Normas para la Administración y Uso de Internet y Correo Electrónico

COVEICYDET

ÁREA DE SISTEMAS

I. Disposiciones Generales y Alcance

1. Propósito

Establecer las reglas y responsabilidades para el uso correcto, ético, productivo y seguro de los recursos de Internet, la red institucional y el correo electrónico, entendiendo que son herramientas provistas exclusivamente para el cumplimiento de las funciones públicas y tareas laborales.

2. Monitoreo y Propiedad

  • Monitoreo Explícito: El personal debe ser consciente de que toda actividad realizada en la red institucional, incluyendo el tráfico de Internet y el contenido del correo electrónico, es propiedad de la Entidad y está sujeta a monitoreo, auditoría y registro por parte del Área de Sistemas con fines de seguridad, rendimiento y cumplimiento normativo.
  • Derecho a la Revisión: La Entidad se reserva el derecho de acceder, revisar, suspender o eliminar cualquier comunicación o archivo almacenado en sus sistemas sin notificación previa si existe sospecha de incumplimiento de la ley o de estas normas.

3. Definiciones Clave

  • Recursos Institucionales: Cualquier hardware, software, licencias, cuentas de usuario, ancho de banda o conexión proporcionada por la Entidad.
  • Información Sensible: Datos personales, información clasificada, secretos de gobierno, o cualquier información que pueda causar daño a la Entidad o a terceros si es divulgada.

II. Normas Detalladas para el Uso del Correo Electrónico

A. Seguridad y Contenido

  1. Trato Profesional: Todo correo debe mantener un tono profesional y ser coherente con la imagen institucional. Queda prohibido enviar contenido difamatorio, acosador, discriminatorio o políticamente partidista.
  2. Cuidado con el Phishing:
    • Nunca se debe proporcionar contraseñas, claves, o datos sensibles de la Entidad a través de un correo electrónico, incluso si parece provenir del Área de Sistemas o de la Dirección.
    • No hacer clic en enlaces o descargar archivos adjuntos de correos sospechosos o de remitentes desconocidos.
    • Protocolo de Reporte: Es obligatorio reportar inmediatamente al Área de Sistemas cualquier correo que se sospeche sea un intento de phishing o contenga malware.
  3. Archivos Adjuntos:
    • Evitar enviar archivos adjuntos de gran tamaño. Se deben utilizar los servicios de transferencia de archivos oficiales de la Entidad.
    • Nunca abrir archivos con extensiones ejecutables (.exe, .bat), scripts (.js, .vbs) o archivos comprimidos (.zip, .rar) de origen no verificado.
  4. Reenvío Prohibido: Queda estrictamente prohibido configurar el reenvío automático del correo institucional a cuentas de correo personales (ej. Gmail, Hotmail).

B. Gestión de la Cuenta y Almacenamiento

  1. Firma Estandarizada: Es obligatorio utilizar una firma de correo electrónico estandarizada que incluya nombre completo, cargo, dependencia y teléfonos oficiales.
  2. Manejo de la Bandeja: Los usuarios deben gestionar activamente su buzón para evitar superar el límite de almacenamiento. Los archivos históricos o de gran tamaño deben ser movidos a los repositorios de documentos oficiales o archivados según la política de retención de la Entidad.
  3. Protección de Datos: Para el envío de información sensible o datos personales, es obligatorio utilizar los mecanismos de cifrado de correo electrónico provistos por la Entidad.

III. Normas Detalladas para el Uso de Internet y Redes Sociales

A. Uso Aceptable y Productividad

  1. Propósito Laboral: El acceso a Internet se otorga para la investigación, comunicación y obtención de recursos necesarios para las funciones oficiales.
  2. Uso Personal Limitado: El uso personal y discrecional está sujeto a los tiempos de descanso y no debe interferir con las responsabilidades laborales. Queda prohibido el uso que comprometa el rendimiento de la red o la seguridad.
  3. Transmisión de Datos: Queda estrictamente prohibido utilizar la red institucional para:
    • Actividades de Peer-to-Peer (P2P), torrenting o cualquier protocolo que consuma un ancho de banda excesivo y no esté relacionado con tareas oficiales.
    • Transmisión, almacenamiento o descarga de material protegido por derechos de autor o material ilegal.

