Determina las directrices para el uso de los equipos de cómputo y manejo de la información relacionada con el servicio electrónico que administra la DIAN
por la cual se determinan las directrices del uso de los equipos de cómputo y el manejo de la información; del uso, instalación y desinstalación de software; del uso del servicio de correo electrónico institucional; del uso institucional de servicios web y de la conexión a Internet en la Unidad Administrativa Especial - Dirección de Impuestos y Aduanas Nacionales- DIAN.
RESOLUCIÓN N° 000484
24-01-2013
DIAN
por la cual se determinan las directrices del uso de los equipos de cómputo y el manejo de la información; del uso, instalación y desinstalación de software; del uso del servicio de correo electrónico institucional; del uso institucional de servicios web y de la conexión a Internet en la Unidad Administrativa Especial - Dirección de Impuestos y Aduanas Nacionales- DIAN.
El Director General de Impuestos y Aduanas Nacionales, en uso de sus facultades legales y en especial las conferidas por los numerales 2 y 22 del artículo 6° del Decreto 4048 del 22 de octubre de 2008, y
CONSIDERANDO:
Que en desarrollo de las directrices previstas en el capítulo “Políticas de control y manejo de la información y la comunicación” del Código de Buen Gobierno de la DIAN, se requieren directrices específicas sobre los recursos institucionales de tecnologías de la información y la comunicación.
Que el cumplimiento de la misión de la Dirección de Impuestos y Aduanas Nacionales depende en gran medida del adecuado uso que los “usuarios internos” den a los equipos de cómputo de la Entidad, a la información contenida en ellos, los Sistemas de Información, al software y a los servicios de comunicación institucionales (Correo Electrónico, Internet, intranet, entre otros).
Que los bienes y recursos de cómputo, la información contenida en los mismos y los servicios de tecnologías de la información suministrados por la Dirección de Impuestos y Aduanas Nacionales se encuentran vinculados a la función pública.
Que para mantener la disponibilidad adecuada y la garantía en los servicios informáticos es indispensable el mejoramiento de las prácticas de uso de los equipos de cómputo y de los servicios de la red corporativa como el correo electrónico, la web y la Internet institucional.
Que el uso inadecuado de los recursos tecnológicos expone a la Entidad a riesgos de pérdida y/o daño de equipos e información, propagación de virus o malware, y compromete los servicios, las redes de comunicación y la imagen de la Institución.
Que con el fin de minimizar los riesgos referidos, prolongar la vida útil de los equipos de cómputo y aprovechar al máximo los sistemas de información y las herramientas institucionales como el correo electrónico y acceso a internet, se hace necesario implementar las directrices específicas que deberán tener en cuenta los “usuarios internos” de la Entidad al momento de utilizar estos servicios y equipos.
Que de conformidad con el numeral 8 del artículo 8° de la Ley 1437 de 2011 “por la cual se expide el Código de Procedimiento Administrativo y de lo Contencioso Administrativo”, la DIAN publicó en su página web el proyecto de resolución el día 21 de diciembre de 2012 hasta el día 31 de diciembre de 2012, y fueron acogidas las opiniones y sugerencias aplicables a su propósito, y no se recibieron propuestas alternativas sobre el mismo.
RESUELVE:
CAPÍTULO I
Definiciones
Artículo 1°. Definiciones. Para los efectos de la presente resolución se tendrán en cuenta las definiciones del documento “La DIAN rinde culto a la calidad” y las que a continuación se describen:
Administrador de la red. Servidor público de la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, a quien le comunicaron la responsabilidad de ser el encargado de instalar, operar y mantener la red de área local o corporativa.
Administrador de la seguridad informática. Servidor público de la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, a quien le comunicaron la responsabilidad de ser el encargado de aplicar las medidas de seguridad informática en todos los componentes conectados a la red corporativa, instalando, operando y manteniendo los mecanismos que implementan las políticas y directrices institucionales.
Administradores de los sistemas de información. Roles de empleo: el Administrador Técnico y el Administrador Funcional- responsables de gestionar la operación ininterrumpida de los sistemas de información garantizando que cumplan con la normatividad vigente.
Agente de correo electrónico. Programa instalado en un computador o dispositivo electrónico de usuario final, que actúa como cliente para acceder al buzón de almacenamiento de mensajes de una cuenta de correo electrónico que se encuentra localizado en el computador servidor de mensajería (ej. Outlook®).
Backup o Copias de resguardo y seguridad. Práctica para la conservación de la información en un medio de almacenamiento diferente al residente y con custodia externa. La periodicidad de su realización se determina de acuerdo a la criticidad, importancia y fines de la información que se deba conservar.
Bienes y recursos de cómputo. Todos los elementos de hardware y software entregados por la Entidad a los “usuarios internos” con el fin de facilitar el desempeño de sus funciones o el cumplimiento de su objeto contractual. De esta manera, son bienes y recursos de cómputo, además de los programas: los computadores de escritorio, portátiles, tabletas, dispositivos periféricos y equipos de telecomunicaciones (ratón, teclado, monitor, parlantes, unidades externas de almacenamiento, micrófono, MODEM y similares), impresoras de uso individual o colectivo, escáneres, y demás recursos tecnológicos que adquiera la Entidad.
Buzón de correo electrónico. Depósito en el que se almacenan en el servidor los mensajes transmitidos por correo electrónico que recibe un usuario, hasta que los descarga a su computador.
Buzón de documentos electrónicos para conservación. Contenedor de una copia de un mensaje de correo electrónico al cual le adjuntaron registros digitales. Los buzones de documentos digitales para conservación están reglamentados por el área responsable de la conservación de la documentación corporativa.
Carpeta pública. Es el espacio de almacenamiento asignado en un computador servidor de archivos, y el cual puede identificarse en forma inequívoca.
Chat (Charla - Conversational Hypertext Access Technology). Comunicación en línea, que permite a dos o más usuarios interactuar a través de Internet o de la red interna, mediante el teclado, la voz y el video. Requiere la coincidencia temporal de los interlocutores.
Cliente de correo electrónico. (Véase agente de correo electrónico).
Computador de escritorio. (Véase equipo de cómputo).
Computador servidor de archivos. Equipo de cómputo dedicado al almacenamiento de datos. Los archivos se acceden a través de la red corporativa. De la información almacenada en estos computadores los administradores del centro de datos obtienen periódicamente copias de resguardo y seguridad.
Contraseña o password. Es una clave secreta para acceso a un sistema o dispositivo, que sólo debe conocerla el usuario.
Correo electrónico o e-mail. Es un servicio de mensajería electrónica mediante el cual computadores servidores intercambian mensajes entre sí. Los mensajes intercambiados son tramitados (escritos, enviados, recibidos y leídos) hacia un usuario final a través de un cliente de correo electrónico (ej. Outlook®), operado por los usuarios del servicio. Permite el envío de archivos adjuntos.
Correo Electrónico Institucional. Es el servicio de correo electrónico que provee y administra directamente la Entidad como herramienta de apoyo a las funciones, responsabilidades u obligaciones de los “usuarios internos”. Forma parte del patrimonio de la Nación en cabeza de la DIAN. Los mensajes que residan en el interior del sistema podrán tener efectos probatorios en procesos de responsabilidad penal, fiscal o disciplinaria, de conformidad con las normas que rigen la materia.
Corriente regulada. Es aquella que proviene de una fuente o unidad de potencia eléctrica ininterrumpida, que garantiza su estabilidad y permanencia, evitando las variaciones de voltaje que dañan los equipos.
Cuenta de usuario o Credenciales de acceso. Identificación del usuario en un sistema informático, asociada a una contraseña.
Entidad. Para los efectos de esta resolución será denominada solo con la sigla DIAN.
Equipo de cómputo. Máquina electrónica dotada de memoria y de métodos de tratamiento de la información, que permiten resolver problemas aritméticos y lógicos, gracias a la utilización de programas instalados en ella. Para efectos de esta resolución se emplea el término como sinónimo de computador.
