CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL

Transcripción

1 CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL AÑO

2 POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL 1. INTRODUCCION. La Contraloría General de la República (CGR) cuenta con una Red Inalámbrica Institucional (RII) para facilitar el acceso a los sistemas e Internet de los funcionarios y visitantes autorizados, dentro del perímetro establecido. Todos los usuarios autorizados accederán los servicios de la RII, sujetos a la normativa de utilización de las TIC s institucional, así como a las políticas particulares establecidas para la red inalámbrica. 2. DEFINICIONES. Access Point Autenticación Autorización Cliente inalámbrico Cobertura Infraestructura inalámbrica Interferencia MAC Address Punto de acceso. Es el equipo electrónico que funciona como punto central de conexión para los equipos que van a acceder a la red inalámbrica. Proceso de verificar la integridad de un usuario que solicita acceso a la red inalámbrica. Es el proceso mediante el cual se le asigna un permiso al usuario acceder a los recursos que se establezcan. Son los elementos de hardware y software que permiten emitir y recibir datos a través de señales de radio, a la infraestructura de red (modo infraestructura ) o a otro cliente inalámbrico directamente (modo ad-hoc ), para la comunicación utilizando tecnología Wi-Fi. Ejemplo: Tarjetas de red o adaptadores USB. Corresponde al área geográfica en donde se puede acceder a la red inalámbrica por existir señal disponible. Se refiere a los componentes que constituyen una red inalámbrica, exceptuando a los clientes inalámbricos, y permiten su adecuado funcionamiento. Entre otros incluye: Access Point, Controladores y Servidores. Degradación de la señal causada por la radiación electromagnética de otro dispositivo. Dirección física de los componentes de una red. Las tarjetas de red poseen una dirección MAC la cual consiste en seis octetos e identifican en forma única a los equipos que se van a conectar a la red inalámbrica. Modo ad-hoc Es un método en que los clientes inalámbricos se comunican directamente el uno con el otro mediante señales de radio, sin utilizar un Access Point. Modo infraestructura Privacidad Red inalámbrica Es un método en que los clientes inalámbricos se comunican unos con otros mediante señales de radio, a través de un Access Point, no directamente el uno con el otro. Se refiere a la confidencialidad de la información que se transmite por la red inalámbrica. Incluye la encripción de datos. Una red inalámbrica es un sistema de comunicaciones de datos que transmite y recibe información utilizando ondas electromagnéticas, en lugar de cables (tal como: par trenzado, coaxial o fibra óptica). En el contexto del presente documento, la tecnología inalámbrica se circunscribirá a tecnología Wi-Fi. 2

3 SSID Wi-Fi Alliance El Service set identifier (SSID), es el nombre que identifica a una red inalámbrica. Un cliente inalámbrico puede seleccionar una red, ya sea manual o automáticamente (según la configuración), a la cual desea asociarse. El SSID también se le denominará como nombre de la red inalámbrica. La Wi-Fi Alliance ( Alianza Wi-Fi en español) es una asociación global no lucrativa de la industria compuesta por una gran cantidad de compañías dedicadas a la proliferación de la tecnología Wi-Fi a través de dispositivos y segmentos de mercado. Con el desarrollo de la tecnología, el mercado se constituye y se generan programas regulativos. El programa Wi-Fi CERTIFIED ( Certificado Wi-Fi en español) de la Wi-Fi Alliance proporciona una designación ampliamente reconocida de la interoperabilidad y la calidad de los productos, y ayuda a asegurar que los productos Wi- Fi habilitados entreguen la mejor experiencia al usuario. El actual sitio oficial web de la Wi-Fi Alliance es: 3. PRIVACIDAD. La RII provee acceso a recursos dentro y fuera de la Institución. Tal acceso es un beneficio brindado a los funcionarios y no se deberá ver como un derecho. Como beneficio que es se requiere que los usuarios que hagan uso de esta red, lo hagan responsablemente y siguiendo las directrices emitidas para este fin. La Unidad de Tecnologías de Información (UTI) procurará brindar un servicio seguro, tomando en cuenta las tecnologías disponibles para garantizar esto. 4. RESPONSABILIDADES 4.1. DE LOS USUARIOS: Los usuarios que utilicen las tecnologías inalámbricas se regirán por las políticas generales de uso de las TICs aprobadas y divulgadas en la CGR. Adicionalmente deberán observarse las siguientes políticas específicas para esta tecnología: a. Los accesos desde equipos inalámbricos serán únicamente de dos tipos, los que tendrán permiso de acceder a servicios internos de la CGR, tal y como si fuera un equipo de la red interna institucional, y los que solamente tendrán acceso a la Internet. En el primer caso solo se permitirá la conexión de equipos propiedad de la CGR. En el segundo caso se permitirán equipos no propiedad de la CGR, previa revisión y aprobación por parte de la UTI, la cual deberá llevar un registro de estos equipos. b. Aquellos equipos inalámbricos que acceden a la RII no deberán conectarse simultáneamente a varias redes inalámbricas (ya sea en modo ad-hoc o infraestructura ). Los equipos propiedad de la CGR, en ningún momento deberán operar en modo ad-hoc, solo en modo infraestructura, es decir, la conexión entre equipos inalámbricos se realizará a través de Access Point (y la infraestructura asociada) y no directamente entre equipos. La UTI podrá 3