B. Contenido Prohibido

Queda absolutamente prohibido el acceso, visualización o descarga de contenido que sea:

  • Pornográfico, sexualmente explícito u obsceno.
  • Que promueva la violencia, el odio, la discriminación o actividades ilegales.
  • Juegos de azar o apuestas en línea.
  • Sitios web conocidos por distribuir malware o que comprometan la seguridad.

C. Seguridad de la Navegación

  1. Descarga de Software: Nunca se debe descargar o instalar software de Internet sin la autorización explícita y la instalación por parte del personal del Área de Sistemas. Esto incluye extensiones de navegador y herramientas de terceros.
  2. Bypass de Seguridad: Queda prohibido el uso de proxies, redes virtuales privadas (VPN) personales o cualquier otra herramienta destinada a evadir los filtros de contenido o las políticas de seguridad perimetral implementadas por la Entidad.
  3. Redes Externas: Al utilizar equipos institucionales fuera de la red de la Entidad (ej. en hoteles o cafés), es obligatorio utilizar la VPN institucional provista para asegurar la conexión y proteger la información transferida.

D. Redes Sociales

  1. Uso Oficial: Las cuentas de redes sociales oficiales de la Entidad deben ser administradas únicamente por el personal designado y siguiendo los protocolos de comunicación y manejo de identidad digital establecidos.
  2. Descargo de Responsabilidad Personal: Si se utiliza una red social personal en horario laboral o en un equipo institucional, el funcionario debe asegurarse de que cualquier opinión o contenido personal no pueda ser confundido con una posición oficial de la Entidad.

IV. Normas de Administración y Seguridad Técnica (Área de Sistemas)

A. Administración de la Seguridad Perimetral

  1. Firewall y Filtrado: Es obligatorio mantener y actualizar la configuración del firewall para aplicar políticas de filtrado de contenido basadas en categorías (según la Sección III.B) y denegar el tráfico no esencial.
  2. IDS/IPS: La infraestructura debe contar con Sistemas de Detección/Prevención de Intrusiones (IDS/IPS) para monitorear el tráfico en tiempo real y bloquear amenazas conocidas.
  3. Gestión de Ancho de Banda (QoS): Se debe implementar políticas de Calidad de Servicio (QoS) para priorizar el tráfico crítico de negocio (ej. sistemas centrales, videoconferencias oficiales) sobre el tráfico discrecional.

B. Administración del Correo Electrónico

  1. Protección Anti-malware y Anti-spam: Es obligatorio el uso de soluciones robustas en el servidor de correo para filtrar, aislar y eliminar contenido malicioso, spam y suplantación de identidad (spoofing).
  2. Registro (Logging) Centralizado: Se debe mantener un registro (log) de toda la actividad del correo electrónico (envío, recepción, intentos de acceso) con fines de auditoría, retención de datos y respuesta a incidentes.
  3. Gestión de Cuentas: Se deben automatizar los procedimientos para la creación, modificación y desactivación inmediata de cuentas de correo de personal desvinculado.

C. Gestión de Incidentes

  1. Detección de Anomalías: El Área de Sistemas debe monitorear constantemente los registros de tráfico de Internet y correo electrónico para detectar patrones anómalos (ej. tráfico saliente inusual, grandes descargas, múltiples fallas de autenticación).
  2. Respuesta Rápida: Establecer un protocolo de respuesta inmediata para aislar, analizar y erradicar cualquier amenaza de seguridad detectada a través del uso de Internet o correo electrónico (ej. infección por ransomware iniciada por un correo).

V. Consecuencias por Incumplimiento

El incumplimiento de cualquiera de estas normas, dependiendo de la gravedad y el impacto en la seguridad o reputación de la Entidad, resultará en acciones disciplinarias que pueden incluir:

  1. Advertencia verbal o escrita.
  2. Suspensión temporal del acceso a Internet o correo electrónico.
  3. Acciones administrativas o disciplinarias conforme al régimen laboral aplicable.
  4. Terminación de la relación laboral en casos de faltas graves o intencionales (ej. fraude, descarga de material ilegal, violación deliberada de la confidencialidad).

Atentamente,

Área de Sistemas

Coveicydet