Manual de Políticas y Normas de Seguridad Informática
Manual de Políticas y Normas de Seguridad Informática
Manual de Políticas y Normas de Seguridad Informática
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
ÍNDICE
INTRODUCCIÓN ................................................................................................................................................. 3
INTERPRETACIÓN ............................................................................................................................................. 5
VIGENCIA ............................................................................................................................................................ 6
ALCANCE ............................................................................................................................................................ 6
OBJETIVO............................................................................................................................................................ 7
GLOSARIO........................................................................................................................................................... 8
1. SEGURIDAD ORGANIZACIONAL................................................................................................................ 11
1.1. POLÍTICAS GENERALES DE SEGURIDAD. .............................................................................. 11
Del Departamento de Redes y Comunicaciones.................................................................. 11
Del Departamento de Soporte Técnico................................................................................. 12
Del Personal ........................................................................................................................... 13
Capacitación de usuarios. ...................................................................................................... 13
1.2. CLASIFICACIÓN Y CONTROL DE ACTIVOS............................................................................. 13
Responsabilidad por los activos. ........................................................................................... 13
Clasificación de la información .............................................................................................. 14
1.3. RESPUESTA A INCIDENTES Y ANOMALÍAS DE SEGURIDAD .............................................. 15
2. SEGURIDAD LEGAL ..................................................................................................................................... 16
2.1 DERECHOS DE PROPIEDAD INTELECTUAL............................................................................ 16
2.2. REVISIÓN DE POLÍTICAS DE SEGURIDAD Y CUMPLIMIENTO ............................................ 17
3. SEGURIDAD LÓGICA ................................................................................................................................... 18
3.1. CONTROL DEL ACCESO A USUARIOS DE LA RED INSTITUCIONAL DEL INBAL .............. 18
3.2. ADMINISTRACIÓN DEL ACCESO A USUARIOS A LOS SERVICIOS INFORMÁTICOS DEL
INBAL ...................................................................................................................................... 18
Normativa del uso de correo electrónico. ............................................................................. 20
Usos aceptables de los servicios de Internet. ....................................................................... 21
Acceso a sitios y contenidos no autorizados. ........................................................................ 21
3.3. CONTROL DE ACCESO A LA RED. ........................................................................................... 22
3.4. CONTROL DE ACCESO A LAS APLICACIONES ...................................................................... 23
3.5. MONITOREO DEL ACCESO Y USO DEL SISTEMA ................................................................. 23
3.6. PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS.................................................................... 24
3.7. PROTECCIÓN CONTRA SOFTWARE MALICIOSO ................................................................. 24
3.8. MANTENIMIENTO DE SISTEMAS Y EQUIPO DE CÓMPUTO ................................................. 25
3.9. SEGURIDAD EN EL MANEJO DE LOS MEDIOS DE ALMACENAMIENTO ............................. 26
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
INTRODUCCIÓN.
La base para que cualquier organización pueda operar de forma confiable en materia de
seguridad informática, comienza con la definición de las políticas.
Los recursos de comunicación del Instituto Nacional de Bellas Artes y Literatura (INBAL),
están disponibles para fortalecer el flujo de información interna, la investigación en
materia cultural, educativa y administrativa, así como el servir de apoyo en las diferentes
tareas encomendadas para el mejoramiento de nuestras labores. Por lo tanto, todos los
usuarios de los recursos y de la red institucional, están sujetos a las políticas y a los
términos de este documento, y a mantener una actuación con altos principios morales y
éticos.
Toda persona que utilice los servicios que ofrece la red institucional del INBAL, deberá
conocer y aceptar todo lo establecido en este documento sobre su uso, el
desconocimiento del mismo, no exonera de responsabilidad al usuario ante cualquier
eventualidad que involucre la seguridad de la información o de la red institucional del
INBAL.
Seguridad organizacional:
Dentro de este, se establece el marco formal de seguridad que debe sustentar la
Institución, incluyendo servicios o contrataciones externas a la infraestructura de
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Seguridad legal:
Integra los requerimientos de seguridad que deben cumplir todos los empleados y
usuarios de la red institucional del INBAL, bajo la reglamentación de la normatividad
interna de políticas y manuales de procedimientos del INBAL en cuanto al recurso
humano, sanciones aplicables ante faltas cometidas, así como cuestiones relacionadas
con la legislación del país y contrataciones externas.
Seguridad física:
Identifica los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad,
de forma que se puedan establecer controles en el manejo de equipos, transferencia de
información y control de los accesos a las distintas áreas con base en la importancia de
los activos.
