RESOLUCIÓN 65 DE 2009 

(Agosto 24)

“Por la cual se adoptan las políticas de seguridad para el manejo de la información y se imparten instrucciones para el uso y administración del recurso tecnológico”.

El Director Ejecutivo de la Comisión de Regulación de Energía y Gas, CREG,

en uso de sus facultades legales y reglamentarias, en especial de las previstas en el Decreto 1894 de 1999, y

CONSIDERANDO:

Que a la entidad le corresponde ejercer la dirección y control de gestión sobre los recursos asignados a sus funcionarios y usuarios de red en general.

Que para el efectivo cumplimiento de la función administrativa encomendada a la entidad, se hace necesario adoptar las políticas de seguridad para el manejo de la información, así como impartir las instrucciones necesarias para el correcto uso y administración de la infraestructura tecnológica asignada a los funcionarios y usuarios de red en general.

RESUELVE:

ART. 1º—Adopción. Adoptar las políticas de seguridad para el manejo de la información, así como impartir las instrucciones para el uso y administración del recurso tecnológico de la CREG.

CAPÍTULO I

Generalidades

ART. 2º—Propósito. Garantizar la seguridad de la información que recibe, produce, procesa y reposa en la plataforma de tecnologías de la información y comunicación de la Comisión de Regulación de Energía y Gas, CREG, y asegurar que los funcionarios, contratitas y otros usuarios usen correctamente los recursos tecnológicos que le han sido asignados o a los cuales tienen acceso en el ejercicio de sus funciones.

ART. 3º—Campo de aplicación. La presente resolución es aplicable a todos los usuarios internos de la CREG, sin importar su ubicación y labores desarrolladas dentro de la misma: funcionarios, contratistas, estudiantes en práctica, que tengan a su cargo cualquier tipo de información propia de la entidad y el uso de los bienes informáticos de propiedad de esta.

Es responsabilidad de cada usuario utilizar la información y los recursos de tecnologías de información y comunicación de la CREG en forma legal, profesional y ética.

Las violaciones a las políticas aquí establecidas comprometerán la responsabilidad del contraventor y podrán generar acción disciplinaria interna a los servidores públicos y acciones civiles y penales a los funcionarios y contratistas.

ART. 4º—Responsabilidad de los directivos. El coordinador administrativo y financiero tendrá las siguientes responsabilidades:

a) Distribuir una copia de estas políticas a los funcionarios, contratistas y estudiantes en prácticas vinculados a la CREG con derecho de uso de software y hardware de la plataforma de tecnología de información y comunicación de la CREG.

b) Garantizar que todo software usado por funcionarios, contratistas y estudiantes en prácticas vinculados a la CREG esté debidamente licenciado.

c) Tomar medidas de control y correctivas sobre el uso de las copias indebidas de programas o hardware por parte de los funcionarios, contratistas y estudiantes en prácticas vinculados a la CREG.

d) Solicitar la inactivación oportuna de las claves de acceso de los funcionarios desvinculados de la entidad y de los contratistas al vencimiento de sus contratos.

e) Crear, editar y divulgar procedimientos y manuales para asegurar el buen uso de las herramientas de la plataforma de tecnologías de la información y comunicación de la CREG.

CAPÍTULO II

Definiciones

ART. 5º—Para efectos de la presente resolución, se adoptan las siguientes definiciones:

Administrador de sistemas: es el funcionario responsable de administrar los recursos de tecnologías de información y comunicación de la CREG.

Centro de cómputo: lugar físico donde se concentra el procesamiento de datos e información de una manera sistematizada y automática.

Correo masivo: consiste en enviar el mismo mensaje a un gran número de usuarios y normalmente es para anunciar algo.

Desarrollo: actividad consistente en trasladar las especificaciones de los requerimientos de software a un lenguaje de programación.

Directorio activo: servicio de directorio utilizado para guardar información relativa a los recursos de red de un dominio.

Grupo funcional de sistemas: es el grupo conformado por el administrador del sistema y los funcionarios, contratistas o firmas que prestan soporte técnico.

Hardware: corresponde a todas las partes físicas y tangibles de la plataforma de tecnología de información y comunicación: sus componentes eléctricos, electrónicos, electromecánicos y mecánicos; sus cables, gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado.

Plan de contingencias: instrumento de gestión para el buen manejo de las tecnologías de la información y las comunicaciones en el dominio del soporte y el desempeño. Contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía.

Recurso tecnológico: son todos los bienes tangibles e intangibles que posee la CREG, que constituyen las herramientas informáticas para el desarrollo de las labores diarias.

Software: es el equipamiento lógico o soporte lógico de un computador digital, y comprende el conjunto de los componentes lógicos necesarios para hacer posible la realización de una tarea específica, en contraposición a los componentes físicos del sistema.

Software licenciado: se refiere al software sobre el cual la CREG tiene el derecho de uso.

Soporte técnico: es el servicio que proporciona asistencia al hardware o el software de la plataforma de tecnologías de información y comunicación de la CREG. En general el servicio de soporte técnico ayuda al usuario a resolver las dificultades que se le presenten durante la operación o uso de cualquier recurso tecnológico.

