bueno del titular del rea correspondiente.
c. Todos los accesos a internet o usos de modem tienen ue ser reali ados a
trav s de los canales de acceso rovistos or la Caja de eguro ocial.
d. Los usuarios con acceso a Internet de la Caja de Seguro Social tienen que
reportar todos los incidentes de seguridad inform tica, inmediatamente
des u s de su identificación.
e. El acceso uso de módem de la Caja de eguro ocial tiene ue ser
previamente autorizado por la DENIT.
f. Los usuarios con servicio de navegación en internet al utilizar el servicio
aceptan que:
• er n sujetos de monitoreo de las actividades ue reali an en
internet.
•Saben que existe la prohibición al acceso de páginas no autorizadas.
•Saben que existe la prohibición de transmisión de archivos
reservados o confidenciales no autorizados.
•Saben que existe la prohibición de descarga de software sin la
autorización de la Dirección.
•La utilización de internet es para el desempeño de su función
puesto en la Caja del Seguro Social y no ara ro ósitos ersonales.
g. Los Jefes de la Unidades Ejecutoras deben solicitar a la DENIT la eliminación de
accesos (o usuarios,Claves) que tengan los funcionarios a su cargo que hayan
TRANSFORMACIÓN

sido trasladados, removidos o cualquier otro tipo de cambio que implique

dejar sin efecto los privilegios de acceso a Internet o plataformas.
h. Los esquemas de permisos de acceso a internet y servicios de mensajería
instantánea son:
Categorías de Descripción Perfil de usuarios

Navegación
Internet_Full Full Internet excepto Director General
Pornografía Subdirector General
Directores Ejecutivos
Directores y Subdirectores
Nacionales
Consultores de Proyectos
(debidamente autorizados)
Funcionarios que según
sus funciones lo ameriten
Personal de DENIT (Dir
de Innovación)
Internet_Medio Full Internet excepto Miembros de la Junta

Pornografía, Contenido de Directiva
Violencia, Drogas, Juegos Directores Institucionales
de Azar, páginas Administradores de
maliciosas, actividades Unidades de Salud
criminales, proxy Médicos
Coordinadores
Provinciales
Personal de
DENIT(soporte técnico,
comunicaciones, centro de
datos y seguridad
informática)
Relaciones Públicas
Dirección Ejecutiva
Nacional de Legal
Internet_Standard Full Internet excepto Enfermeras

Pornografía, Contenido de Auxiliares de Enfermería
TRANSFORMACIÓN

Categorías de Descripción Perfil de usuarios

Navegación
Violencia, Drogas, Juegos Asistentes Administrativos
de Azar, Streaming, Redes (secretarias)
Sociales, Contenido Personal de DENIT (otras
Ofensivos, páginas direcciones y
maliciosas, actividades departamentos)
criminales, proxy, Auditores
streaming, redes sociales,
descargas.
Compras Acceso a páginas Colaboradores de la DN de

relacionadas con negocios, Compras a nivel nacional
viajes, gubernamentales,
computación e informática,
finanzas e inversiones,
noticias, salud y medicina,
mercadeo, bienes raíces,
compras, información
técnica, correo web,
motores de búsqueda.
Youtube Acceso a Streaming y Capacitación SIS

motores de búsqueda. (restricción por equipo)
Gobierno Solo páginas Inspectores de la DN de

gubernamentales Ingresos
Operadores del Centro de
Contacto
Dirección Ejecutiva
Nacional De Legal
Gob_Redes Solo Páginas Supervisores del Centro de
Gubernamentales más Contacto
Redes Sociales
D. N N
1. Cada usuario es responsable del mecanismo de control de acceso ue le sea
ro orcionado esto es, de su identificador de usuario user D contrase a
ass ord necesarios ara acceder a la información a la infraestructura
TRANSFORMACIÓN

tecnológica de la Caja de Seguro Social, por lo cual deber mantenerlo de forma

confidencial.
2. El Director General, es el nico ue uede otorgar la autori ación ara ue se tenga
acceso a la información ue se encuentra en la infraestructura tecnológica de la Caja
de eguro ocial, otorg ndose los ermisos m nimos necesarios ara el desem e o
de sus funciones, con apego al principio “Necesidad de saber”.
3. Controles de acceso lógico.
a. El acceso a la infraestructura tecnológica de la Caja de Seguro Social para
personal externo a la institución debe ser solicitado por el titular del área que
lo requiera, para luego ser autorizado y habilitado por la Dirección Ejecutiva
b. Est ro ibido ue los usuarios utilicen la infraestructura tecnológica de la
Caja de eguro ocial ara obtener acceso no autori ado a la información u
otros sistemas de información ue contenga la nstitución.
c. Todos los usuarios de servicios de información son res onsables or su
identificador de usuario contrase a ue recibe para el uso y acceso de los
recursos.
d. Todos los usuarios deber n autenticarse or los mecanismos de control de
acceso provistos por la DENIT antes de oder usar la infraestructura
tecnológica de la Caja de eguro ocial.
e. Los usuarios no deben ro orcionar información a ersonal e terno, de los
mecanismos de control de acceso a las instalaciones e infraestructura
tecnológica de la Caja de eguro ocial, solamente ue se tenga autori ación
de la DENIT.
f. El usuario que accede a la infraestructura tecnológica de la Caja de eguro
ocial debe contar con un identificador de usuario nico ersonali ado, or
lo cual no está permitido el uso de un mismo identificador del usuario por
varios usuarios.
TRANSFORMACIÓN

