Manual de Políticas y Normas de Seguridad Informática

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 27

MAN U AL D E PO LÍTICAS Y N O RMAS D E

SEG U RID AD IN FO RMÁTICA

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 1/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

ÍNDICE

INTRODUCCIÓN ................................................................................................................................................. 3

INTERPRETACIÓN ............................................................................................................................................. 5

VIGENCIA ............................................................................................................................................................ 6

ALCANCE ............................................................................................................................................................ 6

OBJETIVO............................................................................................................................................................ 7

GLOSARIO........................................................................................................................................................... 8

1. SEGURIDAD ORGANIZACIONAL................................................................................................................ 11
1.1. POLÍTICAS GENERALES DE SEGURIDAD. .............................................................................. 11
Del Departamento de Redes y Comunicaciones.................................................................. 11
Del Departamento de Soporte Técnico................................................................................. 12
Del Personal ........................................................................................................................... 13
Capacitación de usuarios. ...................................................................................................... 13
1.2. CLASIFICACIÓN Y CONTROL DE ACTIVOS............................................................................. 13
Responsabilidad por los activos. ........................................................................................... 13
Clasificación de la información .............................................................................................. 14
1.3. RESPUESTA A INCIDENTES Y ANOMALÍAS DE SEGURIDAD .............................................. 15
2. SEGURIDAD LEGAL ..................................................................................................................................... 16
2.1 DERECHOS DE PROPIEDAD INTELECTUAL............................................................................ 16
2.2. REVISIÓN DE POLÍTICAS DE SEGURIDAD Y CUMPLIMIENTO ............................................ 17
3. SEGURIDAD LÓGICA ................................................................................................................................... 18
3.1. CONTROL DEL ACCESO A USUARIOS DE LA RED INSTITUCIONAL DEL INBAL .............. 18
3.2. ADMINISTRACIÓN DEL ACCESO A USUARIOS A LOS SERVICIOS INFORMÁTICOS DEL
INBAL ...................................................................................................................................... 18
Normativa del uso de correo electrónico. ............................................................................. 20
Usos aceptables de los servicios de Internet. ....................................................................... 21
Acceso a sitios y contenidos no autorizados. ........................................................................ 21
3.3. CONTROL DE ACCESO A LA RED. ........................................................................................... 22
3.4. CONTROL DE ACCESO A LAS APLICACIONES ...................................................................... 23
3.5. MONITOREO DEL ACCESO Y USO DEL SISTEMA ................................................................. 23
3.6. PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS.................................................................... 24
3.7. PROTECCIÓN CONTRA SOFTWARE MALICIOSO ................................................................. 24
3.8. MANTENIMIENTO DE SISTEMAS Y EQUIPO DE CÓMPUTO ................................................. 25
3.9. SEGURIDAD EN EL MANEJO DE LOS MEDIOS DE ALMACENAMIENTO ............................. 26

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 2/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

INTRODUCCIÓN.

La base para que cualquier organización pueda operar de forma confiable en materia de
seguridad informática, comienza con la definición de las políticas.

La seguridad informática es una función en la que se deben evaluar y administrar los


riesgos basándose en políticas que cubran las necesidades del INBAL en materia de
seguridad.

El documento que se presenta, pretende ser el medio de comunicación en el cual se


establecen las reglas, normas y controles que regulen la forma en que la Institución,
prevenga, proteja y maneje los riesgos de seguridad en diversas circunstancias.

Las políticas expuestas en este documento sirven de referencia, en ningún momento


pretenden ser normas absolutas, las mismas están sujetas a cambios realizables en
cualquier momento, siempre y cuando se tengan presentes los objetivos de seguridad.

Los recursos de comunicación del Instituto Nacional de Bellas Artes y Literatura (INBAL),
están disponibles para fortalecer el flujo de información interna, la investigación en
materia cultural, educativa y administrativa, así como el servir de apoyo en las diferentes
tareas encomendadas para el mejoramiento de nuestras labores. Por lo tanto, todos los
usuarios de los recursos y de la red institucional, están sujetos a las políticas y a los
términos de este documento, y a mantener una actuación con altos principios morales y
éticos.

Toda persona que utilice los servicios que ofrece la red institucional del INBAL, deberá
conocer y aceptar todo lo establecido en este documento sobre su uso, el
desconocimiento del mismo, no exonera de responsabilidad al usuario ante cualquier
eventualidad que involucre la seguridad de la información o de la red institucional del
INBAL.

En términos generales, el documento engloba los procedimientos más adecuados


tomando como lineamientos principales cuatro criterios:

Seguridad organizacional:
Dentro de este, se establece el marco formal de seguridad que debe sustentar la
Institución, incluyendo servicios o contrataciones externas a la infraestructura de

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 3/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

seguridad, integrando el recurso humano con la tecnología, denotando responsabilidades


y actividades complementarias como respuesta ante situaciones anómalas a la seguridad.