Usuario o usuarios: se refiere a todos los empleados, contratistas, consultores, trabajadores provisionales y estudiantes en prácticas vinculados a la CREG y cualquier otra persona o entidad que utilice la plataforma de tecnologías de la información y comunicación de la CREG.

CAPÍTULO III

Condiciones de uso del recurso tecnológico

ART. 6º—Condiciones. Al obtener acceso o utilizar los recursos tecnológicos de la CREG, los usuarios deben actuar de acuerdo con las siguientes condiciones:

6.1. Destinación de los recursos: los usuarios utilizarán los bienes y recursos de la plataforma de tecnologías de la información y comunicación asignados por la CREG y la información a la cual tenga acceso exclusivamente para el desempeño de su empleo, función o actividad contratada.

No obstante, los usuarios podrán utilizar la plataforma de internet para hacer consultas y trámites ante entidades del Estado, consultas y pagos de servicios públicos, consultas y trámites financieros y cursos de capacitación en línea autorizados por el coordinador administrativo y financiero de la CREG.

6.2. Derechos de acceso: los usuarios deberán permitir que el personal autorizado por el director ejecutivo de la CREG pueda acceder y revisar cualquier tipo de material que creen, almacenen, envíen o reciban en los recursos de la plataforma de tecnologías de información y comunicación de la CREG. La CREG podrá utilizar procedimientos y recursos manuales o automáticos para monitorear la utilización de sus recursos tecnológicos.

6.3. Material ilegal: la plataforma de tecnologías de la información y comunicación de la CREG no debe ser utilizada para crear, almacenar, recibir o enviar pornografía, ni material que pueda llegar a generar sentimientos de acoso u hostigamiento, o de naturaleza discriminatoria, política, publicitaria y comercial. Los usuarios que encuentren o reciban este tipo de material deberán reportarlo en forma inmediata a la coordinación administrativa y financiera.

6.4. Usos prohibidos: los recursos tecnológicos de CREG no podrán ser utilizados para divulgar, propagar o almacenar contenido personal o comercial de publicidad, promociones, ofertas, programas destructivos (virus), material político.

6.5. Mal uso del recurso tecnológico: los usuarios deben abstenerse de realizar actos intencionales que impliquen un desperdicio del recurso tecnológico, monopolicen o acaparen los recursos para excluir a otros. Esta prohibición incluye el envío de correo electrónico masivo, envío de correo de cadena, participación en juegos y grupos de “chat”, o creación de tráfico que deteriore la capacidad de la red, sin informar previamente al administrador del sistema.

6.6. Uso inadecuado del software: los usuarios no deberán efectuar ninguna de las siguientes actividades:

a) Copiar software licenciado de la CREG para utilizar en sus computadores personales, ya sea en su domicilio o en cualquier otra instalación, sin autorización del coordinador administrativo y financiero de la CREG.

b) Instalar software adicional a los autorizados por la CREG, en cualquier computador o servidor de la CREG, sin informar previamente al administrador de sistemas.

c) Introducir programas maliciosos en las redes o a los servidores (ejemplo virus malware, virus informático, gusano, troyano, spyware, adware puertas traseras, combinaciones de malware, spam, phishing pharming ataques distributed denial of service key loggers).

d) Descargar software de internet u otro servicio en línea a cualquier computador o servidor que la CREG no haya autorizado.

e) Modificar, revisar, transformar o adaptar cualquier software sin autorización del administrador de sistemas.

f) Descompilar o reversar la ingeniería de cualquier software. Los usuarios deberán informar a la coordinación administrativa y financiera cualquier conocimiento que tengan del mal uso o ilegalidad del software o de los derechos de autor respectivos.

g) Para el uso del sniffer (software especializado en búsqueda de información) se requiere una autorización por parte de la coordinación administrativa y financiera, dependencia responsable de verificar la necesidad de la instalación de dicho software.

6.7. Manejo del servicio: Todo servicio que involucre recurso tecnológico, contará con planes de capacitación y entrenamiento a usuarios, para hacer un uso efectivo de los recursos, dando a conocer los riesgos y responsabilidades involucrados. Para lo cual cada aplicación de nuevas tecnologías requerirá el acompañamiento de personal del grupo funcional de sistemas para su entrenamiento.

CAPÍTULO IV

Políticas de uso y administración del recurso tecnológico

ART. 7º—Utilización del recurso tecnológico. El recurso tecnológico (software y hardware) de la entidad que estén al servicio de los usuarios, deberán ser utilizados bajo los siguientes criterios:

a) Los usuarios no deben instalar como fondo de escritorio de los equipos asignados imágenes de naturaleza religiosa, sensual, política, comercial, familiar, o que pueda generar sentimientos de acoso u hostigamiento, o de discriminación religiosa, racial, política, social, o de género.

b) Los usuarios deben cerrar la sesión de trabajo al dejar el puesto de trabajo o utilizar los protectores con contraseñas, pues son responsables por las actividades que se generen con la cuenta asignada.

c) El cambio de las configuraciones del hardware o del software instalado en los equipos de cómputo de la entidad, solo podrá ser realizado por parte de las personas autorizadas por el administrador de sistemas.

d) Los funcionarios y contratistas del grupo funcional de sistemas de la CREG no deben prestar soporte técnico a recursos informáticos distintos a los que integran la plataforma tecnológica de la CREG o que están a sus disposición, en las instalaciones o utilizando los recursos de la entidad.

e) El grupo funcional de sistemas realizará al menos dos veces al año revisiones que aseguren que el software instalado en los computadores de la CREG se encuentre debidamente licenciado, utilizando procedimientos manuales o automatizados.

f) La utilización de equipos particulares para labores institucionales (que tengan acceso a la red de la CREG), debe ser autorizada por la coordinación administrativa y financiera.

g) Los equipos de cómputo fijos o sus partes (CPU, monitor, ratón, teclados, impresoras, parlantes y demás elementos que se encuentren conectados a la CPU), no podrán ser cambiados de puesto, sin autorización de la coordinación administrativa y financiera.

