Informes periódicos relacionados sobre la sensibilización y concientización de los funcionarios y servidores públicos de la Entidad en cuanto al buen uso de las tecnologías de la información y comunicación así como de la seguridad de la información.

COVEICYDET

ÁREA DE SISTEMAS

Boletín Informativo: Por una Administración Digital Segura

La Seguridad de la Información: Nuestra Responsabilidad Compartida

Estimado(a) funcionario(a) y servidor(a) público(a) del Coveicydet:

La tecnología de la información y comunicación (TIC) es el motor que impulsa la eficiencia y la transparencia en nuestra Entidad. Sin embargo, con cada avance digital, crecen también los riesgos de ciberataques, fugas de información y fallas operativas.

Este boletín tiene como objetivo sensibilizar y concientizar a todo el personal sobre el buen uso de las TIC y la seguridad de la información. Recuerda: el eslabón más fuerte, pero a la vez más vulnerable, de nuestra seguridad somos nosotros, los usuarios.


I. El Buen Uso de las TIC: Principios Fundamentales

Utilizar adecuadamente los recursos tecnológicos no es solo una cuestión de productividad, sino un pilar de la seguridad y el servicio público.

A. Uso del Correo Electrónico Institucional

El correo electrónico es la principal puerta de entrada de ataques. El buen uso implica:

  • Propósito Oficial: Utiliza el correo institucional exclusivamente para tareas y comunicaciones relacionadas con la Entidad. Evita el uso personal, suscripciones o registros a servicios externos.
  • Cuidado con Archivos Adjuntos: Nunca abras archivos adjuntos de remitentes desconocidos, especialmente si son archivos ejecutables (.exe), .zip o documentos que solicitan “habilitar contenido” (macros). Ante la duda, pregunta al Área de Sistemas.
  • Transparencia y Legalidad: Recuerda que el correo institucional es un registro oficial y puede ser sujeto a revisión en cumplimiento de normativas de transparencia y auditoría.

B. Uso de Equipos y Dispositivos Móviles

Los equipos provistos por la Entidad son activos críticos que requieren protección:

  • Instalación de Software: Está estrictamente prohibido instalar software sin la autorización previa del Área de Sistemas. Esto incluye juegos, aplicaciones personales y software freeware.
  • Dispositivos de Almacenamiento USB: Utiliza solo memorias USB autorizadas y escaneadas. Los dispositivos externos pueden ser una fuente de código malicioso (malware) o de fuga de información.
  • Protección Física: Nunca dejes tu equipo (laptop o tableta) desatendido en lugares públicos o en tu escritorio sin un sistema de bloqueo. Aplica la política de “escritorio limpio” para la documentación sensible.

II. Seguridad de la Información: Los Tres Pilares (CID)

Nuestra gestión se basa en proteger la información pública y privada de los ciudadanos. Esta protección se resume en los tres pilares de la Seguridad de la Información:

A. Confidencialidad

Asegurar que la información es accesible solo a aquellos autorizados:

  • Clasificación de la Información: Identifica si manejas información Clasificada (ej. secretos comerciales o de seguridad nacional), Reservada (ej. datos personales) o Pública. Trata cada categoría según su nivel de sensibilidad.
  • No Compartir Contraseñas: Las contraseñas son personales e intransferibles. Son tu identidad digital.
  • Cifrado (Criptografía): Utiliza los métodos de cifrado provistos por la Entidad cuando envíes o almacenes datos personales o sensibles.

B. Integridad

Garantizar que la información y sus métodos de procesamiento son exactos y completos:

  • Ingreso de Datos: Verifica siempre la fuente y exactitud de los datos que ingresas a los sistemas. Los errores humanos son una causa común de fallas.
  • Control de Cambios: Cualquier modificación a los sistemas, bases de datos o configuraciones debe seguir un procedimiento de control de cambios formal para evitar alteraciones no autorizadas o accidentales.

C. Disponibilidad

Asegurar que los usuarios autorizados tienen acceso a la información y a los activos asociados cuando lo requieran:

  • Reporte de Fallas: Reporta inmediatamente cualquier anomalía, caída de sistema o lentitud al área de Soporte Técnico. No intentes solucionarlo por tu cuenta.
  • Backups (Copias de Respaldo): Confirma que los procedimientos de respaldo de datos están funcionando correctamente. La disponibilidad de la información en caso de desastre depende de tener copias de seguridad recientes y probadas.

III. Amenazas Comunes y Cómo Prevenirlas

Una parte crucial de la concientización es reconocer las amenazas que enfrentamos diariamente:

A. Phishing y Ataques de Ingeniería Social

El phishing es un intento fraudulento de obtener información sensible (contraseñas, datos bancarios) haciéndose pasar por una entidad confiable (banco, proveedor, ¡o incluso el Área de Sistemas!).

  • Siempre Verifica: Sospecha de correos que soliciten hacer clic en enlaces o proporcionar contraseñas, especialmente si contienen errores gramaticales, tono urgente o provienen de dominios ligeramente diferentes.
  • No Confíes Ciegamente: Si un colega te pide información sensible por correo, llámalo para confirmar verbalmente que la solicitud es legítima.

B. Contraseñas Débiles y Su Manejo

Una contraseña débil es una invitación abierta al atacante.

  • Crea Frases de Contraseña: Utiliza contraseñas de mínimo 12 caracteres combinando letras mayúsculas, minúsculas, números y símbolos. Usa frases fáciles de recordar pero difíciles de adivinar (ej. ElMuroDeBerlinCayoEn1989!).
  • No Reutilices: Utiliza una contraseña única para cada sistema crítico.
  • Uso de Autenticación de Múltiple Factor (MFA): Siempre que sea posible, activa el MFA. Añade una capa de seguridad esencial al requerir un segundo método de verificación (ej. un código en tu teléfono).

C. El Factor Humano: La Última Línea de Defensa

La mayoría de los incidentes de seguridad son causados por descuidos o falta de conocimiento. Tu compromiso se traduce en acciones diarias:

  • Bloquea la Pantalla (Win + L): Aléjate de tu escritorio por un momento, bloquéalo.
  • Reporta Incidentes: Si haces clic en un enlace sospechoso o detectas un comportamiento extraño en tu equipo, repórtalo inmediatamente al personal de soporte. No hay juicio, solo mitigación.

IV. ¡Actúa Ahora! Capacítate y Cumple la Política

El Área de Sistemas y la Dirección están comprometidas con proporcionarte las herramientas necesarias para trabajar de forma segura.

  1. Revisa y Cumple: Familiarízate con la Política de Seguridad de la Información de la Entidad. Es tu guía oficial.
  2. Participa: Asiste a las capacitaciones y simulacros de phishing programados.
  3. Pregunta: Si tienes alguna duda sobre el uso de un sistema, la seguridad de una aplicación o un correo sospechoso, comunícate con la mesa de ayuda.

Nuestra información es un activo público valioso. Protegerla es proteger el servicio que damos a los ciudadanos.

¡Gracias por tu colaboración activa en la construcción de una Entidad digitalmente segura!

Atentamente,

Área de Sistemas

Coveicydet