1.1. Objetivos y Medición

La presente política tiene como objetivo establecer los requerimientos que en materia de antivirus deben ser satisfechos para todos los equipos computacionales conectados de manera lógica o física a los sistemas informáticos o redes del Ministerio de Cultura y Juventud, a fin de prevenir y detectar de manera efectiva instrucciones maliciosas.

1.2. Requisitos para la Seguridad de la Información

Escogencia y Aprobación de Aplicación Antivirus

En pleno cumplimiento con las Políticas, Estándares, Lineamientos y Procedimientos formalmente aprobados por el Ministerio para el desarrollo, adquisición, modificación y actualización de sus sistemas, se debe escoger y estandarizar el uso de al menos una aplicación de antivirus que provea la protección contra instrucciones malignas que la Institución necesita. Esta aplicación debe mantenerse permanentemente actualizada y licenciada corporativamente para todas las redes, sistemas y estaciones de trabajo, tomando en cuenta las expectativas de crecimiento de la Institución. Asimismo, debe proporcionarse capacitación suficiente y constante a quienes administren la plataforma escogida.

1.3. Controles de Seguridad de la Información

Revisión Periódica de Equipos y Sistemas (General)

En la sana administración de los sistemas y a fin de evitar y controlar instrucciones maliciosas, el Departamento de Informática del Ministerio debe llevar a cabo revisiones periódicas en sus sistemas y equipos, dirigidas a garantizar que los mismos se encuentran libres de códigos malignos, así como asegurar que los usuarios posean instalado el software estándar y/o aprobado por la Institución. Las revisiones se realizarán únicamente dentro del ámbito permitido por ley. Toda modificación no aprobada, así como la presencia de archivos y/o software no autorizado, debe ser reportada al Encargado de Seguridad por los medios provistos para el reporte de incidentes de seguridad.

Revisiones Esporádicas de Equipos y Sistemas

Cuando así se estime conveniente y en pleno apego al ordenamiento jurídico costarricense, se debe proceder a la revisión de los equipos y sistemas del Ministerio que se considere pueden estar comprometiendo la seguridad de la Institución. Así, el Encargado de Seguridad procederá, en la sana administración de los sistemas informáticos, a hacer dichas previsiones. Las revisiones se realizarán únicamente dentro del ámbito permitido por ley.

Plan de Continuidad y Recuperación frente a Virus

Los planes de continuidad del Ministerio deben contemplar, entre otras cosas, provisiones para la recuperación rápida y eficiente ante ataques por virus, incluyendo protección de la información de la Institución y de los Administrados, el resguardo de los sistemas y las disposiciones para su recuperación.

Precauciones Adicionales durante Procedimientos de Emergencia y Mantenimiento

Los controles convencionales contra instrucciones maliciosas pueden devenir insuficientes ante la aplicación de procedimientos de emergencia y/o de mantenimiento. En razón de ello, deben establecerse controles específicos para esos casos que permitan brindar una protección adecuada. Corresponderá al Encargado de Seguridad establecer dichos controles y a la Comisión de Seguridad validarlos.

Revisión Periódica de Equipos y Sistemas (Detallada con Asesoría Jurídica)

En la sana administración de los sistemas y a fin de evitar y controlar instrucciones maliciosas, el Departamento de Informática del Ministerio deberá llevar a cabo revisiones periódicas en sus sistemas y equipos, dirigidas a garantizar que los mismos se encuentran libres de códigos malignos, así como asegurar que los usuarios posean instalado el software antivirus estándar y/o aprobado por la Institución. Las revisiones se realizarán únicamente dentro del ámbito permitido por ley, para lo cual debe contarse de previo con la asesoría experta de la Asesoría Jurídica. Toda modificación no aprobada, así como la presencia de archivos y/o software no autorizado, debe ser reportada al Encargado de Seguridad por los medios provistos para el reporte de incidentes de seguridad.

Implementación de Controles contra Puertas Ocultas y Códigos Troyanos

Quienes hayan sido debidamente encargados a los efectos, deberán implementar estrictamente los controles contra puertas ocultas y código troyano, formalmente aprobado por la Institución.

Implementación de Controles Específicos en Casos de Emergencia y Mantenimiento

Los controles convencionales contra instrucciones maliciosas pueden devenir insuficientes ante la aplicación de procedimientos de emergencia o de mantenimiento. En razón de ello, quienes hayan sido debidamente encargados a los efectos deben implementar los controles específicos para casos de emergencia o de mantenimiento, aprobados por la Institución.