ART. 8º—Recomendaciones de uso. La CREG recomienda a los usuarios seguir las siguientes pautas de uso, a fin de prolongar la vida de los equipos:

1. Ubique el equipo en un área donde no exista mucho tránsito y la parte eléctrica del mismo no sea de fácil acceso al paso de personal.

2. No traslade el computador sin la autorización y asesoría del soporte técnico de informática y tecnología.

3. Ubique el computador sobre escritorios y muebles estables, especialmente diseñados para ello.

4. Ubique el monitor de tal forma que la luz solar no incida directamente sobre el equipo, en lo posible.

5. Asesórese debidamente para garantizar una correcta conexión a la red eléctrica. La energía eléctrica de corriente regulada (110 voltios y con polo a tierra) se identifica por las tomas naranja.

6. No conecte otros aparatos (radios, máquinas de escribir, calculadoras, celulares, etc.) en las tomas de corriente regulada.

7. Apague los equipos al momento de terminar las labores diarias, incluidas las impresoras y los escáneres.

8. No coloque ganchos, clips, bebidas y comidas encima o cerca del computador, que puedan caer accidentalmente dentro del equipo y dañar sus partes.

9. No fume cerca del equipo, el alquitrán se adhiere a las piezas y circuitos internos del equipo.

10. Utilice los tamaños adecuados de papel según los requerimientos de las impresoras, el uso inadecuado puede causar daños en: los rodillos, los sensores, las bandejas, etc., de las mismas. Si el papel es usado o reciclado no debe estar roto ni tener ganchos que puedan dañar las partes internas de la impresora.

11. No rompa los sellos de garantía para destapar y tratar de arreglar los equipos por cuenta propia. En cualquier caso, solicite el servicio de soporte técnico requerido.

12. No permita el uso de los equipos a personas ajenas a su dependencia, salvo autorización del superior inmediato o para actividades de soporte, mantenimiento y revisión. La persona a la que se la ha asignado el equipo es responsable por todo lo que le pase y por todo lo que se genere desde el mismo.

13. No facilite a terceros el acceso a la red de la CREG. Esta actividad la debe realizar el administrador de sistemas, previa autorización del coordinador administrativo y financiero de la CREG.

14. Informe al grupo funcional de sistemas de cualquier daño que sufran los elementos que conforman el equipo.

15. Solicite y utilice una guaya de seguridad para los equipos portátiles

16. Reporte a la coordinación administrativa y financiera el acceso indebido a un recurso tecnológico.

17. Reporte con suficiente anticipación la necesidad de asignación de un recurso tecnológico.

18. Solicite autorización al administrador de sistemas para utilizar cualquier equipo de cómputo diferente al asignado a usted o a la actividad en la cual está participando.

19. Apague los equipos compartidos asignados a las salas de reuniones, al terminar la respectiva sesión.

ART. 9º—Administración de usuarios y contraseñas. La creación de usuarios está bajo la responsabilidad del administrador de sistemas, para lo cual se debe tener en cuenta los siguientes parámetros:

1. Establecer un estándar para el nombre del usuario.

2. Definir la periodicidad de la caducidad de las contraseñas.

3. Crear grupos para facilitar la asignación y administración de los recursos.

4. Diligenciar el formato de creación de usuario con la información básica (nombres, apellidos, cédula de ciudadanía, dependencia, cargo, teléfono y número de extensión, correo electrónico, equipo en el que se debe iniciar sesión, entre otras).

5. La contraseña estará compuesta con mínimo ocho caracteres alfanuméricos que incluyan, al menos una letra mayúscula, un carácter especial y al menos un número. No se debe permitir la repetición de contraseñas.

El administrador de sistemas debe depurar permanentemente y administrar los usuarios y equipos en el directorio activo.

Después de tres (3) intentos fallidos al ingresar la contraseña, la cuenta del usuario es bloqueada, y solo podrá ser desbloqueada por el administrador de sistemas, quien registrará el evento. Esta información debe ser reportada periódicamente a la coordinación administrativa y financiera.

El funcionario responsable del proceso de gestión humana informará al administrador de sistemas, de los retiros del personal por terminación o finalización de contrato, licencias, incapacidades prolongadas, con el fin de cancelar o desactivar todas sus cuentas y servicios como usuario de la red, esta labor será realizada por el administrador de sistemas.

El administrador de sistemas cambiará inmediatamente la clave de acceso y cuenta de usuario a los empleados, contratistas o estudiantes en práctica en la CREG que tengan ausencias temporales, se deshabilitarán las cuentas respectivas hasta que se notifique por parte la coordinación administrativa y financiera de su reintegro.