Espacio de almacenamiento y resguardo de información de una cuenta de usuario. Espacio destinado por la Entidad para que los usuarios de la red corporativa copien información desde un computador. Está localizado en un computador servidor de archivos de los usuarios (o de carpetas públicas) y se accede mediante la cuenta de usuario. Toda la información almacenada directamente por el titular de la cuenta de usuario en esta área debe referirse al correcto desempeño de su empleo, cargo, obligación o función. Es la única información de quienes tienen cuenta de usuario que se incluye en los backup institucionales, y puede ser recuperada a través del tiempo. Solo puede ser accedida a través de la cuenta de usuario.
Hardware. Conjunto de componentes físicos, (cables, conexiones y demás partes), que constituyen un computador y sus equipos periféricos.
Internet. Red mundial de telecomunicaciones a la cual están conectadas centenares de millones de personas, organismos y empresas, siendo conocida en algunos ámbitos con el nombre de la Autopista de la Información.
Intranet. Red electrónica de comunicación interna, que utiliza la tecnología de internet, y agiliza los procesos de comunicación institucional. En la DIAN esta red se denomina DIANNet.
Lista de distribución. Listados que agrupan nombres de usuarios del correo electrónico. El nombre dado a la lista puede utilizarse como destinatario de un mensaje de correo electrónico y el efecto será que la entrega del envío se hará a los miembros de la lista.
Malware. Del inglés malicious software, también llamado badware, código maligno, software malicioso o software malintencionado. Es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario. El software se considera malware en función de los efectos que provoque en un computador. El término malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros programas para extracción o inserción de información desde un equipo con el desconocimiento de su propietario.
Mensaje de correo electrónico o e-mail message. Elementos que componen un envío de correo electrónico. Además de los elementos visibles al usuario (campos De:, Para:, Asunto:, CC.:, cuerpo del mensaje, firma, archivos adjuntos, etc.), un mensaje de correo electrónico contiene también elementos ocultos, que son necesarios para su correcta transmisión y entrega al destinatario, a través de la red.
Mesa de servicios o mesa de ayuda de TI. Punto único de contacto corporativo para atender las solicitudes de operación de los sistemas y servicios informáticos. Es la responsable de recibir y atender las peticiones de servicio y de atender hasta la solución, los diferentes incidentes que afecten a los bienes o servicios informáticos.
Phishing. Técnica de fraude informático donde se pretende extraer datos de los destinatarios de mensajes de correo electrónico a través de suplantación de páginas de entidades reconocidas, especialmente de índole comercial y bancaria.
Red. Conjunto de computadores o de equipos informáticos y de software conectados entre sí de tal manera que pueden intercambiar información.
Red telemática corporativa o Red corporativa. Conjunto de recursos y servicios de la infraestructura computacional de la Entidad que permiten la conexión y utilización en red de los bienes y recursos de cómputo corporativo.
Servidor de mensajería. Es un conjunto de servicios de configuración, almacenamiento y transferencia de mensajería electrónica que se instala en un computador servidor. Es el encargado de intercambiar mensajes con otros servidores de mensajería, y de gestionar las peticiones y los mensajes de los agentes de mensajería, como por ejemplo los agentes de correo electrónico.
Sesión de trabajo. Situación en la cual, después de acceder a un equipo de cómputo de la red corporativa utilizando su cuenta de usuario, el “usuario interno” puede utilizar los recursos para el tratamiento de datos y las funcionalidades informáticas que proveen los soportes lógicos de acuerdo con los privilegios que le hayan sido otorgados por el administrador técnico de los sistemas de información.
Software, programas o aplicativos. Es un conjunto de instrucciones detalladas que controlan la operación de un sistema computacional. En general, designa los diversos tipos de programas, instrucciones y reglas informáticas para ejecutar distintas tareas en un computador. Dentro de sus funciones están el administrar los recursos de cómputo, proporcionar las herramientas para optimizar estos recursos y actuar como intermediario entre el usuario y la información almacenada.
Software licenciado. Programas o aplicativos cuyos derechos de uso han sido registrados y/o adquiridos por la Entidad ante el dueño del derecho moral o del explotador del derecho patrimonial de autor, en cumplimiento de los términos establecidos en la licencia. Esta denominación incluye las licencias denominadas Software de Libre Uso (free software), Software de código abierto (Open Source), Software en período de prueba (Shareware; trial) y Software de distribución gratuita (Freeware).
Software libre. Soporte lógico que puede ser usado, copiado, estudiado, modificado, y redistribuido libremente. Es aquél cuya licencia autoriza el derecho de uso sin ningún tipo de condición: registro, aviso, notificación, pago de derechos, ni obligaciones similares. De todas formas deben cumplirse las condiciones y términos establecidos en la licencia.
Software gratis. Soporte lógico libre que conserva las condiciones de distribución comercial, y es publicitado mediante la palabra en inglés: “freeware”.
Soporte lógico. Expresión equivalente a la palabra “software”, que fue adoptada en el Decreto 1360 de 1989 que reglamentó la Ley de Derecho de Autor de Colombia.
Token. Dispositivo físico que se utiliza como un factor adicional de seguridad informática, que almacena y provee información para la autenticación de usuarios o recursos de una red de computadores, o provee información crítica como claves privadas de un esquema de la infraestructura de clave pública, entre muchos otros usos; puede tener la capacidad de procesar datos, es decir, que puede contar con su propia unidad central de proceso de programas almacenados.
Usuarios internos. Servidores públicos de la DIAN, de los Organismos de Control del Estado, de organismos internacionales, y de terceros relacionados como el personal de la Policía Fiscal y Aduanera, y los contratistas, entre otros.
Virus. Software o programa cuyo objetivo es causar daños en un sistema informático. Son de diferentes tipos y pueden causar problemas de diversa gravedad en los sistemas a los que afectan, desde borrar un tipo de archivos, hasta borrar toda la información contenida en el disco duro. Se propagan fundamentalmente mediante el uso del correo electrónico y de medios de almacenamiento de información portátiles infectados como CD, DVD, y Memorias USB. Se combaten con la instalación de programas antivirus cuyos patrones de reconocimiento deben ser actualizados periódicamente.
Spam. Correo electrónico basura. Es el conjunto de mensajes de correo electrónico no solicitados, no deseados o de remitente desconocido (correo anónimo), habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican al receptor.
CAPÍTULO II
Del uso de los equipos de cómputo y el manejo de la información
Artículo 2°. Bienes y recursos físicos de cómputo (hardware). Los bienes y recursos físicos de cómputo de la DIAN, son herramientas de apoyo para las labores y las responsabilidades de los servidores públicos y se encuentran relacionados con la función y el patrimonio público; por ello, los “usuarios internos” deben observar y cumplir las siguientes directrices de uso:
1. Lineamientos generales:
a) Instalación. Todos los equipos y recursos de cómputo, que estén conectados a la red de la DIAN, o aquél que no esté en la red (autónomo) y que sea propiedad de la Entidad deberán sujetarse a las normas y procedimientos de instalación emitidos por la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces.
b) Registro. La Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, en coordinación con la Subdirección de Gestión de Recursos Físicos/Coordinación de Inventarios, o quien haga sus veces, debe tener registrados todos los equipos y recursos de cómputo de propiedad o de tenencia de la DIAN.
c) Disposición de equipos de propósito específico. Los equipos y recursos de cómputo que sean de propósito específico, por ejemplo computadores servidores, de los laboratorios de merciología, los de docencia, o los de “Punto de Contacto”, deberán ubicarse en áreas que cumplan con requerimientos de seguridad física, condiciones ambientales y demás directrices técnicas y administrativas que para el efecto establezca la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces. Los grupos internos de soporte técnico y asistencia tecnológica y/o los responsables en las Direcciones Seccionales supervisarán en su sede el cumplimiento de esta disposición.