Seguridad legal:
Integra los requerimientos de seguridad que deben cumplir todos los empleados y
usuarios de la red institucional del INBAL, bajo la reglamentación de la normatividad
interna de políticas y manuales de procedimientos del INBAL en cuanto al recurso
humano, sanciones aplicables ante faltas cometidas, así como cuestiones relacionadas
con la legislación del país y contrataciones externas.

Seguridad física:
Identifica los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad,
de forma que se puedan establecer controles en el manejo de equipos, transferencia de
información y control de los accesos a las distintas áreas con base en la importancia de
los activos.

Seguridad lógica:
Trata de establecer e integrar los mecanismos y procedimientos, que permitan monitorear
el acceso a los activos de información, que incluyen los procedimientos de administración
de usuarios, definición de responsabilidades, perfiles de seguridad, control de acceso a
las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en
la configuración de los equipos, manejo de incidentes, selección y aceptación de
sistemas, hasta el control de software malicioso.

Cada uno de los criterios anteriores, sustenta un entorno de administración de suma


importancia para la seguridad de la información dentro de la red institucional del INBAL.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 4/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

INTERPRETACIÓN

Los niveles de seguridad fueron organizados constatando un enfoque objetivo de la


situación real de la Institución, desarrollando cada política con sumo cuidado sobre qué
activo proteger, de qué protegerlo, cómo protegerlo y por qué protegerlo. Los mismos se
organizan siguiendo el esquema normativo de seguridad ISO 17799 (mejores prácticas de
seguridad) y que a continuación se presenta:

� Nivel de Seguridad Organizativo:


� Seguridad Organizacional
� Políticas Generales de Seguridad
� Clasificación y Control de Activos
$ Responsabilidad por los Activos
$ Clasificación de la Información
� Seguridad Ligada al Personal
$ Respuesta a Incidentes y Anomalías de Seguridad

� Nivel de Seguridad Legal:


� Seguridad Legal
� Conformidad con la Legislación
� Cumplimiento de requisitos Legales
� Revisión de Políticas de Seguridad y Cumplimiento Técnico

� Nivel de Seguridad Física y lógica:


� Control de Accesos
� Administración del Acceso de Usuarios
� Control de Acceso a la Red
� Control de Acceso a las Aplicaciones
� Monitoreo del Acceso y Uso del Sistema

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 5/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

VIGENCIA

El documento presentado entrará en vigor desde el momento en que éste sea aprobado
como documento técnico de seguridad informática por el Comité de Mejora Regulatoria, el
cual deberá ser revisado y actualizado conforme a las exigencias y necesidades del
instituto.

ALCANCE

El ámbito de aplicación del manual de normas y políticas de seguridad informática, es la


infraestructura tecnológica y entorno informático de la red institucional del INBAL.

En ente que garantizará la ejecución y puesta en marcha de la normativa y políticas de


seguridad, es la Dirección de Servicios Informáticos (DSI), siendo el responsable de la
supervisión y cumplimiento el Órgano Interno de Control.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 6/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

OBJETIVO

Brindar la información necesaria a los usuarios del Instituto, sobre las normas y
mecanismos que deben cumplir y utilizar para proteger el hardware y software de la red
institucional del INBAL, así como la información que es procesada y almacenada en estos.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 7/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

GLOSARIO

Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de


una persona física o moral. En el ambiente informático, llámese activo a los bienes
de información y procesamiento que posee la institución.

Amenaza: Evento que puede desencadenar un incidente en la organización, produciendo


daños materiales o pérdidas inmateriales en sus activos.

Archivo Log: Ficheros de registro o bitácoras de sistemas en los que se recoge o anota
los pasos que dan (lo que hace un usuario, como transcurre una conexión, horarios
de conexión, terminales o IP=s involucradas en el proceso, etc.)

Ataque: Evento exitoso o no, que atenta sobre el buen funcionamiento del sistema.

Conectividad: Conexión entre medios (fibra óptica, microondas, satélite, par trenzado) y
equipos para brindar la transmisión de voz, datos, imágenes y videoconferencias.

Confidencialidad: Proteger la información de su revelación no autorizada. Esto significa


que la información debe estar protegida de ser copiada por cualquiera que no esté
explícitamente autorizado por el propietario de dicha información.

Cuenta: Mecanismo de identificación de un usuario, llámese de otra manera, al método


de acreditación o autenticación del usuario mediante procesos lógicos dentro de un
sistema informático.

Desastre o Contingencia: Interrupción de la capacidad de acceso a información y


procesamiento de la misma, a través de computadoras necesarias para la operación
normal de la organización.

Disponibilidad: Que los recursos de información sean accesibles, cuando estos sean
necesitados.