Los privilegios de acceso a servicios o a recursos de red serán autorizados y asignados por el administrador de sistemas. El administrador de sistemas debe rendir informes trimestrales al coordinador administrativo sobre los cambios en las políticas de privilegios y un listado con las contraseñas de los usuarios administradores del recurso tecnológico de la CREG.

El administrador de sistemas habilitará los mecanismos necesarios para restringir el acceso a sitios de internet que sea considerado como fuente de riesgo de seguridad informática para la comisión.

Si existe algún recurso informático que deba ser compartido (Por ejemplo: carpetas, impresoras, etc.), este será protegido de uso no autorizado, estableciendo los permisos correspondientes (lectura, escritura) y control de acceso mediante contraseña.

ART. 10.—Uso de contraseñas. Los usuarios deben seguir los siguientes parámetros para el adecuado uso de las contraseñas:

a) Salvaguardar sus contraseñas de acceso al sistema de cómputo. Las contraseñas no deben ser impresas, almacenadas en los sistemas o suministradas a cualquier otra persona. Los usuarios son responsables de todas las transacciones efectuadas con sus contraseñas. Ningún usuario podrá acceder el sistema de cómputo utilizando la cuenta o contraseña de otro usuario. En caso que la(s) clave(s) entre o sea de conocimiento de terceros, el usuario debe cambiarla (s) de manera inmediata.

b) El uso de contraseñas de usuario o administrador de sistemas para acceder al sistema de cómputo o para encriptar archivos particulares o mensajes no confiere privacidad en la información que almacena en el sistema.

c) La clave de acceso es personal e intransferible y, como consecuencia, se entiende para todos los efectos que solo la conoce el responsable del equipo.

El uso de la contraseña del administrador de sistemas debe cumplirse bajo los siguientes requisitos:

1. El administrador de sistemas debe proporcionar al coordinador administrativo las contraseñas de acceso a los servicios informáticos.

2. El administrador de sistemas debe activar en el servidor el registro de los eventos sobre los mismos: administración de cuentas, inicios de sesión exitosos y fallidos, entre otros.

ART. 11.—Respaldo de información (Backups). El administrador de sistemas es responsable de la generación de copias de seguridad de los archivos correspondientes a información de la CREG. En esta actividad se deben aplicar las siguientes reglas:

a) Los usuarios desarrollarán todos los trabajos y almacenarán toda la información relacionada con las funciones o actividades contratadas en un directorio con el nombre “Información CREG”, ubicado en el disco que le asigne el soporte técnico de sistemas.

b) El soporte técnico generará periódicamente las copias de seguridad únicamente de la información almacenada en el directorio “Información CREG”.

c) La pérdida de información no almacenada en el directorio “Información CREG” es responsabilidad del usuario.

d) Los usuarios deben comunicar al administrador de sistemas las necesidades inmediatas de generar copias de seguridad sobre una información específica almacenada en su estación de trabajo.

e) Los usuarios no deben tener copias de la información sobre la cual se ha generado copias de respaldo.

f) En la entidad debe existir un sitio dedicado a guardar copias de seguridad, copias de los programas fuentes, ejecutables u objetos de los aplicativos más relevantes en la CREG, en condiciones ambientales, estructurales, técnicas y de seguridad óptimas. Así mismo, debe disponer la guarda, custodia y restauración de las copias de seguridad en un sitio externo, con las mismas características y bajo condiciones que aseguren la continuidad del servicio.

g) El administrador de sistemas deberá respaldar en medios magnéticos la información de los servidores, de acuerdo con el esquema establecido para tal fin por parte del coordinador administrativo.

h) Las copias de seguridad deben ser rotuladas identificando claramente la información que contiene y las fechas que la identifican.

i) Cuando por obsolescencia o daño en los dispositivos de almacenamiento es necesario sacar de circulación un elemento de almacenamiento se debe asegurar de borrar la información que en él se encuentre y en lo posible destruir el dispositivo.

j) Siempre que se haga cambio de usuario de un equipo se debe hacer una copia de seguridad de toda la información contenida en todos los dispositivos del equipo y asegurarse de que la información quede borrada del equipo antes de su entrega a otro usuario.

ART. 12.—Uso general del correo electrónico. a) Las cuentas de correo serán creadas únicamente por el administrador de sistemas, previa justificación de la necesidad por parte de los usuarios.

b) El correo electrónico institucional será un medio de trabajo oficial, a través del cual se podrá enviar y recibir cualquier solicitud laboral interna y externa, por lo tanto es de responsabilidad de cada usuario revisar y dar trámite a las solicitudes recibidas.

c) Los usuarios tendrán un solo buzón de correo electrónico, bajo el dominio creg.gov.co.

d) El buzón de correo para cada uno de los usuarios será de 500 megabytes en el servidor, los expertos comisionados tendrán una capacidad máxima de 2000 megabytes. Es responsabilidad del usuario realizar constantemente la depuración de su correo, tanto de los enviados, como de los recibidos y los que se encuentran en la papelera de reciclaje. Cuando la capacidad del correo se aproxime al límite máximo se generarán mensajes solicitando la liberación de espacio en el buzón.