g. Los usuarios tienen prohibido compartir su identificador de usuario y

contraseña, ya que todo lo que ocurra con ese identificador y contraseña ser
responsabilidad exclusiva del usuario al que pertenezcan, salvo prueba de que
le fueron usurpados esos controles.
h. Los usuarios tienen prohibido usar el identificador de usuario y contraseña de
otros, aunque ellos les insistan en usarlo.
4. Administración de privilegios
a. Cual uier cambio en los roles res onsabilidades de los usuarios ue
modifi ue sus rivilegios de acceso a la infraestructura tecnológica de la Caja
de Seguro Social, deberán ser requeridos por escrito o v a correo electrónico a
la DENIT.
5. Equipo desatendido
a. Los equipos de cómputo deberán ser configurados con bloqueos automáticos,
con contraseñas como medida de seguridad cuando el usuario se ausente
temporalmente de su puesto.
6. Administración y uso de contraseñas
a. a asignación de la contrase a ara acceso a la red la contrase a ara acceso

a sistemas, debe ser reali ada de forma individual, or lo ue ueda ro ibido
el uso de contrase as com artidas.
b. Cuando un usuario olvide, blo uee o e trav e su contrase a, deber re ortarlo
or escrito a la esa de uda de la Dirección Ejecutiva Nacional de
nnovación ransformación, indicando si es de acceso a la red o a módulos
de sistemas desarrollados or la nsitución, ara ue se le ro orcione una
nueva contrase a.
c. a obtención o cambio de una contrase a debe acerse de forma segura el
usuario deber acreditarse ante la Dirección Ejecutiva Nacional de nnovación
y Transformación como empleado de la Caja de Seguro Social.
d. Est ro ibido ue los identificadores de usuarios contrase as se encuentren
de forma visible en cual uier medio im reso o escrito en el rea de trabajo del
TRANSFORMACIÓN

usuario, de manera de que se permita a personas no autorizadas su

conocimiento.
e. odos los usuarios deber n observar los siguientes lineamientos ara la
construcción de sus contrase as
 No deben contener n meros consecutivos
 Deben estar com uestos de al menos seis 6 caracteres m imo
die 10 .Estos caracteres deben ser alfanum ricos, o sea, n meros
letras;
 Deben ser diferentes a las contrase as ue se a an usado
previamente.
f. a contrase a odr ser cambiada or re uerimiento del due o de la cuenta.
g. odo usuario ue tenga la sos ec a de ue su contrase a es conocida or otra
ersona, tendr la obligación de cambiarla inmediatamente.
h. os usuarios no deben almacenar las contrase as en ning n rograma o
sistema que proporcione esta facilidad.
i. os cambios o desblo ueo de contrase as solicitados or el usuario a la
Dirección serán solicitados mediante nota por el jefe inmediato del usuario
que lo requiere.
7. Control de accesos remotos
a. Est ro ibido el acceso a redes e ternas or v a de cual uier dis ositivo,
cual uier e ce ción deber ser documentada con justificación t cnico, un
contrato de confidencialidad de ambas partes en tal caso de ser una empresa
externa a la Caja del Seguro Social y contar con el visto bueno de la DENIT.
b. a administración remota de e ui os conectados a internet no est ermitida,
salvo que se cuente con la autorización y con un mecanismo de control de
acceso seguro autorizado por la DENIT.
E. N N
N
TRANSFORMACIÓN