DNS (Domain Name System): Sistema cuya función principal es la de identificar la


dirección IP a partir del nombre del dispositivo al que se requiere acceder.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 8/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

Encriptación: Es el proceso mediante el cual cierta información o Atexto plano@ es


cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos
necesarios para su interpretación.

Es una medida de seguridad utilizada para que al momento de almacenar o transmitir


información sensible, ésta no pueda ser obtenida con facilidad por terceros.

FTP (File Transfer Protocol): Protocolo y software que permite la transferencia de


archivos entre máquinas conectadas a una red.

Integridad. Proteger la información de alteraciones no autorizadas por la organización.

INTERNET: Es una red de redes de computadoras conectadas a nivel mundial y se


emplea para el intercambio de información y el acceso a las bases de datos.

Impacto: Consecuencia de la materialización de una amenaza.

IP address: Secuencia de números que se utiliza para asignar una ubicación a nivel
lógico y cuya administración a nivel mundial le corresponde a comisiones
especializadas.

ISO (Organización Internacional de Estándares): Institución mundialmente reconocida y


acreditada para normar en temas de estándares en una diversidad de áreas,
aceptadas y legalmente reconocidas.

Normativa de Seguridad ISO/IEC 17799: (Código de buenas prácticas, para el manejo


de seguridad de la información) Estándar o norma internacional que vela por que se
cumplan los requisitos mínimos de seguridad, que propicien un nivel de seguridad
aceptable y acorde a los objetivos institucionales, desarrollando buenas prácticas
para la gestión de la seguridad informática.

Red: Conjunto de computadoras y elementos interconectados que permiten una


comunicación entre sí y forman parte de un mismo ambiente.

Responsabilidad: En términos de seguridad, significa determinar qué individuo en la


institución, es responsable directo de mantener seguros los activos de cómputo e
información.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 9/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

Riesgo: Posibilidad de que se produzca un impacto determinado en un activo, en un


dominio o en toda la institución.

Soporte Técnico: Personal designado o encargado de velar por el correcto


funcionamiento de las estaciones de trabajo, servidores o equipo de oficina dentro de
la institución.
TCP/IP (Transfer Control Protocol/Internet Protocol): Son los protocolos de INTERNET
más conocidos que garantizan la transmisión confiable de la información.

Usuario: Defínase a cualquier persona moral o física, que utilice los servicios informáticos
de la red institucional del INBAL y tenga una especie de vinculación académica,
artística o laboral con la institución.

Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza sobre un


activo.

WWW (World Wide Web): Término aplicado a la red mundial de información y páginas
electrónicas que integran diferentes facilidades al usuario como son: hipertexto,
imágenes, sonidos, videos, textos y gráficos.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 10/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

1. SEGURIDAD ORGANIZACIONAL.

1.1. POLÍTICAS GENERALES DE SEGURIDAD.

Del Departamento de Redes y Comunicaciones.

Art. 1. Normar el correcto uso de los servicios de Internet y correo electrónico en el


INBAL.

Art. 2. Establecer las medidas y mecanismos de control, monitoreo y seguridad, tanto


para los accesos a páginas o sitios de Internet, como para los mensajes de correo con
contenidos u orígenes sospechosos.

Art. 3. Que las conexiones a Internet cuenten con elementos de prevención, detección
de intrusos, filtros contra virus, manejo de contenidos, entre otros, que afectan la
integridad de los sistemas y la información institucionales.

Art. 4. Reducir el tráfico de mensajes, paquetes o transacciones no permitidos, que


saturan la infraestructura de telecomunicaciones y generan actividad innecesaria en los
servidores.

Art. 5. De acuerdo a la demanda de servicios, establecer prioridades, dando la más


alta a las actividades consideradas esenciales para fomentar la educación y las artes,
objetivo primordial del INBAL.

Art. 6. Controlar, suspender o revocar los códigos de acceso a cualquier usuario que
haga mal uso de los recursos, viole las políticas de seguridad o interfiera con los derechos
de otros usuarios.

Art. 7. Asignar la capacidad de memoria de almacenamiento a cada usuario, en


función del perfil establecido y la disponibilidad del recurso en los servidores que
administra la DSI.

Art. 8. Contratar enlaces o servicios de conectividad a Internet, ya sea directamente o


vía terceros, por lo que queda restringido a cualquier otra área de la Institución obtener y
utilizar enlaces y servicios que permitan la interconexión de las redes del INBAL hacia el
exterior. La DSI es la única autorizada dentro del Instituto para realizar o autorizar ese tipo
de contrataciones, esto podrá hacerlo atendiendo a necesidades especiales por cuenta de

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 11/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

las áreas, certificando la incorporación de las medidas de control y seguridad en los


enlaces.
Art. 9. Establecer las normas de construcción y arquitectura de los sitios de Intranet,
que optimicen el acceso a los servicios y la información disponible para los usuarios.