d) Mantenimiento preventivo y correctivo. La prestación del servicio de mantenimiento preventivo y correctivo de los equipos de cómputo, así como la instalación y la verificación de los elementos, dispositivos y mecanismos de la seguridad física corresponde a la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, la cual emitirá la reglamentación respectiva, incluida la forma en que se autorizará a los terceros para la prestación de los servicios de mantenimiento.
e) Reasignación de equipos. Los equipos de cómputo de escritorio, portátiles e impresoras, se podrán reasignar y redistribuir de acuerdo con las necesidades del servicio y en ningún caso se deben considerar de propiedad exclusiva del “usuario interno”.
f) Traslado de equipos. La única dependencia autorizada para trasladar los computadores de escritorio de un puesto a otro es la Subdirección de Gestión de Recursos Físicos, o quien haga sus veces en el Nivel Central o en las Direcciones Seccionales las Divisiones Administrativas o quien haga sus veces, o un tercero que se contrate para tal fin. En todo caso, esta acción deberá ser comunicada en detalle a la mesa de servicio, para que se actualicen las informaciones de control de la infraestructura de la Coordinación de Soporte Técnico al Usuario y los GIT de Asistencia Tecnológica.
g) Disponibilidad de carpeta pública. Se tendrán carpetas públicas para cada una de las Áreas Funcionales y Dependencias, y para los servidores públicos de la Entidad. Los Jefes de las Áreas Funcionales y Dependencias designarán un responsable de la gestión y del contenido de su carpeta pública. Los servidores públicos de la DIAN serán responsables del contenido de su “espacio de almacenamiento y resguardo de información de una cuenta de usuario”.
h) Almacenamiento de contraseñas en la infraestructura informática. Las contraseñas deben ser almacenadas en forma cifrada por el administrador de la red. El acceso al archivo de contraseñas debe ser limitado al administrador del sistema.
i) La configuración de la red corporativa. La información relacionada con las configuraciones de la red telemática corporativa es de responsabilidad exclusiva de la Coordinación de Infraestructura. A esta información se le dará el tratamiento de información confidencial.
2. Actividades no permitidas:
a) Mantenimiento a equipos que no sean de la Entidad. No está permitido con cargo al contrato de mantenimiento preventivo y correctivo suscrito por la DIAN, el mantenimiento a bienes y recursos de cómputo que no sean de propiedad de la Entidad.
b) Uso de los equipos con fines personales o por terceros no autorizados. Los bienes y recursos de cómputo de la DIAN no podrán utilizarse con fines personales o por terceros no autorizados. Deberán emplearse de manera exclusiva por los “usuarios internos” a quienes les han sido asignados y únicamente para el correcto desempeño de su empleo, cargo, obligación o función, y en las áreas destinadas para que los clientes externos cumplan sus obligaciones, deberes y derechos de información con la Entidad. Toda la información registrada en estos equipos de cómputo podrá constituir material probatorio en cualquier investigación penal, disciplinaria, o fiscal, por lo que la DIAN podrá tener acceso completo a la misma, cumpliendo para el efecto las disposiciones que rigen la materia.
c) Desarrollo de software. Los bienes y recursos de cómputo no podrán ser utilizados para la construcción de aplicaciones o programas de computador de propiedad de terceros distintos a la DIAN.
d) Conexión de otros equipos eléctricos a fuentes de corriente regulada. En las fuentes de corriente regulada solamente se podrán conectar computadores. No se permitirá realizar derivaciones eléctricas ni conectar multitomas o equipos eléctricos de alta potencia a estas fuentes.
e) Uso inadecuado de los equipos. Ningún bien ni recurso de cómputo podrá ser expuesto a factores externos o climáticos o a la intemperie, que comprometan su integridad, tales como humedad, humo y polución, ni podrán ubicarse sobre ellos elementos pesados, o de alta interferencia electromagnética, tales como radios de comunicación, o en acciones que requieren pericia en el manejo de partes y piezas móviles. Por lo tanto, deberán seguirse las recomendaciones de uso emitidas por los fabricantes, así como las definidas por la DIAN.
f) Consumo de alimentos, bebidas o tabaco. No se podrá fumar, ni ingerir alimentos o bebidas en el área de trabajo donde se encuentren los bienes y equipos de cómputo asignados a los “usuarios internos” de la Entidad.
g) Modificación de la configuración. No están permitidos a los “usuarios internos” los cambios de configuración física ni lógica de los equipos de cómputo. Los únicos autorizados para realizar modificaciones a la configuración original de los equipos, así como para destapar, agregar, desconectar, retirar, revisar y/o reparar sus componentes, son los servidores públicos de la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces y/o las personas por ellos autorizadas.
h) Introducción de elementos y medios de almacenamiento dañados. No está permitido introducir en los equipos de cómputo, elementos ajenos a su naturaleza o funcionalidad, así como ningún tipo de unidad de almacenamiento de información portátil como disquetes, CD, DVD o memorias USB que estén físicamente dañadas o que no hayan sido revisadas previamente, por el programa antivirus licenciado por la Entidad.
i) Traslado de equipos entre dependencias. Cuando exista movimiento de personal entre dependencias, no estará permitido el traslado de bienes y recursos de cómputo (computadores de escritorio y portátiles) entre grupos, divisiones, coordinaciones, subdirecciones, direcciones de gestión o direcciones seccionales. El servidor que sea trasladado a otra dependencia, deberá cumplir con lo previsto en el Manual de Administración de los Recursos Físicos de la Entidad.
j) Reasignación informal de equipos. No se permitirá la asignación de equipos sin el diligenciamiento de la documentación oficial del proceso de inventarios.
k) Conexión a redes. No está permitido a los “usuarios internos” conectar dispositivos que habiliten conexiones inalámbricas a redes externas en los computadores de escritorio, ni en los computadores portátiles conectados simultáneamente a la red telemática corporativa. Véase el literal e) del numeral 5 de este mismo artículo.
l) Conexión de equipos personales a la red corporativa. No se podrá permitir la conexión de equipos de cómputo que no sean de propiedad de la DIAN a su red corporativa, salvo autorización expresa y justificada de la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces. La solicitud de autorización deberá estar suscrita por el Jefe de la dependencia donde serán utilizados los equipos de cómputo. En cualquier caso, la Entidad no será responsable por los daños causados a equipos personales.
m) Conexión de equipos de terceros o proveedores. Los equipos de propiedad de la DIAN y que se asignen a “usuarios internos” para la labor específica, deberán cumplir las directrices que le sean aplicables y que están definidas en esta resolución. Los equipos de cómputo de propiedad de los usuarios externos, o de la empresa que ellos representen, y que previamente hayan sido autorizados a conectarse, no serán matriculados en el dominio de la red de datos de la DIAN.
n) Intercambio irregular de piezas entre equipos de cómputo. Los “usuarios internos” no podrán sustraer ni intercambiar partes ni componentes entre equipos de cómputo.
3. Responsabilidades de los usuarios internos:
a) Cuidado y custodia de los recursos. Durante la jornada laboral y en todo tiempo de uso, corresponde a los “usuarios internos” prestar la debida custodia y cuidado a los bienes y recursos de cómputo asignados, así como precaver riesgos y amenazas de sustracción, destrucción, ocultamiento y/o utilización indebida. Igualmente les corresponde notificar a las áreas competentes- de acuerdo con los procedimientos establecidos por la Entidad- los movimientos, los daños y el funcionamiento defectuoso de los bienes y recursos de cómputo asignados.
b) Uso confidencial de la contraseña. La contraseña, clave o password de acceso, es de carácter estrictamente confidencial, personal e intransferible.
Las contraseñas deben ajustarse a los estándares de la entidad y no debe corresponder a nombres comunes o aspectos fáciles que identifique al usuario. Debe ser cambiada periódicamente o por solicitud.