8. De acuerdo de los rocesos administrativos funciones dentro de la Dirección

Ejecutiva Nacional de nnovación ransformación “Dirección Ejecutiva Nacional de
nnovación ransformación, es la encargada de fijar las bases de la ol tica
inform tica ue ermitan conocer lanear el desarrollo tecnológico al interior de la
Caja de eguro ocial”
9. Derechos de Propiedad Intelectual
a. Est ro ibido or las le es de derec os de autor or la Caja de eguro
Social, realizar copia no autorizadas de software, ya sea adquirido o
desarrollado por la Insitiución.
b. Los sistemas desarrollados por personal, interno o externo, que sea parte de la
DENIT, o sea coordinado or sta, son ro iedad intelectual de la Caja de
Seguro Social.
10. Revisiones del cumplimiento
a. La DENIT reali ar acciones de verificación del cumplimiento del Manual de
Pol ticas Est ndares de eguridad Informática para usuarios.
b. La DENIT odr im lementar mecanismos de control ue ermitan identificar
tendencias en el uso de recursos inform ticos del ersonal interno o e terno,
para revisar la actividad de procesos ue ejecuta la estructura de los arc ivos
ue se rocesan. El mal uso de los recursos inform ticos ue sea detectado
ser re ortado conforme a lo indicado en la Pol tica de eguridad del Personal.
11. Violaciones de seguridad informática
a. Est ro ibido el uso de erramientas de ard are o soft are ara violar los
controles de seguridad inform tica.
b. Est ro ibido reali ar ruebas de controles de los diferentes elementos de
Tecnología de la Información.
c. Ninguna ersona uede robar o intentar com rometer los controles internos
a menos de contar con la a robación de la Dirección Ejecutiva Nacional de
nnovación ransformación, con e ce ción de los rganos iscali adores.
TRANSFORMACIÓN

d. Ning n usuario de la Caja de eguro ocial debe robar o intentar robar fallas
de la eguridad nform tica identificadas o conocidas, a menos ue estas
ruebas sean controladas a robadas or la Dirección.
e. No se debe intencionalmente escribir, generar, compilar, co iar, coleccionar,
ro agar, ejecutar, introducir cual uier ti o de código rograma conocidos
como virus, mal are, s are, o similares dise ado ara autore licarse,
da ar, afectar el desem e o, acceso a las com utadoras, redes e información.
VIII. HISTORIA DE ANTECEDENTES Y ACTUALIZACIONES
Revisión Fecha Descripción de la Revisión
Original 1.0 Abril 2015 Se aprueba la primera versión del

documento.
Este documento reemplaza las
Políticas de Informática del año 2003 y
el Procedimiento PR-DENIT-294

Procedimiento 294

Cargado por

Copyright:

Formatos disponibles

Procedimiento 294

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Procedimiento 294

Cargado por

Copyright:

Formatos disponibles

CAJA DE SEGURO SOCIAL

DIRECCIÓN EJECUTIVA NACIONAL DE INNOVACIÓN Y TRANSFORMACIÓN

POLITICAS DE SEGURIDAD INFORMATICAS

Panamá, mayo de 2015

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

VII. Descripción de Actividades 9

VIII. Historia de antecedentes y actualizaciones 26

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

 Decreto Ejecutivo 246 de 15 de diciembre de 2004 “Por el cual se dicta el Código

 Reglamento Interno de Personal. Capítulo II Deberes y Prohibiciones (Artículo 20).

 Acceso Físico: Es la actividad de ingresar a un área.

 Ataque: Actividades encaminadas a quebrantar las protecciones establecidas de un

 Base de datos: Colección almacenada de datos relacionados, requeridos por las

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

 Confidencialidad: Se refiere a la obligación de los servidores que laboran en la caja no

 Copyright: Derecho que tiene un autor, incluido el autor de un programa informático

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

 Internet: Es un sistema a nivel mundial de computadoras conectadas a una misma red,

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

 Virus: Programas o códigos maliciosos diseñados para esparcirse y copiarse de una

VII. Descripción de Actividades

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

a. Cuando en la Dirección Ejecutiva Nacional de Innovación y

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

responsable de la Dirección Nacional en el que trabaja el dueño del equipo,

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

h. El usuario debe asegurarse que los cables de conexión no sean pisados o

a. El usuario ue tenga bajo su resguardo alg n e ui o de cóm uto ser

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

c. El usuario deber dar aviso de inmediato a la Dirección de la desaparición,

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

transmitida, ya sea dentro de la red interna de la Institución o hacia redes

a. oda solicitud ara utili ar un medio de almacenamiento de información

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

a. os usuarios ue re uieran la instalación de soft are ue no sea ro iedad de

13. d inis raci n de a con i raci n

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

de red de la nsitución, sin la autori ación or escrito de la Dirección Ejecutiva

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

e. La información del correo electrónico institucional es propiedad de la Caja de

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

personal externo o interno, considerando que tengan que ser

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

Ejecutiva Nacional de Innovación y Transformación para que sean ellos

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

sido trasladados, removidos o cualquier otro tipo de cambio que implique

Categorías de Descripción Perfil de usuarios

Internet_Medio Full Internet excepto Miembros de la Junta

Internet_Standard Full Internet excepto Enfermeras

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

Categorías de Descripción Perfil de usuarios

Compras Acceso a páginas Colaboradores de la DN de

Youtube Acceso a Streaming y Capacitación SIS

Gobierno Solo páginas Inspectores de la DN de

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

tecnológica de la Caja de Seguro Social, por lo cual deber mantenerlo de forma

POLITICAS DE SEGURIDAD INFORMATICAS Fecha 28/ Mayo / 2015

g. Los usuarios tienen prohibido compartir su identificador de usuario y

a. a asignación de la contrase a ara acceso a la red la contrase a ara acceso