e) Cuando los buzones de correo superen los tamaños permitidos y no se realice la depuración pertinente, el sistema bloqueará las cuentas de correo, y generará un aviso notificando que su base de datos completó la cuota asignada.

f) Cuando se desvincule un funcionario o termine el contrato de una persona que tenga asignada una licencia de correo, el funcionario responsable de la gestión humana debe informar esta novedad al administrador de sistemas, con el fin de realizar la eliminación del usuario.

g) El correo electrónico no debe ser usado para propósitos que puedan generar conflictos para la CREG.

h) Ningún usuario deberá permitir a otro enviar correos utilizando su cuenta, sin aclarar el remitente.

i) La información que se envíe al exterior de la CREG a través del correo electrónico de internet, no debe contener conceptos regulatorios y no debe mencionar temas de carácter confidencial o estratégico, a menos que se haya autorizado para ello por parte del director ejecutivo.

j) El envío de correos electrónicos masivos debe estar autorizado por el superior inmediato.

k) El envío de correos electrónicos masivos, debe ser de contenido “liviano”, es decir, sin incluir archivos adjuntos que puedan congestionar la red (gráficos, videos y similares).

l) El asesor de comunicaciones es el único autorizado para el envío de correos masivos en la CREG y es el responsable de difundir las noticias tanto al interior como al exterior de la CREG.

m) Es obligatoria la utilización de carpetas personales para almacenar la información del correo que ingresa y que desea conservar.

n) El mantenimiento del buzón de correo electrónico y de la lista personal de direcciones en cada computador será responsabilidad del usuario del servicio.

o) El correo electrónico no debe usarse para intimidar, insultar o acosar a otras personas, ni debe interferir con el trabajo de los demás provocando un clima laboral no deseable dentro del contexto de las políticas de la entidad.

p) El usuario no debe reenviar o iniciar correos de cadena o masivos que no correspondan a las actividades laborales.

q) Todo correo saliente de la entidad debe llevar el siguiente pie de página, el cual se debe incluir en cada mensaje enviado fuera de la entidad de manera automática.

“Este mensaje y sus anexos pueden contener información confidencial. Si usted no es el destinatario del mensaje (o la persona responsable de entregar al destinatario este mensaje), se le notifica que cualquier revisión, divulgación, retransmisión, distribución, copiado u otro uso o acto realizado con base en lo relacionado con el contenido de este mensaje y sus anexos, están prohibidos. Si usted recibió este correo electrónico por error, por favor notifique inmediatamente a quien lo envió, y bórrelo de su sistema de correo”.

ART. 13.—Administración del inventario del recurso tecnológico. a) La coordinación administrativa y financiera en cumplimiento de sus funciones ejerce el control sobre la adquisición, asignación, redistribución y administración en general del recurso tecnológico de la CREG.

b) La coordinación administrativa y financiera de la entidad registrará el ingreso del recurso tecnológico, así sea por causa de devolución, de acuerdo con las normas administrativas que existan para tal fin, velando por el cuidado y la conservación, mientras son asignados.

c) La coordinación administrativa velará por el cuidado del recurso tecnológico de la entidad, sin perjuicio de la responsabilidad administrativa, fiscal, disciplinaria o penal, en que incurran los usuarios por cualquier daño o pérdida.

d) La coordinación administrativa y financiera referenciará e identificará mediante placas independientes con su respectivo código de identificación: las pantallas y las unidades centrales de procesamiento (CPU), así como los dispositivos externos que se encuentren conectados a las mismas; dichas identificaciones no deben ser retiradas de los respectivos equipos y periféricos, salvo reemplazo de las mismas.

e) La coordinación administrativa y financiera entregará el recurso tecnológico que haya asignado y lo cargará a la cuenta del responsable en el sistema de inventarios de la CREG.

f) El recurso tecnológico que por cualquier razón no se encuentren en uso o que hayan sido reemplazados en forma definitiva deberán ser devueltos por quien los tenga asignados, a la coordinación administrativa y financiera.

g) La coordinación administrativa y financiera solicitará al grupo funcional de sistemas de la entidad la verificación y recibo del recurso tecnológico a cargo de los usuarios, en los casos de desvinculación o traslado de funcionarios o contratistas. En este caso, el grupo funcional de sistemas hará un backup y entregará al responsable de archivo la información contenida en el equipo.

h) El responsable de almacén, con el visto bueno de la coordinación administrativa y financiera, recibirá y hará las actas de traslado y/o reintegro de los recursos tecnológicos devueltos por quienes los tenían asignados.

i) El grupo funcional de sistemas mantendrá actualizadas las hojas de vida de los equipos.

j) El grupo funcional de sistemas podrá intercambiar elementos internos o externos de las unidades centrales de procesamiento (CPU), con el fin de actualizar los equipos que a su juicio lo requieran y ameriten. De cualquier cambio se realizará la respectiva anotación en las hojas de vida de los equipos y se informará al almacén para los fines pertinentes.

k) El grupo funcional de sistemas es el único autorizado para la administración del recurso tecnológico de la CREG y es el autorizado para realizar préstamos o adjudicaciones de los recursos a los usuarios.