Si la contraseña fue expuesta, deberá solicitar a la mesa de servicios la aplicación del procedimiento de cambio de contraseña, o si es viable, deberá utilizar la funcionalidad que le ofrezca el sistema de información para el que este hecho represente una amenaza.
En el caso de que los “usuarios internos” revelen su contraseña, clave o password a terceros, quedará el registro de utilización en las bitácoras de los sistemas de información a nombre del titular, por lo que asumirán la responsabilidad por todos los trámites que a su nombre se hayan realizado.
c) Conexión a fuentes de corriente regulada. Todos los “usuarios internos” deberán verificar que los bienes y recursos de cómputo que le han sido asignados, se encuentren debidamente conectados a fuentes de corriente regulada.
d) Informar sobre pérdida de equipos y sus componentes. Toda pérdida de bienes y recursos de cómputo o de alguno de sus componentes, deberá ser informada de manera inmediata por el “usuario interno” que tenga a cargo el equipo, mediante los procedimientos establecidos por la Subdirección de Gestión de Recursos Físicos, o quien haga sus veces. El hecho de informar, no lo exime de la responsabilidad que tiene como cuentadante con la Entidad.
e) Reportar problemas técnicos. Todo problema de orden técnico con los equipos de cómputo, deberá ser reportado a la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces y/o a las personas por ellos autorizadas, a más tardar al día siguiente de la ocurrencia de la falla.
f) Apagar los equipos ante ausencias prolongadas y al final de cada jornada. Los equipos se deberán apagar correctamente en las ausencias superiores a dos (2) horas y al final de la jornada laboral; se exceptúan las máquinas de los operadores, agentes y gestores de los servicios de infraestructura y plataforma tecnológica, así como los de los administradores técnicos de los servicios de información corporativos, quienes deben atender en sesiones de trabajo presencial o remota las situaciones que interrumpen la operación y la disponibilidad del servicio.
g) Canalización de problemas. Todo problema técnico que se le presente a los “usuarios internos” de la DIAN, en la infraestructura y la plataforma corporativa, se deberá reportar una vez se conozca, a la mesa de servicio.
4. Recomendaciones para un mejor uso de los equipos:
a) Mantener cerrados los programas y aplicativos. Todos los “usuarios internos” deberán cerrar los aplicativos o programas del computador que no estén utilizando.
Cuando no estén presentes en su puesto de trabajo de manera transitoria, deberán utilizar la opción de bloquear la sesión informática de trabajo; y en las ausencias por terminación de la jornada laboral, la de apagar el equipo de cómputo. De lo contrario, se expondrán a que terceros accedan, dañen, alteren o usen indebidamente la información o el equipo de cómputo, así como a la suplantación del usuario.
b) Mantener cerradas las ventanas que no están en uso. Para evitar el bloqueo o la lentitud del equipo de cómputo, los “usuarios internos” deberán abrir de manera simultánea muy pocas ventanas de un mismo programa, y cerrar las que sean innecesarias.
c) Mantener la información necesaria. Para el mejor funcionamiento de los equipos de la Entidad, los “usuarios internos” no podrán almacenar música, fotos o videos en ellos.
d) Reproducción de material multimedia. La reproducción de material digital desde los equipos de cómputo, en particular aquellos que utilizan sonido, no deberá perturbar los espacios ni el ambiente laboral de otros “usuarios internos” ajenos al motivo de la reproducción. Se recomienda el uso de audífonos y auriculares que canalicen la recepción del sonido y que impidan que sea escuchado en altavoz.
5. Medidas de seguridad informática:
a) Control de la red e inhabilitación de dispositivos de transmisión de información. Mediante los sistemas de control de la red corporativa, la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, reprogramará los computadores de escritorio de tal forma que se restrinja el uso de puertos de comunicaciones USB, de dispositivos inalámbricos, de unidades de lecto-escritura de discos compactos, y de todas aquellas unidades y dispositivos que determine la reglamentación sobre la seguridad informática corporativa. El uso de tales dispositivos podrá habilitarse siguiendo los procedimientos que establezca la Entidad.
b) Autorización a terceros para conectarse a la red. Los equipos de cómputo de propiedad o tenencia de clientes, visitantes, proveedores, contratistas, socios de negocio, entes públicos o cualquier parte interesada, deberán contar previamente con la debida y expresa autorización de la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, para conectarlos a la red corporativa de la Entidad.
La solicitud de autorización deberá incluir el propósito de la conexión, la duración estimada, y la anotación expresa del compromiso de cumplir las directrices consignadas en esta resolución, suscrita por el propietario o tenedor del equipo de cómputo. Además, deberá estar firmada por el Jefe de la dependencia donde serán utilizados los equipos de cómputo. En cualquier caso, la Entidad no será responsable por daños causados a equipos que no hayan aplicado las medidas mínimas de protección consignadas en esta resolución y las que eventualmente informe la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones.
c) Uso de las áreas compartidas de disco magnético. Los “usuarios internos” deberán evitar la colocación de archivos con información importante o sensible en áreas compartidas de disco magnético. En el evento en que deban hacerlo, acordarán con el destinatario de dicha información, el uso de técnicas de protección de información, según lo previsto en el numeral 6 “Usar métodos de ciframiento y solo lectura” del artículo 4°. “Del manejo de la información”, de esta resolución.
d) Autenticación y validación. Dado el carácter personal del acceso a la red corporativa, la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, podrá validar el uso responsable de las credenciales de acceso de acuerdo con las directrices aquí establecidas.
e) Interconexión de redes. Cuando se requiera establecer conexiones entre la red telemática de una parte interesada y la red corporativa de la Entidad, porque en aquella se instalarán equipos de cómputo desde los cuales trabajarán “usuarios internos”, el administrador de la red y el administrador de la seguridad informática habilitarán la interconexión mediante la utilización de métodos y protocolos que mantengan cifrado el tráfico de datos, y que identifiquen en forma inequívoca a los equipos de cómputo y de telecomunicaciones que intervienen en la instalación.
f) Uso de dispositivos físicos tipo Token. Los bienes y servicios informáticos de la red corporativa, o los productos mixtos que ofrezcan partes interesadas, que incluyan dispositivos físicos de tipo token, serán habilitados para usarse en la red corporativa mediante la asociación con los atributos, propiedades y cualidades de las credenciales de acceso de cada “usuario interno”.
g) Almacenamiento de contraseñas en la infraestructura informática. Las contraseñas deben ser almacenadas en forma cifrada por el administrador de la red. El acceso al archivo de contraseñas debe ser limitado al administrador del sistema.
h) La configuración de la red corporativa. La información relacionada con las configuraciones de la red telemática corporativa es de responsabilidad exclusiva de la Coordinación de Infraestructura. A esta información se le dará el tratamiento de información confidencial.
Artículo 3°. Equipos de cómputo en los “Puntos de Contacto”. Los clientes externos que utilicen los computadores dispuestos en los “Puntos de Contacto” de la DIAN, deberán observar y cumplir las siguientes directrices de uso:
1. Actividades no permitidas:
a) Uso de los equipos con fines personales. Los bienes y recursos de cómputo localizados en los “Puntos de Contacto” estarán destinados a la facilitación del cumplimiento de obligaciones fiscales, y no podrán ser utilizados por los clientes externos, en labores distintas a registrar informaciones de carácter tributario, aduanero y cambiario.
b) Consumo de alimentos, bebidas o tabaco. No se permitirá fumar, ni ingerir alimentos o bebidas, en el área donde se encuentren los bienes y equipos de cómputo que usan los clientes externos en los “Puntos de Contacto”.
c) Modificación de la configuración. No se permitirá a los clientes externos la realización de cambios de configuración física o lógica de los bienes y equipos de cómputo que disponga la Entidad para el uso en los “Puntos de Contacto”.
d) Conexión a redes. No se permitirá a los clientes externos la conexión de dispositivos que habiliten conexiones inalámbricas a redes externas en los computadores de escritorio que se usan en los “Puntos de Contacto”.
e) Conexión de equipos personales a la red corporativa. No se permitirá la conexión de equipos de cómputo de propiedad de los clientes externos, a la red corporativa de los “Puntos de Contacto”.