Art. 10. Administrar y asignar todas las direcciones IP del INBAL, así como los
dominios y subdominios asignados al INBAL y a los servidores encargados de su
resolución.

De los administradores de red.

Art. 1. Configurar los servidores de correo electrónico e Internet y de los equipos de


cómputo en general.

Art. 2. Instalar y actualizar los antivirus y sistemas operativos, así como tener al día en
los en servidores asignados, las actualizaciones y Aparches@ de programas
institucionales licenciados y autorizados.

Art. 3. Llevar un registro y control de las direcciones IP de los equipos conectados a la


red con acceso a Internet y la información de los usuarios, así como notificar al
Departamento de Redes y Comunicaciones de las altas y bajas de usuarios para los
servicios de correo electrónico e Internet.

Art. 4. Proporcionar al Departamento de Redes y Comunicaciones la documentación


actualizada de la red local: planos de cableado, ubicación del equipo y relación de las
asignaciones de direcciones IP.

Art. 5. Administrar los servicios locales de red como son www, correo electrónico,
servidor de FTP y servidores de aplicaciones en red.

Art. 6. Solucionar fallas menores como son: cables desconectados, pérdida de


suministro de energía eléctrica en los equipos de datos, desconfiguración de las
computadoras de los usuarios o direcciones IP repetidas.

Art. 7. Supervisar el cumplimiento de las políticas y lineamientos institucionales.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 12/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

Del Departamento de Soporte Técnico.

Art. 1. Brindar mantenimiento preventivo y/o correctivo únicamente al equipo que


cuente con número de inventario, o se encuentre en comodato, debiendo en este último
caso enviar a la DSI copia del contrato correspondiente.

Art. 2. Realizar respaldos diarios de la información contenida en los servidores del


Instituto.

Del Personal.

Art. 1. El empleado no tiene ningún derecho sobre la información que procese dentro
de las instalaciones de la red institucional del INBAL.

Art. 2. La información que maneja o manipula el empleado, no puede ser divulgada a


terceros o fuera del ámbito laboral.

Art. 3. El usuario se norma por las disposiciones de seguridad informática del INBAL.

Art. 4. Conocer y obedecer las políticas de seguridad establecidas en el presente


documento, las cuales, una vez aprobadas se publicarán para su divulgación en la página
institucional del INBAL
(www.bellasartes.gob.mx/INBA/sites/admin/normateca/politicas.html).

Capacitación de usuarios.

Art. 1. La DSI capacitará a los enlaces informáticos en cuestiones de seguridad


informática, basándose en lo establecido en el presente documento.

Art. 2. La DSI proporcionará las fechas en que se impartirán las capacitaciones.

Art. 3. El material de apoyo (manuales, guías, etc.) será entregado minutos antes de
iniciar la capacitación.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 13/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

1.2. CLASIFICACIÓN Y CONTROL DE ACTIVOS

Responsabilidad por los activos.

Art. 1. Los titulares y administradores de los centros de trabajo del INBAL, son
responsables de los activos que se encuentran bajo su resguardo.

Art. 2. Los jefes de cada departamento del INBAL, son responsables de mantener o
proteger los activos de mayor importancia.

Clasificación de la información.

Art. 1. Cada jefe de departamento dará importancia a la información en base al nivel


de clasificación que demande el activo.

Art. 2. La información pública puede ser visualizada por cualquier persona dentro o
fuera de la institución

Art. 3. La información confidencial es propiedad absoluta del INBAL, el acceso a ésta


es permitido únicamente a personal administrativo autorizado.

Art. 4. Los niveles de seguridad se detallan como nivel de seguridad bajo, nivel de
seguridad medio y nivel de seguridad alto.

Art. 5. La DSI tendrá la responsabilidad de priorizar una situación de la otra en cuanto


a los problemas en las estaciones de trabajo.

Art. 6. La DSI implementará un Plan de Contingencia que indique claramente, qué


hacer en caso de presentarse una situación extraordinaria.

Art. 7. En situaciones de emergencia que impliquen áreas de atención al cliente entre


otros, se dará prioridad en el siguiente orden:

a) Área financiera y de personal


b) Área educativa y de investigación
c) Área administrativa

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 14/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

Art. 8. El Plan de Contingencia se elaborará tomando en cuenta aspectos basados en


situaciones pasadas, y enmarcarlo en la pro actividad de situaciones futuras.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 15/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

1.3. RESPUESTA A INCIDENTES Y ANOMALÍAS DE SEGURIDAD

Art. 1. Los respaldos de información deberán ser almacenados en un sitio aislado y


libre de cualquier daño o posible extracción por terceros dentro de la institución.