ART. 14.—Uso general de los servicios de red. a) No está permitido el uso de la red por terceras personas o entidades que no sean funcionarios o contratistas de la entidad. Si algún otro ciudadano requiere consultar información existente en la red debe ser apoyado por un funcionario de la CREG.

b) Si para la ejecución de un proyecto en el que participe la entidad, es necesario permitir el acceso a un funcionario de otra entidad o la conexión de un equipo de otra entidad, dicha situación debe ser soportada en un convenio interadministrativo entre las entidades.

c) El acceso a internet debe hacerse desde una estación debidamente registrada o autorizada por el coordinador administrativo y financiero. El equipo debe estar registrado en el dominio de la CREG. La estación debe estar protegida por una clave de usuario y por sistemas de seguridad de redes.

d) El administrador de sistemas monitoreará la carga de tráfico de la red y, cuando sea necesario, tomará acción para proteger la integridad y operatividad de la red.

e) El administrador de sistemas efectuará periódicamente monitoreo y medición de los diferentes servidores y servicios, e informará los resultados al coordinador administrativo y financiero.

f) El servicio de acceso remoto (VPN) se habilitará únicamente para los siguientes casos:

1. A los funcionarios que necesitan tener acceso a la red desde sitio distinto a las instalaciones de la entidad, previa autorización del director ejecutivo.

2. A los proveedores de servicios que requieran acceso remoto para el cumplimiento de los objetivos contractuales, si está establecido en el respectivo contrato.

3. A los funcionarios de entidades públicas que requieran acceso remoto para el desarrollo de alguna actividad específica, previa celebración de un convenio interadministrativo.

g) La autorización para conectar dispositivos adicionales a la red o adicionar servicios a la red debe ser otorgada por la coordinación administrativa y financiera. No pueden conectarse computadores, servidores, hubs, switches, routers, o cualquier otro hardware a la red sin su debida autorización. El grupo funcional de sistemas puede quitar de la red sin advertencia cualquier dispositivo que viole esta política.

h) En caso de que se obtenga la debida autorización, el grupo funcional de sistemas conectará el computador personal a la red. Esta autorización solo es para el computador y para ser usado como un cliente normal en la red y no proporcionar ningún servicio a la red.

i) El administrador de sistemas deberá:

1. Recolectar estadísticas de utilización de la red.

2. Restringir usuarios, cuando la utilización de la red resulte en degradación del rendimiento. Tal restricción será notificada a los usuarios a través de los medios apropiados.

3. Reportar al director ejecutivo cualquier actividad que se sospeche ilegal o fraudulenta.

4. Deshabilitar de manera inmediata todos los servicios y dispositivos ilegales o fraudulentos.

j) Los usuarios no deben destruir, manipular o apropiarse indebidamente de información que circule por la red.

ART. 15.—Uso general de internet e intranet. a) El servicio de internet proporcionado por la entidad es una herramienta proporcionada por la CREG para el apoyo en la ejecución de las funciones y actividades propias de cada cargo u obligación. En consecuencia, el administrador de sistemas podrá monitorear y controlar el acceso a páginas web consideradas peligrosas o indebidas o que atenten contra el uso racional de este servicio.

b) Uso: los usuarios deben estar enterados y conscientes de los compromisos, normas y reglamentos que han adquirido para el acceso a internet, y deben tomar todas las medidas que correspondan para que estas normas se respeten y se cumplan. El mal uso del internet dará lugar al bloqueo inmediato de la conexión a estos recursos.

c) Condiciones y políticas: todo usuario que acceda a los servicios de internet por cualquier punto de red disponible en la CREG, deberá aceptar las condiciones de uso y acatar las políticas de control del contenido definidas por la dirección ejecutiva de la CREG.

d) Beneficio personal: los usuarios no deben utilizar los servicios de internet para actividades lucrativas o comerciales de carácter individual o privado o para negocios en particular.

e) Control de acceso: el coordinador administrativo y financiero tiene la autoridad para controlar y negar el acceso a cualquier usuario que viole las políticas o interfiera con los derechos de otros usuarios. También tiene la responsabilidad de notificar a aquellas personas que se vean afectadas por las decisiones tomadas.

f) Control y monitoreo: el administrador de sistemas podrá utilizar herramientas para el control y monitoreo del uso de los recursos de internet.

CAPÍTULO IV

Seguridad física y lógica

ART. 16.—Mediante las siguientes políticas de seguridad se pretende establecer la forma de actuar por parte de todos los funcionarios, en relación con el recurso tecnológico y servicios informáticos que ofrece la CREG. Las políticas de seguridad informática conforman el conjunto de lineamientos que los funcionarios, contratistas y/o estudiantes en práctica vinculados a la CREG deben seguir para asegurar la confiabilidad de sus sistemas, es decir, estas hacen parte del sistema de seguridad que la CREG posee para salvaguardar sus activos.

16.1. Seguridad física: la seguridad física es generalmente de prevención y detección destinadas a proteger físicamente cualquier recurso tecnológico.

