Normas para la Administración y Uso de Internet y Correo Electrónico
COVEICYDET
ÁREA DE SISTEMAS
I. Disposiciones Generales y Alcance
1. Propósito
Establecer las reglas y responsabilidades para el uso correcto, ético, productivo y seguro de los recursos de Internet, la red institucional y el correo electrónico, entendiendo que son herramientas provistas exclusivamente para el cumplimiento de las funciones públicas y tareas laborales.
2. Monitoreo y Propiedad
- Monitoreo Explícito: El personal debe ser consciente de que toda actividad realizada en la red institucional, incluyendo el tráfico de Internet y el contenido del correo electrónico, es propiedad de la Entidad y está sujeta a monitoreo, auditoría y registro por parte del Área de Sistemas con fines de seguridad, rendimiento y cumplimiento normativo.
- Derecho a la Revisión: La Entidad se reserva el derecho de acceder, revisar, suspender o eliminar cualquier comunicación o archivo almacenado en sus sistemas sin notificación previa si existe sospecha de incumplimiento de la ley o de estas normas.
3. Definiciones Clave
- Recursos Institucionales: Cualquier hardware, software, licencias, cuentas de usuario, ancho de banda o conexión proporcionada por la Entidad.
- Información Sensible: Datos personales, información clasificada, secretos de gobierno, o cualquier información que pueda causar daño a la Entidad o a terceros si es divulgada.
II. Normas Detalladas para el Uso del Correo Electrónico
A. Seguridad y Contenido
- Trato Profesional: Todo correo debe mantener un tono profesional y ser coherente con la imagen institucional. Queda prohibido enviar contenido difamatorio, acosador, discriminatorio o políticamente partidista.
- Cuidado con el Phishing:
- Nunca se debe proporcionar contraseñas, claves, o datos sensibles de la Entidad a través de un correo electrónico, incluso si parece provenir del Área de Sistemas o de la Dirección.
- No hacer clic en enlaces o descargar archivos adjuntos de correos sospechosos o de remitentes desconocidos.
- Protocolo de Reporte: Es obligatorio reportar inmediatamente al Área de Sistemas cualquier correo que se sospeche sea un intento de phishing o contenga malware.
- Archivos Adjuntos:
- Evitar enviar archivos adjuntos de gran tamaño. Se deben utilizar los servicios de transferencia de archivos oficiales de la Entidad.
- Nunca abrir archivos con extensiones ejecutables (.exe, .bat), scripts (.js, .vbs) o archivos comprimidos (.zip, .rar) de origen no verificado.
- Reenvío Prohibido: Queda estrictamente prohibido configurar el reenvío automático del correo institucional a cuentas de correo personales (ej. Gmail, Hotmail).
B. Gestión de la Cuenta y Almacenamiento
- Firma Estandarizada: Es obligatorio utilizar una firma de correo electrónico estandarizada que incluya nombre completo, cargo, dependencia y teléfonos oficiales.
- Manejo de la Bandeja: Los usuarios deben gestionar activamente su buzón para evitar superar el límite de almacenamiento. Los archivos históricos o de gran tamaño deben ser movidos a los repositorios de documentos oficiales o archivados según la política de retención de la Entidad.
- Protección de Datos: Para el envío de información sensible o datos personales, es obligatorio utilizar los mecanismos de cifrado de correo electrónico provistos por la Entidad.
III. Normas Detalladas para el Uso de Internet y Redes Sociales
A. Uso Aceptable y Productividad
- Propósito Laboral: El acceso a Internet se otorga para la investigación, comunicación y obtención de recursos necesarios para las funciones oficiales.
- Uso Personal Limitado: El uso personal y discrecional está sujeto a los tiempos de descanso y no debe interferir con las responsabilidades laborales. Queda prohibido el uso que comprometa el rendimiento de la red o la seguridad.
- Transmisión de Datos: Queda estrictamente prohibido utilizar la red institucional para:
- Actividades de Peer-to-Peer (P2P), torrenting o cualquier protocolo que consuma un ancho de banda excesivo y no esté relacionado con tareas oficiales.