1.4. Continuidad del Negocio

Los planes de continuidad del Ministerio deben contemplar, entre otras cosas, provisiones para la recuperación rápida y eficiente ante ataques por virus, incluyendo protección de la información de la Institución y de los Administrados, el resguardo de los sistemas y las disposiciones para su recuperación.

1.5. Responsabilidades

Responsabilidad del Personal Usuario respecto a la Aplicación Antivirus

Todo el Personal Usuario debe tener instalada y efectivamente activa, en el equipo computacional que utiliza en el Ministerio, la aplicación antivirus formalmente aprobada, corriendo en su última versión, antes de proceder a conectarse a los sistemas de la Institución. A menos que cuente con autorización expresa y por escrito válidamente emitida para tales efectos, ningún usuario debe, por su propia cuenta y por ninguna razón, deshabilitar las aplicaciones de antivirus instaladas en los equipos de la Institución. Toda instalación o desinstalación de las aplicaciones de antivirus será llevada a cabo únicamente por personal del Departamento de Informática.

1.6. Comunicación de la Política

Reserva de Derechos del Ministerio

El Ministerio se reserva el derecho de hacer cualquier tipo de modificación a estas políticas sin que ello implique responsabilidad de su parte, incluso sin previo aviso.

Fiscalización de Cumplimiento

El Ministerio se abroga el derecho de controlar estrictamente el debido cumplimiento de estas políticas, así como de tomar cualquier acción de cualquier naturaleza, sea esta civil, penal, laboral y/o administrativa que le sea permitida por el ordenamiento jurídico, con el fin de castigar la violación a las mismas, para lo cual deberá respetar el debido proceso.

Usos Ilícitos y/o No Permitidos

El Ministerio facilita sus Recursos Informáticos únicamente para usos permitidos y legales. Por ende, quien haga uso de los mismos para fines ilegales y/o no permitidos, deberá asumir todas y cada una de las consecuencias que de su actuar u omisión deriven.

Políticas como Orientación Básica

Las Políticas incluidas en el presente documento pretenden ser una orientación básica, no una lista exhaustiva. Por ende, de tener el usuario alguna duda que las Políticas no puedan aclarar, deberá consultarla, según corresponda, ya sea con el Jefe del área a que pertenece; con el supervisor del proyecto de que se trate; o con quien dirige el Departamento de Informática.

Tolerancia

El que el Ministerio, por cualquier razón, decida no tomar acciones en un determinado momento para exigir responsabilidades o sancionar algún comportamiento, no impide que pueda hacerlo en cualquier momento posterior. Deberá tenerse presente que el Ministerio estará siempre en potestad de actuar, según se lo permita el ordenamiento jurídico aplicable.

2. Apoyo para la Implementación del SGSI

Política Integral de Seguridad de la Información

Las presentes políticas son complemento de las Políticas Integrales de Seguridad de la Información aprobadas por el Ministerio y, por ende, las rigen los mismos principios rectores. Así, los conceptos básicos que se infieren de las Políticas Integrales de Seguridad de la Información se mantienen inalterados (e.g., seguridad de la información como factor prioritario; confidencialidad de la información del Ministerio y/o los Administrados; intereses del Ministerio y/o los Administrados por sobre intereses personales; legalidad de toda actuación y respeto irrestricto a la legislación aplicable; respeto irrestricto a los Derechos de Autor y de Propiedad Intelectual; balance seguridad-productividad; prevalencia del interés público, entre otros). De haber contraposición entre las Políticas Integrales de Seguridad de la Información y las presentes políticas, prevalecerán las que sean más específicas para el usuario con respecto al desempeño de sus responsabilidades para con la Institución.

3. Validez y Gestión de Documentos

Procedimientos para la Verificación de Información sobre Instrucciones Maliciosas

El Encargado de Seguridad deberá proponer procedimientos para verificar que toda la información relativa a instrucciones maliciosas es cierta y válida y garantizar así que los boletines de alerta son exactos e informativos. Las fuentes que se utilicen deben ser fuentes reconocidas y calificadas. Los procedimientos propuestos por el Encargado de Seguridad deben ser avalados por la Comisión de Seguridad.

Concientización sobre Falsos Virus (Hoax)

Debe concientizarse al personal acerca del problema que ocasionan los falsos virus (hoax) y qué hacer al recibirlos.