2. Recomendaciones para un mejor uso de los equipos:
a) Cerrar los programas y aplicativos. Todos los aplicativos o programas del computador, se deberán cerrar si el cliente externo deja de utilizar el equipo o no se encuentra presente en el puesto de trabajo.
b) Canalización de problemas. Todo problema técnico que se le presente a los clientes de la DIAN, en la infraestructura y la plataforma corporativa, lo deberán reportar, una vez se conozca, al personal que les asignó el computador.
Artículo 4°. Del manejo de la información. Los “usuarios internos”, al utilizar los bienes y recursos de cómputo corporativos, deberán observar las siguientes directrices con respecto a la información contenida en los mismos:
1. Mantener en reserva y hacer un uso adecuado de la información. Los “usuarios internos” no podrán divulgar o dar a conocer la documentación e información que por disposición legal o constitucional se deba mantener bajo reserva o confidencialidad y que por razón de su empleo, cargo, obligación o función, conserven bajo su cuidado o a la cual tengan acceso. Igualmente, deberán aplicar las medidas y recomendaciones que señale la Subdirección de Gestión de Información y Telecomunicaciones, o quien haga sus veces, para evitar su sustracción, destrucción, ocultamiento o utilización indebida. Así mismo, se abstendrán de alterarla, falsificarla, ocultarla o borrarla, e impedirán que terceros ejecuten tales acciones sobre la misma.
De conformidad con el cargo y el rol de empleo, para el uso de los servicios informáticos electrónicos, cada “usuario interno” contará con roles informáticos de acceso, los cuales determinarán las acciones que podrán ejecutar al interior del sistema. Los Jefes de cada una de las Dependencias de la Entidad deberán gestionar, de acuerdo con la reglamentación disponible, los roles informáticos de sus “usuarios internos”.
En todo caso, los “usuarios internos” deberán usar de manera responsable la documentación e información que conserven bajo su cuidado o a la cual tengan acceso.
2. Realizar copias de la información. Los “usuarios internos” realizarán de manera periódica copias de resguardo y seguridad de los archivos importantes que para el cumplimiento de sus funciones, obligaciones o responsabilidades, se encuentren en el disco duro del equipo de cómputo que les fue asignado por la Entidad.
Las copias de resguardo y seguridad de la información, deberán hacerse en el “espacio de almacenamiento y resguardo de información” identificado con el nombre de la cuenta de usuario que se encuentra en el computador servidor de archivos dispuesto en los lugares administrativos de la Entidad. La mesa de servicios informará la forma de realizar dichas copias. Si el tamaño de la información es superior a la asignada para el resguardo, entonces los “usuarios internos” deberán solicitar a la mesa de servicios, que se aplique el procedimiento extraordinario de copia de resguardo de información.
3. Usar en forma segura la cuenta de usuario y la contraseña. Los “usuarios internos” tomarán todas las medidas de seguridad necesarias para evitar la exposición de su cuenta de usuario.
Lo anterior teniendo en cuenta que los registros en las bitácoras acerca de quién incorpora, elimina y/o modifica datos en los sistemas de información corporativos se asocia a la cuenta de usuario y ante cualquier investigación que se lleve a cabo por presuntos usos indebidos del sistema de información, podrá entenderse como responsabilidad del tenedor de la cuenta de usuario por el carácter estrictamente confidencial, personal e intransferible de la contraseña, clave o password de acceso.
En todo caso, la Subdirección de Gestión de Tecnología de la Información y Telecomunicaciones, o quien haga sus veces, aplicará las medidas de protección necesarias para evitar accesos no autorizados a estos repositorios.
4. Cerrar o bloquear la sesión durante las ausencias. Los “usuarios internos” cerrarán o bloquearán la sesión informática de trabajo cuando deban ausentarse o alejarse del equipo de cómputo, incluida la hora de almuerzo, con el propósito de prevenir la exposición de la información a accesos de terceros, daño, alteración o uso indebido, así como a la suplantación del usuario original.
5. Hacer limpieza del disco del computador. Los “usuarios internos” examinarán periódicamente las áreas temporales de almacenamiento y limpiarán, borrando los archivos, cuando la información contenida haya pasado a un estado definitivo. Cuando reciban un computador que contenga información de otro usuario de red, el cual no será compartido, deberán solicitar a la mesa de servicio la limpieza.
6. Usar métodos de ciframiento y “solo lectura”. Los “usuarios internos” deberán evitar develar la información corporativa importante o reservada que generan, mediante el uso de los métodos de ciframiento que poseen las herramientas ofimáticas dispuestas por la Entidad. De la misma forma, deberán proteger el contenido previniendo las adulteraciones de la información corporativa que generen mediante el uso de contraseñas que impidan modificaciones a los contenidos de los archivos de datos, o mediante la utilización del formato de documento portátil (PDF), ambos incluidos en las herramientas ofimáticas.
Cuando los documentos cifrados deban preservarse por un tiempo prolongado se deberá considerar el empleo de métodos de criptografía de clave pública (PKI) que admitan la función de ciframiento entre tenedores de certificados digitales.
7. Compartir archivos. Los “usuarios internos” podrán compartir archivos a través de la carpeta pública de su dependencia, solicitando en debida forma al responsable de la gestión y del contenido de dicha carpeta, la publicación del material respectivo. Los “usuarios internos” deberán considerar la pertinencia de aplicar a la información que se publicará lo previsto en el numeral 6 de este artículo. Los interesados en los archivos publicados recibirán la ruta de localización y las instrucciones sobre los métodos de ciframiento y protección utilizados por parte del “usuario interno” autor de la misma.
8. Canalización de problemas. Todo problema técnico que se le presente a los “usuarios internos” de la DIAN, en la consistencia e integridad de la información, se debe reportar una vez se conozca, al administrador funcional de la aplicación.
Artículo 5°. De la entrega de información a terceros. Los responsables de la entrega de información a terceros, deberán cumplir los lineamientos establecida en la Circular número 00001 de 2013 sobre la estandarización de la entrada y salida de información, atendiendo los principios constitucionales y legales, y además las siguientes directrices:
1. Entrega de información. Solo los “usuarios internos” que laboran en dependencias autorizadas mediante acto administrativo o convenio interinstitucional para entrega de información, podrán suministrar información que constitucional o legalmente no tenga el carácter de reservada o confidencial, siguiendo los procedimientos establecidos para la venta o suministro gratuito de la misma.
2. Extracción de información. El procesamiento para la extracción de información de las bases de datos corporativas, será autorizado por el funcionario responsable del proceso institucional que produce o administra la información.
3. Entrega de información por orden judicial. El cumplimiento de las órdenes judiciales de entrega de información estará a cargo del funcionario responsable del proceso institucional que produce o administra la información.
CAPÍTULO III
Del uso, instalación y desinstalación de software
Artículo 6°. Del uso, instalación y desinstalación de software. Los “usuarios internos” deberán observar las siguientes directrices respecto del uso, instalación y desinstalación de software de los computadores de la Entidad:
1. Adquisición de software. Corresponde a la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o de quien haga sus veces, evaluar la construcción, adquisición y asesoramiento en cuanto a software de vanguardia, y a la implementación de las mejores prácticas de la industria en relación a la interfaz de usuario.
2. Software de seguridad. Los equipos de cómputo deberán disponer del software de seguridad y protección (antimalware, antivirus y otros que se apliquen) establecidos por la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o de quien haga sus veces.