Art. 2. Los respaldos se utilizarán únicamente en casos especiales, ya que su


contenido es de suma importancia para la institución.

Art. 3. El INBAL debe contar con respaldos de información ante cualquier incidente.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 16/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

2. SEGURIDAD LEGAL

2.1 DERECHOS DE PROPIEDAD INTELECTUAL

Art. 1. El INBAL se reserva el derecho de respaldo, a usuarios académicos, artísticos o


administrativos, ante cualquier asunto legal relacionado a infracciones a las leyes de
copyright o piratería de software.

Art. 2. Todo el software comercial que utilice el INBAL, deberá estar legalmente
registrado en los contratos de arrendamiento o adquisición, con sus respectivas licencias
y facturas de compra.

Art. 3. La adquisición de software por parte del personal que labore en el INBAL, no
expresa el consentimiento de la institución, la instalación del mismo, no garantiza
responsabilidad alguna para el INBAL, por ende la institución no se hace responsable de
las actividades de sus empleados.

Art. 4. Tanto el software comercial como el software libre son propiedad intelectual
exclusiva de sus desarrolladores, el INBAL respeta la propiedad intelectual y se rige por el
contrato de licencia de sus autores.

Art. 5. El software comercial licenciado al INBAL, es propiedad exclusiva de la


institución, la misma se reserva el derecho de reproducción de éste, sin el permiso de sus
autores, respetando el esquema de cero piratería y/o distribución a terceros.

Art. 6. En caso de transferencia de software comercial a terceros, se harán las


gestiones necesarias para su efecto y se acataran las medidas de licenciamiento
relacionados con la propiedad intelectual.

Art. 7. Cualquier cambio en la política de utilización de software comercial o software


libre, se hará documentado y en base a las disposiciones de la respectiva licencia.

Art. 8. El software desarrollado internamente por el personal que labora en el INBAL,


es propiedad exclusiva de la institución.

Art. 9. La adquisición del software comercial o libre, deberá ser gestionado con las
autoridades correspondientes y acatando sus disposiciones legales, en ningún momento
se obtendrá software de forma fraudulenta.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 17/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

Art. 10. Los contratos con terceros en la gestión o prestación de un servicio, deberán
especificar las medidas necesarias de seguridad, nivel de prestación del servicio y/o
personal involucrado en tal proceso.

2.2. REVISIÓN DE POLÍTICAS DE SEGURIDAD Y CUMPLIMIENTO

Art. 1. La DSI, podrá implementar mecanismos de control que permitan identificar


tendencias en el uso de recursos informáticos del personal interno o externo, para revisar
la actividad de procesos que ejecuta y la estructura de los archivos que se procesan. El
mal uso de los recursos informáticos que sea detectado, será reportado conforme a lo
indicado en las Políticas de Seguridad.

Art. 2. Los desarrolladores de procesos propiedad del INBAL, deberán apoyar las
acciones de revisión de cumplimiento de las Políticas de Seguridad.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 18/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

3. SEGURIDAD LÓGICA

3.1. CONTROL DEL ACCESO A USUARIOS DE LA RED INSTITUCIONAL DEL


INBAL

Art. 1. La documentación de seguridad será resguardada por la DSI, esto incluye


folletos, guías, formularios, controles, etc.

Art. 2. La elaboración de la documentación relacionada con formularios, guías, etc.,


será elaborada por la DSI.

Art. 3. El personal encargado de brindar los servicios de comunicaciones, no está


autorizado a brindar ninguna clase de servicios, mientras no se haya seguido el
procedimiento establecido para ello.

3.2. ADMINISTRACIÓN DEL ACCESO A USUARIOS A LOS SERVICIOS


INFORMÁTICOS DEL INBAL

Art. 1. El acceso a los sistemas y servicios de información es permitido únicamente a


los usuarios que dispongan de los permisos necesarios para su ejecución.

Art. 2. El usuario deberá proveer toda la información necesaria para poder brindarle
los permisos necesarios para la ejecución de los servicios de la red institucional del
INBAL.

Art. 3. Se brindará a los usuarios el acceso a los servicios de correo electrónico e


Internet del INBAL, siempre que cumplan con el procedimiento establecido.

Art. 4. El usuario de correo electrónico e Internet, deberá limitarse a atender los


requerimientos del Instituto, en el desempeño de las funciones encomendadas a su
puesto y apegándose a la normatividad establecida.

Art. 5. Las claves de acceso son personales e intransferibles

Art. 6. Las contraseñas o password asignados a los usuarios, deberán ser de 6


caracteres como mínimo y 8 como máximo, debiendo combinarlo con una letra mayúscula
al inicio y un carácter especial al final.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 19/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

Art. 7. La contraseña (password) de acceso, es de exclusiva responsabilidad del


usuario a quien se le otorgó, por lo que no deberá publicarlo o tenerlo en lugar visible
para que otra persona lo pueda manipular o hacer mal uso del equipo o información.