- Transmisión, almacenamiento o descarga de material protegido por derechos de autor o material ilegal.
B. Contenido Prohibido
Queda absolutamente prohibido el acceso, visualización o descarga de contenido que sea:
- Pornográfico, sexualmente explícito u obsceno.
- Que promueva la violencia, el odio, la discriminación o actividades ilegales.
- Juegos de azar o apuestas en línea.
- Sitios web conocidos por distribuir malware o que comprometan la seguridad.
C. Seguridad de la Navegación
- Descarga de Software: Nunca se debe descargar o instalar software de Internet sin la autorización explícita y la instalación por parte del personal del Área de Sistemas. Esto incluye extensiones de navegador y herramientas de terceros.
- Bypass de Seguridad: Queda prohibido el uso de proxies, redes virtuales privadas (VPN) personales o cualquier otra herramienta destinada a evadir los filtros de contenido o las políticas de seguridad perimetral implementadas por la Entidad.
- Redes Externas: Al utilizar equipos institucionales fuera de la red de la Entidad (ej. en hoteles o cafés), es obligatorio utilizar la VPN institucional provista para asegurar la conexión y proteger la información transferida.
D. Redes Sociales
- Uso Oficial: Las cuentas de redes sociales oficiales de la Entidad deben ser administradas únicamente por el personal designado y siguiendo los protocolos de comunicación y manejo de identidad digital establecidos.
- Descargo de Responsabilidad Personal: Si se utiliza una red social personal en horario laboral o en un equipo institucional, el funcionario debe asegurarse de que cualquier opinión o contenido personal no pueda ser confundido con una posición oficial de la Entidad.
IV. Normas de Administración y Seguridad Técnica (Área de Sistemas)
A. Administración de la Seguridad Perimetral
- Firewall y Filtrado: Es obligatorio mantener y actualizar la configuración del firewall para aplicar políticas de filtrado de contenido basadas en categorías (según la Sección III.B) y denegar el tráfico no esencial.
- IDS/IPS: La infraestructura debe contar con Sistemas de Detección/Prevención de Intrusiones (IDS/IPS) para monitorear el tráfico en tiempo real y bloquear amenazas conocidas.
- Gestión de Ancho de Banda (QoS): Se debe implementar políticas de Calidad de Servicio (QoS) para priorizar el tráfico crítico de negocio (ej. sistemas centrales, videoconferencias oficiales) sobre el tráfico discrecional.
B. Administración del Correo Electrónico
- Protección Anti-malware y Anti-spam: Es obligatorio el uso de soluciones robustas en el servidor de correo para filtrar, aislar y eliminar contenido malicioso, spam y suplantación de identidad (spoofing).
- Registro (Logging) Centralizado: Se debe mantener un registro (log) de toda la actividad del correo electrónico (envío, recepción, intentos de acceso) con fines de auditoría, retención de datos y respuesta a incidentes.
- Gestión de Cuentas: Se deben automatizar los procedimientos para la creación, modificación y desactivación inmediata de cuentas de correo de personal desvinculado.
C. Gestión de Incidentes
- Detección de Anomalías: El Área de Sistemas debe monitorear constantemente los registros de tráfico de Internet y correo electrónico para detectar patrones anómalos (ej. tráfico saliente inusual, grandes descargas, múltiples fallas de autenticación).
- Respuesta Rápida: Establecer un protocolo de respuesta inmediata para aislar, analizar y erradicar cualquier amenaza de seguridad detectada a través del uso de Internet o correo electrónico (ej. infección por ransomware iniciada por un correo).
V. Consecuencias por Incumplimiento
El incumplimiento de cualquiera de estas normas, dependiendo de la gravedad y el impacto en la seguridad o reputación de la Entidad, resultará en acciones disciplinarias que pueden incluir:
- Advertencia verbal o escrita.
- Suspensión temporal del acceso a Internet o correo electrónico.
- Acciones administrativas o disciplinarias conforme al régimen laboral aplicable.
- Terminación de la relación laboral en casos de faltas graves o intencionales (ej. fraude, descarga de material ilegal, violación deliberada de la confidencialidad).
Atentamente,
Área de Sistemas
Coveicydet