3. Autorización de adquisición e instalación de software. Corresponde a la Dirección de Gestión Organizacional, o quien haga sus veces, autorizar la adquisición de software, a cualquier título y tipo de licenciamiento y la construcción y asesoramiento en software de vanguardia con destino a los equipos de cómputo institucionales, con base en el concepto que emita la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o de quien haga sus veces. La instalación y configuración del mismo será realizada exclusivamente por el personal de dicha Subdirección en el Nivel Central, por los responsables de la asistencia tecnológica en las Direcciones Seccionales, y/o por un tercero que se contrate y autorice para tal fin.
4. Administración de licencias y derechos de uso. Es responsabilidad de la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o de quien haga sus veces, administrar los diferentes tipos de licencias de software y vigilar su vigencia.
5. Propiedad del software. Todo el software de desarrollo y de aplicación adquirido por la Entidad a cualquier título que transfiera el dominio, es propiedad de la DIAN y mantendrá los derechos que la Ley de Derechos de Autor le concedan.
6. Inventario de software. La Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, mantendrá un inventario de todos los productos software, adquiridos o desarrollados y que sean propiedad de la DIAN.
7. Autorización uso de software licenciado o “freeware” o “software libre”. En la red telemática corporativa y en los equipos de cómputo, estará permitido el uso de software licenciado por la Entidad y/o aquel software libre que sea expresamente autorizado por la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces.
8. Derechos de autor. La Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, diligenciará los formularios técnicos para el registro del Derecho de Autor sobre el software desarrollado por la Entidad y de las aplicaciones que elaboren terceros contratados por prestación de servicios.
9. Instalación y desinstalación de software. La instalación o desinstalación de software y los dispositivos complementarios en los equipos de cómputo que utilizan los “usuarios internos” de la DIAN, la realizarán los servidores públicos de la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces y/o las personas por ellos autorizadas.
A los equipos de cómputo de usuarios externos autorizados en la Entidad, no se les podrá instalar software de propiedad de la DIAN a menos que cuenten con la respectiva autorización, y deberán contar con un software de protección contra virus y programas maliciosos.
10. Prohibiciones. Está prohibido instalar, ejecutar y/o utilizar programas o herramientas de software o hardware que:
a) Permitan develar y exponer las contraseñas alojadas en las tablas de usuarios de equipos de cómputo local o remoto.
b) Monitoreen la actividad de los sistemas informáticos de equipos locales o remotos. Se excluyen de esta prohibición las herramientas de software y hardware que utilice la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o de quien haga sus veces, con el propósito de administrar la funcionalidad y la seguridad de los recursos informáticos institucionales.
c) Rastreen vulnerabilidades en sistemas de cómputo (hardware o software). Se excluyen de esta prohibición las herramientas y mecanismos que utilice la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o de quien haga sus veces, que implementen una política institucional.
d) Exploten alguna vulnerabilidad de un sistema informático para con ello acceder a privilegios que no han sido explícitamente otorgados por el administrador de la red o de un recurso informático en particular.
e) Tengan el carácter de juegos, pornografía, o que reproduzcan audio o video sin autorización.
f) Permitan el intercambio de información entre equipos, tales como Kazaa® Emule®, Morpheus®, Guntella®, redes P2P, entre otros.
g) Permitan realizar llamadas internacionales. Se excluyen de esta restricción las llamadas que sean de carácter laboral y bajo las herramientas de trabajo colaborativo dispuestas por la Entidad.
11. Usos ilegales, no autorizados, o personales. El software y hardware instalado en los equipos de cómputo de la DIAN no podrá ser utilizado con propósitos ilegales, no autorizados, personales o ajenos a la misión de la Entidad.
12. Copias de seguridad. La Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, es la única dependencia autorizada para realizar copias de seguridad del software licenciado por la Entidad.
13. Canalización de problemas. Todo problema técnico que se le presente a los “usuarios internos” de la DIAN, en el software corporativo, se debe reportar a la mesa de servicio, una vez se conozca.
CAPÍTULO IV
Del uso del servicio de correo electrónico institucional
Artículo 7°. Correo electrónico institucional. El servicio de Correo Electrónico Institucional es una herramienta de apoyo al cumplimiento de las obligaciones, las funciones y responsabilidades de los “usuarios internos” de la DIAN y en tal virtud, su uso debe sujetarse a las siguientes directrices:
1. Lineamientos generales:
a) Responsabilidad sobre el uso de la cuenta y del contenido del buzón. Los “usuarios internos” son completamente responsables de todas las actividades realizadas con su cuenta de acceso al servicio y del contenido del buzón de correo electrónico suministrado por la Entidad. Igualmente serán responsables por salvaguardar de manera local los mensajes de correo electrónico que consideren de vital importancia para el cumplimiento de sus funciones, obligaciones y responsabilidades.
Toda la información contenida en estos buzones se considera de carácter institucional y debe estar siempre a disposición de la Entidad.
b) Acceso al correo electrónico. Se podrá acceder a través del agente de correo electrónico instalado en los equipos de cómputo o del navegador habilitado para el uso de servicios web.
c) Monitor de los mensajes. Los mensajes de correo electrónico institucional serán monitoreados mediante las herramientas disponibles en la infraestructura y la plataforma informática corporativa.
d) Backup de los mensajes. La Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, efectuará y mantendrá copia, obtenida mediante el procedimiento de backup de los buzones de correo del servicio de correo electrónico contenidos en el servidor de mensajería. Esta copia será utilizada con fines de investigación o para responder requerimientos de autoridades judiciales, administrativas o entes de control.
e) Uso de correo electrónico a través de dispositivos móviles. Los servidores públicos de la Entidad que utilicen el servicio de correo electrónico desde un dispositivo móvil, deberán incluir copia al buzón de documentos electrónicos para conservación de sus mensajes salientes, o a su cuenta de correo electrónico institucional.
f) Correo institucional. El servicio de Correo Electrónico de la DIAN, por ser un bien intangible de la Nación, debe ser empleado únicamente para enviar y recibir mensajes de orden institucional. En consecuencia, no podrá ser utilizado con fines personales, económicos, comerciales y/o cualquier otro uso ajeno a los propósitos de la Entidad.
g) Identificación en el correo electrónico institucional. En el contenido de los mensajes de correo electrónico institucionales, se deberá identificar a la persona que lo envía, la dependencia, la Oficina o la Dirección de Gestión o Seccional a la que pertenece y la extensión telefónica. Esta medida debe aplicarse para el envío y el reenvío de mensajes.
2. Usos no permitidos:
a) Comunicación no corporativa. Los “usuarios internos” no podrán facilitar ni ofrecer su cuenta de correo electrónico institucional con propósitos distintos a la comunicación corporativa.
b) Fines económicos o comerciales. No está permitida la utilización de los buzones de correo electrónico institucional con fines personales, económicos, comerciales y/o cualquier otro ajeno a los propósitos de la Entidad.
c) Suscripciones con fines promocionales o publicitarios. La Cuenta de Correo Electrónico Institucional no podrá ser revelada por los “usuarios internos” al suscribirse a páginas o sitios públicos en Internet como: publicidad, compras, deportivos, agencias matrimoniales, casinos, páginas de pornografía o a cualquier otra actividad ajena a los fines de la DIAN.
d) Material digital. La cuenta de correo electrónico institucional no podrá ser utilizada para enviar o recibir música, programas, material pornográfico, fotografías, videos o cualquier otro material digital ajeno a la función, obligación o responsabilidad del “usuario interno”.
e) Cadenas de mensajes. No se permitirá el envío y/o reenvío de mensajes en cadena por la cuenta de correo electrónico institucional.
f) Envíos masivos. No se podrán enviar mensajes masivos o en grupos a los “usuarios internos” de la Entidad, a menos que se trate de lo dispuesto en el literal b) del numeral 3 de este artículo.
g) Contenidos en los mensajes. Los “usuarios internos” no deberán enviar mensajes de correo electrónico con contenidos hostiles que molesten a los receptores de los mismos, ni comentarios sobre sexo, raza, política partidista, religión o preferencias sexuales, con asuntos de carácter personal o de caridad.