Art. 8. Es responsabilidad del usuario cambiar periódicamente su contraseña, de


acuerdo a la criticidad de la información, procurando no reutilizar las últimas 4
contraseñas. En caso de no saber como realizar el cambio, el Departamento de Redes y
Comunicaciones le brindará la asesoría necesaria.

Art. 9. El usuario es responsable de no dejar sesiones activas en su estación de


trabajo cuando se ausente de su escritorio o sitio de trabajo. Por lo cual, es recomendable
que una vez concluida su jornada laboral, apague su equipo para evitar que personas no
autorizadas tengan acceso a él.

Art. 10. Los mensajes que se envíen vía Internet, serán de completa responsabilidad
del usuario emisor, y en todo caso, deberán basarse en la racionalidad y la
responsabilidad individual. Se asume que en ningún momento dichos mensajes podrán
emplearse en contra de los intereses de personas individuales, así como de ninguna otra
Institución.

Art. 11. En caso de necesitar bajar archivos o imágenes de la red, éstos deberán ser
de un tamaño pequeño, a fin de no causar mucho tráfico y por consiguiente lentitud para
los demás usuarios.

Art. 12. Deberá bajar periódicamente la información del servidor de correos a su


equipo asignado para liberar la capacidad del servidor de correos.

Art. 13. Respetar los derechos de otras personas, tanto de propiedad intelectual como
de equipo.

Art. 14. Deberá utilizar únicamente la cuenta que le ha sido asignada para tener
acceso a sistemas y recursos.

Art. 15. Evitar el envío de archivos confidenciales a través del correo electrónico a
menos que se utilicen técnicas de criptografía.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 20/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

Normativa del uso de correo electrónico.

Art. 1. La DSI es la única instancia facultada para autorizar el servicio de acceso a


internet y correo electrónico.

Art. 2. La DSI asignará y/o renovará claves de acceso a correo electrónico e Internet,
de acuerdo con el procedimiento establecido y comprometiendo al usuario a cumplir con
los lineamientos.

Art. 3. Se asignarán cuentas de correo electrónico por departamento, creándose la


cuenta con las iniciales del mismo. Ejem. [email protected]

Art. 4. Las cuentas personales se asignarán únicamente con el Vo.Bo. del Titular del
Centro de Trabajo.

Art. 5. Queda prohibido enviar información por correo electrónico, cuentas FTP, o
cualquier medio electrónico, clasificada como confidencial o que sin serlo, el usuario no
tenga atribuciones que permitan su uso y divulgación, atenten contra los derechos de
autor, sea falsa, difamatoria u ofensiva.

Art. 6. Queda prohibido el uso del correo electrónico e Internet para fines políticos y
religiosos dentro y hacia fuera del Instituto.

Art. 7. Queda prohibido el uso de seudónimos y envío de mensajes anónimos, así


como aquellos que consignen títulos, cargos o funciones no oficiales.

Art. 8. Queda prohibido el envío interno o hacia el exterior, de correos spam de


cualquier índole. Se consideran correos spam aquellos no relacionados con las funciones
específicas a los procesos de trabajo.

Art. 9. Se realizará un monitoreo periódico sobre el uso de los correos, a fin de dar de
baja aquellas cuentas que no sean utilizadas. Adicionalmente a esto, se llevará acabo una
depuración de forma semestral.

Art. 10. Es responsabilidad del titular de Centro de Trabajo que firma la solicitud,
comunicar al Departamento de Redes y Comunicaciones cualquier circunstancia que
implique la necesidad de eliminar el acceso solicitado o de modificarlo, ya sea porque el

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 21/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

usuario deje de pertenecer a su área, se ausente por comisión, licencia o incapacidad, o


por el mal uso que se haga del servicio.

Usos aceptables de los servicios de Internet.

Art. 1. La comunicación entre artistas, académicos y personas relacionadas con


labores administrativas, siempre y cuando exista un intercambio mutuo y en condiciones
recíprocas.

Art. 2. Comunicación e intercambio con la comunidad académica, artística u otras


instituciones, con el fin de tener acceso a los últimos avances relacionados con la
especialidad del personal.

Acceso a sitios y contenidos no autorizados.

Art. 1. Cualquier actividad que sea lucrativa o comercial de carácter individual, privado
o para negocio particular.

Art. 2. Para garantizar la seguridad de la información y el equipo informático, la DSI


establecerá filtros y medidas para regular el acceso a contenidos en el cumplimiento de
esta normatividad; por lo tanto, se prohíbe:

< La transmisión de materiales en violación de cualquier regulación establecida


por el Gobierno Mexicano. Esto incluye materiales con derechos de propiedad
intelectual.