Protección del hardware:

a) El área donde se encuentran los equipos de cómputo en la CREG deberá tener acceso restringido a personas no autorizadas.

b) Los funcionarios deberán portar el carné en un lugar visible, permitiendo con esto una mejor identificación y control de las personas que ingresan a las áreas de la CREG.

c) Todo funcionario o contratista que utilice recurso tecnológico de la CREG, tiene la responsabilidad de velar por la seguridad de los equipos que utilice para el cumplimento de sus labores.

d) Solo el grupo funcional de sistemas podrá revisar, trasladar, instalar, configurar y dar soporte a los bienes informáticos de la CREG.

e) Las instalaciones del centro de cómputo deben contar con las normas mínimas de seguridad en cuanto a iluminación, estabilidad de obra, humedad, espacio, ambiente y aire acondicionado.

Protección de los datos:

a) Todo funcionario que utilice recurso tecnológico de la CREG, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la información que maneje.

b) El coordinador administrativo y financiero y el administrador de sistemas implementarán herramientas que permitan controlar los riesgos de los datos que viajen a través de la red de la CREG.

Desastres naturales: El sistema debe ser protegido tanto de problemas causados por las personas como por los que puedan causar los desastres naturales.

El coordinador administrativo y financiero y el administrador de sistemas tomarán las medidas preventivas para evitar el máximo impacto que los equipos de cómputo de la comisión puedan sufrir en caso de un desastre natural.

Copias de seguridad: El administrador de sistemas adoptará las medidas necesarias para salvaguardar información en un medio diferente al que actualmente la contiene, con el fin de poder recuperarla y ser usada posteriormente.

El coordinador administrativo y financiero y el administrador de sistemas establecerán procedimientos automáticos y manuales con el fin de garantizar el proceso de copias de la información relevante para la CREG. Estos procesos incluyen planes alternos de recuperación de información en el menor tiempo posible con el fin de dar continuidad a las operaciones normales de la comisión.

16.2. Seguridad lógica: Todos los módulos de las aplicaciones que ingresen datos deberán tener una clave de acceso y establecer perfiles de usuarios internos y externos para acceder a la información.

a) Cuando un usuario manipule aplicaciones específicas y sea removido de su puesto de trabajo de manera provisional o permanente, deberá hacer entrega formal al coordinador administrativo y financiero del equipo a su cargo, las claves de acceso e instruir a su reemplazo en la utilización del software que administra, al igual que hacer entrega al coordinador administrativo y financiero de la información relevante que estaba a su cargo.

b) Cuando la entidad reciba para su uso, equipos de cómputo a través de comodatos o convenios interadministrativos, deberá en coordinación con el grupo funcional de sistemas, cuidar que se establezca claramente todo lo referente a seguros, mantenimiento preventivo y correctivo, licenciamiento de software, y disposición final de los equipos. Al igual que entregar copia de toda la documentación respectiva.

ART. 17.—Centro de cómputo. Todos los servidores de datos, los dispositivos de seguridad, almacenamiento, comunicaciones y los gabinetes del cableado estructurado de la red de la entidad deben estar ubicados en el centro de cómputo.

17.1. Pautas para la utilización del centro de cómputo:

a) El centro de cómputo es un área restringida y por lo tanto solo se puede ingresar a ella con autorización del coordinador administrativo y financiero o por el administrador de sistemas.

b) La operación de cualquiera de los dispositivos que se encuentran en el centro de cómputo, solo podrá realizarse por los funcionarios designados por la coordinación administrativa y financiera.

c) Las personas que ingresen al centro de cómputo, deberán seguir las normas de seguridad que para tal efecto establezca la coordinación administrativa y financiera, como:

1. No ingresar ningún tipo de bebidas o alimentos.

2. No accionar ninguno de los dispositivos de alarma sin razón evidente.

3. No manipular objetos que puedan ocasionar que las alarmas y sistemas de seguridad se accionen tales como: cigarrillos, fósforos, encendedores, etc.

4. No conectar equipos de soldadura, aspiradora, brilladora u otro electrodoméstico a la red eléctrica regulada o soportada.

5. No operar ninguno de los diferentes equipos que en él se encuentran instalados sin autorización del administrador de sistemas.

17.2. Requerimientos mínimos de seguridad física.

a) El centro de cómputo debe contar con piso falso, canaleta para cableado estructurado y debe contar con espacio libre para futuras ampliaciones en el cableado.

b) El cableado de datos debe ir en un canal aparte del cableado eléctrico con una distancia amplia con el fin de evitar la inducción de ruido electromagnético.

c) El centro de cómputo debe contar con sistemas iónicos de detección de humo, dispositivos de detección de calor, como también sistemas NFPA de supresión de incendios. Para extinguir un incendio se debe utilizar un sistema basado en el gas FM-200 para evitar daños innecesarios a los equipos.

d) El centro de cómputo debe contar con un acceso limitado por una chapa de seguridad cuya llave sea custodiada por el personal que el coordinador administrativo y financiero haya autorizado.