Seguridad lógica:
Trata de establecer e integrar los mecanismos y procedimientos, que permitan monitorear
el acceso a los activos de información, que incluyen los procedimientos de administración
de usuarios, definición de responsabilidades, perfiles de seguridad, control de acceso a
las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en
la configuración de los equipos, manejo de incidentes, selección y aceptación de
sistemas, hasta el control de software malicioso.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
INTERPRETACIÓN
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
VIGENCIA
El documento presentado entrará en vigor desde el momento en que éste sea aprobado
como documento técnico de seguridad informática por el Comité de Mejora Regulatoria, el
cual deberá ser revisado y actualizado conforme a las exigencias y necesidades del
instituto.
ALCANCE
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
OBJETIVO
Brindar la información necesaria a los usuarios del Instituto, sobre las normas y
mecanismos que deben cumplir y utilizar para proteger el hardware y software de la red
institucional del INBAL, así como la información que es procesada y almacenada en estos.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
GLOSARIO
Archivo Log: Ficheros de registro o bitácoras de sistemas en los que se recoge o anota
los pasos que dan (lo que hace un usuario, como transcurre una conexión, horarios
de conexión, terminales o IP=s involucradas en el proceso, etc.)
Ataque: Evento exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Conectividad: Conexión entre medios (fibra óptica, microondas, satélite, par trenzado) y
equipos para brindar la transmisión de voz, datos, imágenes y videoconferencias.
Disponibilidad: Que los recursos de información sean accesibles, cuando estos sean
necesitados.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
IP address: Secuencia de números que se utiliza para asignar una ubicación a nivel
lógico y cuya administración a nivel mundial le corresponde a comisiones
especializadas.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Usuario: Defínase a cualquier persona moral o física, que utilice los servicios informáticos
de la red institucional del INBAL y tenga una especie de vinculación académica,
artística o laboral con la institución.
WWW (World Wide Web): Término aplicado a la red mundial de información y páginas
electrónicas que integran diferentes facilidades al usuario como son: hipertexto,
imágenes, sonidos, videos, textos y gráficos.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
1. SEGURIDAD ORGANIZACIONAL.
Art. 3. Que las conexiones a Internet cuenten con elementos de prevención, detección
de intrusos, filtros contra virus, manejo de contenidos, entre otros, que afectan la
integridad de los sistemas y la información institucionales.
Art. 6. Controlar, suspender o revocar los códigos de acceso a cualquier usuario que
haga mal uso de los recursos, viole las políticas de seguridad o interfiera con los derechos
de otros usuarios.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Art. 10. Administrar y asignar todas las direcciones IP del INBAL, así como los
dominios y subdominios asignados al INBAL y a los servidores encargados de su
resolución.
Art. 2. Instalar y actualizar los antivirus y sistemas operativos, así como tener al día en
los en servidores asignados, las actualizaciones y Aparches@ de programas
institucionales licenciados y autorizados.
Art. 5. Administrar los servicios locales de red como son www, correo electrónico,
servidor de FTP y servidores de aplicaciones en red.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Del Personal.
Art. 1. El empleado no tiene ningún derecho sobre la información que procese dentro
de las instalaciones de la red institucional del INBAL.
Art. 3. El usuario se norma por las disposiciones de seguridad informática del INBAL.
Capacitación de usuarios.
Art. 3. El material de apoyo (manuales, guías, etc.) será entregado minutos antes de
iniciar la capacitación.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Art. 1. Los titulares y administradores de los centros de trabajo del INBAL, son
responsables de los activos que se encuentran bajo su resguardo.
Art. 2. Los jefes de cada departamento del INBAL, son responsables de mantener o
proteger los activos de mayor importancia.
Clasificación de la información.
Art. 2. La información pública puede ser visualizada por cualquier persona dentro o
fuera de la institución
Art. 4. Los niveles de seguridad se detallan como nivel de seguridad bajo, nivel de
seguridad medio y nivel de seguridad alto.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Art. 3. El INBAL debe contar con respaldos de información ante cualquier incidente.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
2. SEGURIDAD LEGAL
Art. 2. Todo el software comercial que utilice el INBAL, deberá estar legalmente
registrado en los contratos de arrendamiento o adquisición, con sus respectivas licencias
y facturas de compra.
Art. 3. La adquisición de software por parte del personal que labore en el INBAL, no
expresa el consentimiento de la institución, la instalación del mismo, no garantiza
responsabilidad alguna para el INBAL, por ende la institución no se hace responsable de
las actividades de sus empleados.
Art. 4. Tanto el software comercial como el software libre son propiedad intelectual
exclusiva de sus desarrolladores, el INBAL respeta la propiedad intelectual y se rige por el
contrato de licencia de sus autores.