< Utilizar los servicios de comunicación, incluyendo el correo electrónico o


cualquier otro recurso, para intimidar, insultar o acosar a otras personas, o
interferir con el trabajo de los demás, provocando un ambiente de trabajo no
deseable dentro del contexto de las políticas del INBAL.

< Utilizar los recursos del INBAL para el acceso no autorizado a redes y sistemas
remotos.

< Provocar deliberadamente el mal funcionamiento de computadoras, estaciones


o terminales periféricos de redes y sistemas.

< Monopolizar los recursos en perjuicio de otros usuarios, incluyendo: el envío de


mensajes masivamente a todos los usuarios de la red, iniciación y facilitaciones

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 22/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

de cadenas, creación de procesos innecesarios, generar impresiones


voluminosas, uso de recursos de impresión no autorizado.

< Poner información en la red que infrinja los derechos de los demás.

< Utilizar los servicios de red para juegos a través del servicio de Internet o
Intranet.

< Utilizar los servicios de red para ver publicaciones de deportes, pornografía o
religión.

< Utilizar los servicios de red para enviar archivos que sean confidenciales.

< Utilizar los servicios para accesar a páginas de radio o TV en línea, así como
descargar archivos de música o video.

< Los servicios bancarios y servicios personales que se ofrecen vía Internet,
podrán utilizarse en forma mesurada.

3.3. CONTROL DE ACCESO A LA RED.

Art. 1. El Departamento de Redes y Comunicaciones diseñará los mecanismos


necesarios para proveer acceso a los servicios de la red institucional del INBAL.

Art. 2. Los mecanismos de autenticación y permisos de acceso a la red, deberán ser


evaluados y aprobados por la DSI.

Art. 3. El Departamento de Redes y Comunicaciones, hará evaluaciones periódicas a


los sistemas de red, con el objetivo de eliminar cuentas de acceso sin protección de
seguridad y componentes de red comprometidos.

Art. 4. El Departamento de Redes y Comunicaciones, verificará que el tráfico de red


sea estrictamente normal, la variación de este sin ninguna razón obvia, pondrá en marcha
técnicas de análisis concretas.

Art. 5. Los dispositivos de red, estarán siempre activos y configurados correctamente


para evitar anomalías en el tráfico y seguridad de información de la red institucional del
INBAL.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 23/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

Art. 6. Se utilizarán mecanismos y protocolos de autenticación como claves privadas,


autenticación usuario/contraseña.

Art. 7. Los archivos de registro o logs de los dispositivos de red, deberán estar
activados y configurados correctamente en cada dispositivo.

3.4. CONTROL DE ACCESO A LAS APLICACIONES

Art. 1. Las aplicaciones deberán contar con su respectiva documentación, la cual será
entregada a los usuarios.

Art. 2. El usuario tendrá los permisos de aplicaciones necesarios para ejercer su


trabajo.

Art. 3. Se establecerán niveles de acceso para los usuarios que hagan uso de las
aplicaciones desarrolladas en la DSI.

Art. 4. Los niveles de acceso serán definidos por los Titulares de los Centros de
Trabajo que soliciten el desarrollo de algún sistema, en base a lo importante o crítico de la
información que se procesará.

Art. 5. Antes de ser puestas en ejecución las aplicaciones, deberán realizarse pruebas
sobre fallos, información errónea que puedan procesar y seguridad de acceso.

Art. 6. La información será visualizada únicamente en terminales previamente


definidas, ya sea mediante direccionamiento de hardware o direccionamiento IP.

Art. 7. En el registro de sucesos del sistema, se registrarán todas las actividades


realizadas por los usuarios.

3.5. MONITOREO DEL ACCESO Y USO DEL SISTEMA

Art. 1. Los administradores de red tendrán especial cuidado al momento de instalar


aplicaciones en los servidores, configurando correctamente cada servicio con sus
respectivos permisos de ejecución.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 24/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

Art. 2. No le esta permitido al usuario realizar actividades de configuración de los


sistemas de red, bajo ninguna circunstancia.

Art. 3. La cuenta administrativa es propiedad exclusiva de la DSI.

Art. 4. Las aplicaciones prestadoras de servicios correrán con cuentas restrictivas y


jamás con privilegios tan altos como los de la cuenta administrativa.

3.6. PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS

Art. 1. Ninguna persona que labore en el INBAL, está facultada para instalar software
en las estaciones de trabajo, sin antes haber obtenido la aprobación de la DSI.

Art. 2. Sin importar el origen del software y la utilización del mismo dentro del INBAL,
éste será evaluado, haya sido o no aprobada su utilización.

Art. 3. Ninguna clase de código ejecutable será puesto en marcha sin antes haber
pasado el control de análisis de seguridad.

Art. 4. Antes de efectuar cualquier análisis o prueba sobre los sistemas de producción,
se realizarán backups generales de la información que en ellos se procesa y del sistema
en si.