Tampoco podrán comprometer en los correos electrónicos, la imagen de la DIAN.
Cuando un servidor público de la Entidad reciba el tipo de mensajes que se señalan en este literal, deberá comunicarlo a su jefe inmediato y a la autoridad competente, de acuerdo con lo previsto en el numeral 24 del artículo 34 de la Ley 734 de 2002 “Código Disciplinario Único”.
h) Derechos de autor. Al redactar mensajes, los “usuarios internos” deberán respetar los derechos morales, patrimoniales y de propiedad intelectual de terceros.
i) Conservación de información corporativa. En los “buzones de documentos electrónicos para conservación”, no podrán almacenarse documentos digitales, ni mensajes diferentes a los reglamentados por el área responsable de la conservación de la documentación corporativa.
3. Uso adecuado del correo electrónico institucional:
a) Destinatarios de los mensajes. El envío de mensajes deberá realizarse únicamente a los destinatarios que estrictamente estén llamados a recibirlos, en especial aquellos a los que se adjuntan archivos de datos.
b) Envíos masivos. El Director General y la Oficina de Comunicaciones, están facultados para enviar mensajes a todos los “usuarios internos” de la Entidad a través del correo electrónico institucional. De igual manera están facultados para hacer este tipo de envíos, quienes cumplan lo previsto en el literal j) de este numeral. En todos los casos, se utilizarán los métodos definidos por la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o por quien haga sus veces.
c) Revisión del buzón, almacenamiento y eliminación de mensajes. Los buzones del Correo Electrónico Institucional localizados en el computador, servidor de mensajería, deberán ser revisados periódicamente por el empleado responsable del buzón. Estos recipientes están destinados para recibir información mientras es recogida por el agente de correo electrónico que utiliza el destinatario del mensaje, y no para almacenarla indefinidamente.
En todo caso, es obligación de cada empleado, mantener espacio disponible en los buzones a su cargo, para garantizar la recepción de mensajes.
Cuando el perfil de utilización de buzón requiera de una cuota de espacio mayor a la asignada inicialmente, el responsable del buzón podrá solicitar su ampliación con el visto bueno del jefe del área donde se encuentre ubicado.
La Subdirección de Gestión de Tecnología de Información y Telecomunicaciones reglamentará el tiempo de permanencia de los mensajes dentro del sistema de mensajería electrónica institucional y el procedimiento de limpieza de los recipientes de cada uno de los buzones que aloja.
d) Las copias de resguardo. Las copias de resguardo y seguridad de la información enviada o recibida deberá hacerse en las carpetas del agente de correo electrónico, o en el disco duro del computador, o en el espacio de almacenamiento y resguardo asignado en el computador servidor de archivos de los usuarios (identificado con el nombre de la cuenta de usuario) que forma parte de la red corporativa.
e) Tamaño del buzón. El buzón asignado en el computador servidor de mensajería electrónica tendrá limitado su tamaño de tal manera que cuando se ocupe completamente, no podrá recibir o enviar mensajes de correo, hasta que el “usuario interno” depure, borre o guarde sus mensajes en otro lugar, por ejemplo en el “espacio de almacenamiento y resguardo de información de una cuenta de usuario”.
f) Verificación de mensajes. Todos los archivos enviados o recibidos deberán ser verificados previamente con las herramientas licenciadas por la DIAN para reducir el riesgo de distribución de mensajes con contenidos malware o de mensajes “basura”.
g) Mensajes sospechosos. Todo mensaje sospechoso respecto de su remitente o contenido deberá ser ignorado y eliminado sin abrirlo, ya que puede contener software malintencionado, en especial si contiene archivos adjuntos (attachments) con extensiones .exe, .bat, .prg, .bak, .pif, o que tengan explícitas referencias eróticas o alusiones a personajes famosos o phishing.
h) Mensajes spam o hoax. Todo mensaje Spam o Hoax debe ser borrado, eliminado, calificado como correo no deseado y nunca respondido.
i) Impresión de mensajes. Sólo deberán imprimirse los mensajes importantes que así lo requieran, ya que una de las ventajas y fines del servicio de correo electrónico institucional, es la transmisión electrónica de información con ahorro de papel.
j) Creación de listas de distribución. Para facilitar el uso del correo electrónico y el envío de mensajes, se crearán listas de distribución a solicitud de los Jefes de las áreas, dependencias y procesos de la Entidad, las cuales deberán ser presentadas a la mesa de servicios, cumpliendo los requisitos previstos para tal fin por la Dirección de Gestión Organizacional. El solicitante asignará un responsable de la actualización de los miembros de la lista y de la eliminación de la misma.
k) El reenvío de mensajes de correo electrónico. La opción de reenvío de mensajes del correo electrónico, en especial de aquellos que incluyen archivos de datos adjuntos, deberá usarse con prudencia para no congestionar la red corporativa y consumir el espacio de almacenamiento de mensajes asignado a los destinatarios. Si se requiere conservar la información del mensaje, se deberá utilizar el “Buzón de documentos electrónicos para conservación”, o el método alternativo para adjuntar voluminosos archivos de datos a un mensaje de correo electrónico que señala el numeral 7 del artículo 4° de esta resolución.
l) La respuesta de mensajes de correo electrónico. La opción de respuesta de mensajes de correo electrónico, en especial de aquellos que incluyen archivos de datos adjuntos, deberá usarse adjuntando el cuerpo del mensaje que responde. Si se requiere conservar la información del mensaje, se deberá utilizar el “Buzón de documentos electrónicos para conservación” o el método alternativo a adjuntar voluminosos archivos de datos a un mensaje de correo electrónico que señala el numeral 7 del artículo 4° de esta resolución.
En todo caso, se deberá usar con prudencia la elección de “responder solo al remitente iniciador del mensaje” o “responder a todos los destinatarios del mensaje dispuestos por el iniciador” evitando congestionar la red corporativa y consumir el espacio de almacenamiento de mensajes asignado a los destinatarios.
m) Canalización de problemas. Todo problema técnico que se le presente a los “usuarios internos” de la DIAN, en la plataforma de correo electrónico institucional, se deberá reportar, una vez se conozca, a la mesa de servicio.
Parágrafo. Al crear las cuentas de Correo Electrónico Institucional, la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, establecerá criterios de restricción, de acuerdo con las funciones, obligaciones o responsabilidades del usuario, a efectos de: racionalizar la capacidad del buzón; delimitar la posibilidad de enviar mensajes colectivos o a distintos grupos, orígenes o destinatarios; almacenar copias de los mensajes enviados y recibidos; entre otras medidas.
CAPÍTULO V
Del uso institucional de servicios web y de la conexión a Internet
Artículo 8°. Conexión institucional a Internet. El servicio de conexión a Internet suministrado por la DIAN es una herramienta de apoyo al cumplimiento de las funciones, obligaciones y responsabilidades de sus “usuarios internos”; por lo tanto, al utilizarlo, deberán observar y cumplir las directrices que a continuación se describen:
1. Publicación en el portal. La información y documentos que se publiquen en el portal Internet de la DIAN, deberán cumplir con el procedimiento establecido en la Orden Administrativa 0000002 de febrero 24 de 2010, o el acto administrativo que la modifique o la sustituya y que para el efecto esté vigente, sin perjuicio de las normas de Derechos de Autor.
2. Uso de Internet. El servicio de Internet Institucional únicamente podrá ser utilizado para el desarrollo de actividades directamente relacionadas con el cumplimiento de la misión de la DIAN y las funciones, obligaciones y responsabilidades de sus “usuarios internos”.
3. Conexión a Internet. La conexión a la Internet no podrá realizarse directamente desde una línea telefónica, dispositivos inalámbricos u otros dispositivos para acceso, salvo expresa autorización de la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o de quien haga sus veces.