ART. 18.—Instalaciones eléctricas. Los equipos de cómputo y de comunicaciones de la entidad deben tener una alimentación de energía proveniente de una UPS, con la finalidad de garantizar un suministro constante de energía.

a) Se debe contar con UPS de tipo true online que cubra el 100% de la demanda más una capacidad adicional de 30%, debe tener autonomía de al menos 20 minutos.

b) Las instalaciones eléctricas contarán con sistemas de corriente regulada y polo a tierra, de acuerdo a parámetros definidos para el área específica.

c) Los equipos de cómputo deben contar con un circuito eléctrico independiente de aquellos que alimenten la restante estructura eléctrica de la CREG.

d) La CREG contará con los planos de planta física detallando ubicación, capacidad eléctrica y dispositivos instalados en cada área.

e) Las acometidas deben cumplir con las normas estándar establecidas para tal fin.

f) La subestación eléctrica debe cumplir la norma CS 502 de Codensa, al igual que la ubicación de tableros, breakers, acometidas, etc., deben cumplir con estándares para este tema.

g) Las obras civiles y la resistencia en tierra deben cumplir con normas establecidas para tal fin.

ART. 19.—Protección contra “virus”. El administrador de sistemas velará por el cumplimiento de las siguientes recomendaciones:

a) Todos los equipos conectados a la red de la CREG deberán tener instalado antivirus licenciado y permanentemente actualizado.

b) Por ningún motivo los usuarios deben instalar antivirus.

c) No se debe instalar “vacunas” sin la autorización del administrador de sistemas, estas pueden estar infectadas y ocasionar daños en los equipos y a la red.

d) El administrador de sistemas estará atento a los mensajes de alerta emitidos por el computador al detectar un posible virus. Los usuarios deben verificar que todos los archivos que se copien a los equipos no contengan virus, para ello deben utilizar los programas de antivirus que provee el grupo funcional de sistemas.

e) Es responsabilidad de cada usuario iniciar diariamente su sesión validando su usuario en la red para permitir la actualización del antivirus, tarea que se realiza en el momento del inicio de la sesión en la red.

f) Con el fin de evitar el ingreso masivo de virus maliciosos a la red se restringirá el uso del messenger y páginas de internet de tipo entretenimiento, a menos que se encuentren autorizados por la coordinación administrativa y financiera.

g) El grupo funcional de sistemas podrá eliminar cualquier archivo que contenga virus y que pueda afectar la red de datos de la entidad, sin previo aviso del propietario del archivo.

h) Los usuarios no podrán instalar o utilizar “software” de encriptación en los computadores de la entidad sin la previa autorización del administrador de sistemas. Los usuarios no podrán utilizar contraseñas o llaves de encriptación que no sea de conocimiento del administrador de sistemas.

ART. 20.—Administración de bases de datos. La coordinación administrativa y financiera por intermedio del administrador del sistema tendrá la responsabilidad de definir los estándares para la gestión de las bases de datos, con el objetivo de:

a) Administrar las bases de datos y garantizar las siguientes características: disponibilidad, recuperabilidad, integridad, seguridad, rendimiento y desarrollo.

b) Reducir el tiempo, y por consiguiente el costo, requerido para el desarrollo, mantenimiento y operación del recurso tecnológico.

c) Facilitar la migración a ambientes de hardware y software diferentes.

d) Mejorar el tiempo de respuesta de los sistemas y confiabilidad de los datos para aquellos usuarios que los necesiten más frecuente.

e) Disminuir los costos de capacitación para desarrolladores, administradores y usuarios.

f) Reducir los costos de transmisión de datos a través de la red.

g) Proveer mecanismos para solucionar inconvenientes ocasionales en la red.

ART. 21.—Plan de contingencia. El administrador de sistemas elaborará el plan de contingencia que permita a la CREG tener claras las tareas a realizar en caso de falla en la infraestructura tecnológica con que cuenta, ya sea por fallas de los equipos o por factores externos que imposibiliten la operatividad de los mismos (catástrofes), dando la posibilidad de continuar con operaciones normales.

Con el propósito de cumplir con este aspecto de seguridad se deben cumplir con las siguientes políticas:

a) Se debe tener un plan de contingencia para los procesos sistematizados con los que cuenta la entidad, en los cuales se involucren los aspectos esenciales para tener una continuidad en el servicio en caso de fallas en los sistemas.

b) La dirección ejecutiva debe velar por mantener siempre disponible un espacio en un sitio diferente a las instalaciones del centro de cómputo, donde se pueda tener equipos alternos a los de operación diaria.

c) Se debe realizar al menos una vez al año pruebas del plan de contingencia definido, las cuales deben ser coordinadas por el grupo funcional de sistemas.

d) Es responsabilidad del grupo funcional de sistemas mantener actualizado el plan de contingencia definido. Una vez se incluyan nuevas tecnologías o se realicen pruebas debe ser revisado el documento.

ART. 22.—Adquisición de software. Para cualquier inversión que tenga que ver con la adquisición de software para la entidad, se debe contar con el aval de la coordinación administrativa y financiera.

ART. 23.—Derechos de autor. La entidad no promueve ni permite bajo ningún aspecto la violación de derechos de autor ni de propiedad intelectual.

ART. 24.—Sanciones. La inobservancia de las disposiciones anteriores, podrá dar lugar según corresponda, a la iniciación de las investigaciones y aplicación de las sanciones, de conformidad con lo dispuesto en las disposiciones legales vigentes.

ART. 25.—Vigencia y derogatoria. La presente resolución rige a partir de la fecha de su publicación y deroga todas las disposiciones que le sean contrarias.

Publíquese, comuníquese y cúmplase.

Dada en Bogotá, D.C., a 24 de agosto de 2009.