4 autorizar; en casos muy calificados, conexiones en modo ad-hoc o a redes simultáneas. c. Todos los funcionarios tendrán la posibilidad de conectarse a la RII, según la viabilidad técnica para tal efecto realizada por la UTI. d. Será responsabilidad de los usuarios que se conecten a la RII, utilizando equipos no propiedad de la CGR someterse a toda medida de seguridad que defina la UTI. e. El usuario es el responsable de la configuración de los clientes inalámbricos que no sean propiedad de la CGR, ya sea que se conecten a la RII o que se encuentre dentro de sus instalaciones. 4.2 DE LA UTI. a. La UTI es responsable de aprobar e implementar la conexión de cualquier dispositivo inalámbrico que se desee conectar a la RII. b. La UTI deberá proveer soporte sobre la infraestructura inalámbrica instalada, y será la responsable de analizar e implementar mejoras sobre la misma. c. La UTI será la responsable de actualizar y mantener las políticas y procedimientos relacionados con la infraestructura inalámbrica de la CGR. d. La UTI será la responsable de la configuración, instalación y administración de equipos de la infraestructura inalámbrica de la CGR, procurando minimizar los riesgos inherentes que se puedan presentar por configuraciones pre establecidas (comúnmente denominadas: por default ). e. La UTI será la responsable de informar a los usuarios de la RII sobre la formas seguras de utilizar la tecnología inalámbrica, y de cómo minimizar los riesgos inherentes de su uso. f. La UTI será la responsable de realizar evaluaciones periódicas de seguridad para determinar ajustes en la seguridad y minimizar los riesgos. g. La UTI tendrá la potestad de desconectar cualquier conexión inalámbrica si determina que puede poner en riesgo la red de datos de la CGR. h. La UTI será la responsable de registrar y dar mantenimiento a las claves de acceso a la RII para usuarios externos que requieran acceso a Internet a través de esta tecnología. 4.3 GENERALES a. Todos los accesos de los clientes inalámbricos a la RII deberán hacerse utilizando un método de autenticación y encripción determinado por la UTI. La UTI podrá autorizar; en casos muy calificados, conexiones sin autenticación (libres) o encripción. b. Las características de los equipos inalámbricos adquiridos a nivel institucional, deberán cumplir con las certificaciones de las capacidades inalámbricas de la 4

5 alianza Wi-fi ( Wi-fi Alliance ), que la UTI determine, así como lo indicado en este documento. c. El nombre de las redes (o SSID) definidos por la UTI no deberán contener información que pueda poner en evidencia la Institución o redes internas. i. La compra y utilización de dispositivos en la CGR que puedan compartir las frecuencias (tal como: microondas y teléfonos inalámbricos) se debe realizar buscando la menor interferencia posible con la RII. Sin embargo, lo anterior estará supeditado ante la necesidad de compra y uso de equipos o aplicaciones de criticidad (tal como: equipo médico). Se debe promover el retiro de equipo que se encuentre en mal estado y pueda afectar el funcionamiento de la RII (tal como: microondas). j. La unidad encargada del inventario institucional será la responsable de mantener actualizado el inventario de todos los componentes físicos (tal como: tarjetas inalámbricas externas y puntos de acceso) inalámbricos propiedad de la CGR. 5. DISPONIBILIDAD DEL SERVICIO. El servicio de la RII estará disponible para los funcionarios que cuenten con la tecnología de acceso adecuada, considerando los límites de cobertura establecidos por la UTI. Mediante equipo tecnológico apropiado y redundancia de componentes, la UTI procurará una alta disponibilidad del servicio. Cuando por circunstancias especiales, sea necesario deshabilitar el servicio de acceso a esta tecnología, se comunicará a los usuarios para lo que corresponda. 5