Art. 5. Los sistemas que aun están conectados a la red, pero que no tienen utilización
productiva alguna para el INBAL, se les deberá eliminar cualquier rastro de información
que hayan contenido.

3.7. PROTECCIÓN CONTRA SOFTWARE MALICIOSO

Art.1. Para prevenir contaminaciones por virus informático, los usuarios del INBAL sólo
utilizarán el software que haya sido valorado y asignado por la DSI.

Art. 2. Los usuarios de equipo de cómputo del INBAL, deberán verificar que la
información y los medios de almacenamiento, considerando al menos discos flexibles,
cd=s, cintas y cartuchos, estén libres de cualquier tipo de código malicioso, para lo cual
deberán ejecutar el software antivirus autorizado e instalado por la DSI.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 25/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

Art. 3. Todos los archivos de computadora que sean proporcionados por personal
interno o externo, considerando bases de datos, documentos y hojas de cálculo que
tengan que ser descomprimidos, deberá verificarse que no contenga ningún tipo de virus
antes de su ejecución.

Art. 4. Ninguna persona del INBAL, deberá intencionalmente escribir, generar,


compilar, copiar, propagar, ejecutar o tratar de introducir código de computadora diseñado
para auto replicarse, dañar, o en otros casos, impedir el funcionamiento de cualquier
memoria de computadora, archivos de sistema o software. Menos aún, probarlos en
cualquiera de los ambientes o plataformas del INBAL.

Art. 5. Ningún usuario, empleado o personal externo, podrá bajar o descargar software
de sistemas, boletines electrónicos, sistemas de correo electrónico, de mensajería
instantánea y redes de comunicaciones externas, sin la previa autorización de la DSI.

Art.6. Cualquier usuario que sospeche de alguna infección por virus en su equipo de
cómputo, deberá notificarlo inmediatamente al Departamento de Soporte Técnico de la
DSI para su erradicación.

Art. 7. Los usuarios no deberán alterar o eliminar las configuraciones de seguridad


para detectar y/o prevenir la propagación de virus que sean implantadas por el INBAL en:
antivirus, outlook, office, navegadores u otros programas.

3.8. MANTENIMIENTO DE SISTEMAS Y EQUIPO DE CÓMPUTO

Art. 1. El usuario no está facultado para intervenir física o lógicamente ninguna


estación de trabajo que amerite reparación.

Art. 2. Mientras se opera el equipo de cómputo, no se deberá fumar, consumir


alimentos o ingerir líquidos, ya que estas acciones pueden dañar el equipo.

Art. 3. El usuario debe asegurarse que los cables de conexión no sean pisados o
pinchados al colocar otros objetos encima o contra ellos.

Art. 4. Los usuarios deberán asegurarse de respaldar la información que consideren


relevante, cuando el equipo sea enviado a la DSI a reparación, previendo así la pérdida
involuntaria de información que pueda ocurrir en el proceso de reparación del equipo.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 26/27


2.0.0
Manual de Políticas y Normas de Seguridad
Informática

Art. 5. En ningún momento es aceptable la modificación de archivos en los equipos


informáticos, sino es bajo circunstancias especiales en las que de no hacerse de esa
manera, el sistema quedaría inutilizable.

Art. 6. En caso de ser afirmativo el cambio de archivos, se hará un backup general de


la aplicación o sistema al cual se realizará el cambio.

Art. 7. Cualquier falla efectuada en las aplicaciones o sistemas, por la manipulación


errónea de archivos, deberá notificarse a la DSI para su reparación.

Art. 8. Se deberá llevar una bitácora completa de los sistemas, en cuanto a las
versiones de actualización del software y de las modificaciones y revisiones hechas a los
sistemas.

3.9. SEGURIDAD EN EL MANEJO DE LOS MEDIOS DE ALMACENAMIENTO

Art. 1. La clasificación e identificación de los medios de almacenamiento, deberá ser


acorde al propósito u objetivo por el cual se respalda.

Art. 2. Esta totalmente prohibido para los usuarios de la red institucional del INBAL, el
intervenir con las labores de respaldo que realiza el personal de la DSI.

Art. 3. Bajo ninguna circunstancia se dejarán desatendidos los medios de


almacenamiento, o copias de seguridad de los sistemas.

Art. 4. Todo medio de almacenamiento deberá ser documentado e inventariado en un


registro específico y único, sobre medios de almacenamiento.

Art. 5. La ubicación de los medios de almacenamiento, deberá estar alejada del polvo,
humedad o cualquier contacto con material o químicos corrosibles.

Art. 6. Entre la documentación de seguridad, deberá existir un control para la


clasificación y resguardo de los medios de almacenamiento.

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 27/27


2.0.0

También podría gustarte