4. Usos no permitidos. El servicio de conexión a la Internet Institucional, no podrá ser utilizado para:
a) Enviar o recibir archivos en cualquier formato digital, con contenidos insultantes, ofensivos, injuriosos, obscenos o violatorios de los derechos de autor.
b) Enviar o bajar archivos en cualquier formato digital, no propios del cumplimiento de los propósitos institucionales o de las funciones, obligaciones y responsabilidades de sus “usuarios internos”.
c) Escuchar música o ver videos conectándose directamente al sitio en Internet que provee este servicio, o mediante el acceso directo a un equipo de la red local institucional.
d) Bajar, instalar o ejecutar archivos o software de procedencia desconocida.
e) No podrán ser utilizados para descargar archivos los servicios de Grupos de Noticias, Canales de Conversación (Chat) o de Mensajería Instantánea (como MSN Messenger, Yahoo Messenger, Netscape o AOL Messenger, entre otros) o de redes compartidas como kazaa, morpheus, bearshare, y similares.
f) No se permitirá el uso de Chat institucional con fines personales, ni acceder a sitios de pornografía, juegos o apuestas.
g) Desde los equipos de cómputo de la DIAN estará restringido el acceso a Redes Sociales (facebook, twitter, youtube y similares). No obstante, a solicitud del Jefe del Área del usuario que requiera el acceso, y con la debida justificación, la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, podrá autorizar su acceso.
5. Cerrar la sesión al terminar de navegar. Cuando el “usuario interno” no se encuentre navegando, los programas de navegación por la Internet institucional deberán permanecer cerrados o desconectados.
6. Monitor y medición del uso del servicio. La Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, tendrá la facultad de ser el monitor del contenido de la información que cargue o que descargue o que le exhiba el sitio web que visita el usuario. Del monitor de la información, se podrán tomar y almacenar mediciones y procesar estadísticas del uso del servicio.
7. Acceso a sitios web. Está permitido el acceso sin restricción a sitios web cuyo nombre incluye los sufijos “*.gov.co”, “*.edu.co” y “*.mil.co”, o que se deriven de las descripciones hechas en el numeral 4 del artículo 8° de esta resolución.
Si al intentar el acceso a sitios web se manifiesta alguna restricción impuesta por los filtros de contenido, y se considera importante el acceso para los “usuarios internos”, se deberá efectuar la solicitud a la mesa de servicios, para que se evalúe la aplicación del ajuste al procedimiento de filtrado.
8. Canalización de problemas. Todo problema técnico que se le presente a los “usuarios internos” de la DIAN, en la plataforma corporativa de Internet, se deberá reportar una vez se conozca, a la mesa de servicio.
Parágrafo. La Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, es la responsable de administrar la conexión y el servicio de Internet institucional, por lo tanto está habilitada para limitar el acceso a determinadas páginas de Internet, los horarios de conexión, los servicios ofrecidos por la red y la descarga de archivos ajenos a los fines institucionales.
Artículo 9°. Uso prohibido de los servicios web institucionales. La infraestructura y la plataforma web de la DIAN, no podrán ser usadas en situaciones como las que se describen a continuación:
1. Uso comercial. Para beneficio o ganancia propia.
2. Suplantación de identidad. Para presentarse como otra persona.
3. Solicitar información irregular. Para solicitar información no relacionada con el cumplimiento de las funciones de la Entidad.
4. Publicar información ajena. Para copiar o poner información de terceras partes, sin permiso.
5. Publicar opiniones inapropiadas. Para expresar opiniones personales respecto a clientes o partes interesadas de la DIAN.
6. Publicar información privada. Para proveer información privada o confidencial de los empleados de la DIAN, a otras personas o instituciones.
7. Publicidad comercial o mercantil. Para solicitudes comerciales ajenas a la misión de la DIAN.
8. Ataques cibernéticos. Cuando se consumen los recursos computacionales y de telecomunicaciones de la DIAN para impedir o interferir en el trabajo de sus “usuarios internos” o de computadores servidores o de escritorio de la Entidad o de clientes o partes interesadas, o para penetrar inadvertidamente en infraestructuras de computación o comunicaciones de la DIAN o de clientes o partes interesadas, o para sustraer o copiar sin autorización archivos e informaciones electrónicas.
9. Publicar información corporativa confidencial. Para colocar información confidencial o reservada de la DIAN, dentro o fuera de los sistemas autorizados.
10. Publicar información perjudicial a la DIAN. Para bajar o subir información cuyo contenido pueda causar demandas legales a la DIAN, o crear una imagen negativa a su reputación. Esto incluye material con declaraciones despectivas de tipo racial, sexual, político partidista o religioso; material con imágenes, gráficas o lenguaje ofensivo, o que desacredite políticas públicas, o material prohibido por la ley.
Artículo 10. DIANNet. Es el espacio virtual exclusivo de la DIAN, donde encuentran toda la información, servicios interactivos, novedades, normas, publicaciones y los acontecimientos más importantes que suceden en la Entidad. La publicación de información por este canal, deberá hacerse aplicando las “Políticas de comunicación organizacional” del Código de Buen Gobierno, y la reglamentación pertinente.
CAPÍTULO VI
Disposiciones finales
Artículo 11. Capacitación. La Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, o quien haga sus veces, en conjunto con la Subdirección de Gestión de Personal, o quien haga sus veces, y de la Coordinación Escuela de Impuestos y Aduanas Nacionales, o quien haga sus veces, desarrollará cursos, jornadas o acciones de entrenamiento para los “usuarios internos” de la DIAN, los cuales incluirán la totalidad de las directrices de que trata la presente resolución.
Artículo 12. Sanciones.
1. La inobservancia o el incumplimiento de las directrices establecidas en los artículos anteriores, tendrán los efectos y sanciones que las normas penales, fiscales o disciplinarias señalen, las cuales serán impuestas por la autoridad competente.
2. Cualquier violación a las “Políticas de control y manejo de la información y la comunicación” del Código de Buen Gobierno de la DIAN, y a las directrices de seguridad de esta resolución, deberá ser informada a la Subdirección de Gestión de Control Disciplinario Interno o quien haga sus veces, de acuerdo con lo dispuesto en la Ley 734 de 2002 “Código Disciplinario Único” o las normas que la modifiquen o deroguen.
Artículo 13. Mejoramiento. Todas las acciones en las que se comprometa la seguridad de la red informática de la DIAN y que no estén previstas en esta resolución, deberán ser informadas al (a) Director (a) General, por parte de la Dirección de Gestión Organizacional, la Subdirección de Gestión de Tecnologías Información y Telecomunicaciones, la Oficina de Control Interno y por la Subdirección de Gestión de Control Disciplinario Interno, o las que hagan sus veces, para efectos de que a través de un acto administrativo de carácter general se expida la regulación a que haya lugar.
Artículo 14. Verificación. Cuando el (la) Jefe de una Dependencia de la Entidad reciba un nuevo “usuario interno” como integrante de su equipo de trabajo, le entregará para su conocimiento copia electrónica de la presente resolución y le solicitará constancia de su lectura.
Artículo 15. Divulgación. Durante el mes siguiente a la fecha de publicación del presente acto administrativo, la Subdirección de Gestión de Tecnología de Información y Telecomunicaciones, en coordinación con la Oficina de Comunicaciones, o las que hagan sus veces, establecerán una estrategia para informar y divulgar a todos los empleados de la Entidad, el contenido de esta resolución.
Parágrafo. Los controles al cumplimiento de esta resolución serán aplicables a partir del mes siguiente a su divulgación.
Artículo 16. Derogatoria. La presente resolución deroga las Resoluciones 7652 de 2000, 5011 de 1998 y las demás que le sean contrarias.
Artículo 17. Vigencia. La presente resolución rige a partir de la fecha de su publicación.
Publíquese, divúlguese y cúmplase.
Dada en Bogotá D. C., a los 24 días del mes de enero de 2013.
El Director General,
Juan Ricardo Ortega López.
Publicada en D.O. 48.687 del 28 de enero de 2013.