Art. 9. La adquisición del software comercial o libre, deberá ser gestionado con las
autoridades correspondientes y acatando sus disposiciones legales, en ningún momento
se obtendrá software de forma fraudulenta.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Art. 10. Los contratos con terceros en la gestión o prestación de un servicio, deberán
especificar las medidas necesarias de seguridad, nivel de prestación del servicio y/o
personal involucrado en tal proceso.
Art. 2. Los desarrolladores de procesos propiedad del INBAL, deberán apoyar las
acciones de revisión de cumplimiento de las Políticas de Seguridad.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
3. SEGURIDAD LÓGICA
Art. 2. El usuario deberá proveer toda la información necesaria para poder brindarle
los permisos necesarios para la ejecución de los servicios de la red institucional del
INBAL.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Art. 10. Los mensajes que se envíen vía Internet, serán de completa responsabilidad
del usuario emisor, y en todo caso, deberán basarse en la racionalidad y la
responsabilidad individual. Se asume que en ningún momento dichos mensajes podrán
emplearse en contra de los intereses de personas individuales, así como de ninguna otra
Institución.
Art. 11. En caso de necesitar bajar archivos o imágenes de la red, éstos deberán ser
de un tamaño pequeño, a fin de no causar mucho tráfico y por consiguiente lentitud para
los demás usuarios.
Art. 13. Respetar los derechos de otras personas, tanto de propiedad intelectual como
de equipo.
Art. 14. Deberá utilizar únicamente la cuenta que le ha sido asignada para tener
acceso a sistemas y recursos.
Art. 15. Evitar el envío de archivos confidenciales a través del correo electrónico a
menos que se utilicen técnicas de criptografía.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Art. 2. La DSI asignará y/o renovará claves de acceso a correo electrónico e Internet,
de acuerdo con el procedimiento establecido y comprometiendo al usuario a cumplir con
los lineamientos.
Art. 4. Las cuentas personales se asignarán únicamente con el Vo.Bo. del Titular del
Centro de Trabajo.
Art. 5. Queda prohibido enviar información por correo electrónico, cuentas FTP, o
cualquier medio electrónico, clasificada como confidencial o que sin serlo, el usuario no
tenga atribuciones que permitan su uso y divulgación, atenten contra los derechos de
autor, sea falsa, difamatoria u ofensiva.
Art. 6. Queda prohibido el uso del correo electrónico e Internet para fines políticos y
religiosos dentro y hacia fuera del Instituto.
Art. 9. Se realizará un monitoreo periódico sobre el uso de los correos, a fin de dar de
baja aquellas cuentas que no sean utilizadas. Adicionalmente a esto, se llevará acabo una
depuración de forma semestral.
Art. 10. Es responsabilidad del titular de Centro de Trabajo que firma la solicitud,
comunicar al Departamento de Redes y Comunicaciones cualquier circunstancia que
implique la necesidad de eliminar el acceso solicitado o de modificarlo, ya sea porque el
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Art. 1. Cualquier actividad que sea lucrativa o comercial de carácter individual, privado
o para negocio particular.
< Utilizar los recursos del INBAL para el acceso no autorizado a redes y sistemas
remotos.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
< Poner información en la red que infrinja los derechos de los demás.
< Utilizar los servicios de red para juegos a través del servicio de Internet o
Intranet.
< Utilizar los servicios de red para ver publicaciones de deportes, pornografía o
religión.
< Utilizar los servicios de red para enviar archivos que sean confidenciales.
< Utilizar los servicios para accesar a páginas de radio o TV en línea, así como
descargar archivos de música o video.
< Los servicios bancarios y servicios personales que se ofrecen vía Internet,
podrán utilizarse en forma mesurada.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Art. 7. Los archivos de registro o logs de los dispositivos de red, deberán estar
activados y configurados correctamente en cada dispositivo.
Art. 1. Las aplicaciones deberán contar con su respectiva documentación, la cual será
entregada a los usuarios.
Art. 3. Se establecerán niveles de acceso para los usuarios que hagan uso de las
aplicaciones desarrolladas en la DSI.
Art. 4. Los niveles de acceso serán definidos por los Titulares de los Centros de
Trabajo que soliciten el desarrollo de algún sistema, en base a lo importante o crítico de la
información que se procesará.
Art. 5. Antes de ser puestas en ejecución las aplicaciones, deberán realizarse pruebas
sobre fallos, información errónea que puedan procesar y seguridad de acceso.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Art. 1. Ninguna persona que labore en el INBAL, está facultada para instalar software
en las estaciones de trabajo, sin antes haber obtenido la aprobación de la DSI.
Art. 2. Sin importar el origen del software y la utilización del mismo dentro del INBAL,
éste será evaluado, haya sido o no aprobada su utilización.
Art. 3. Ninguna clase de código ejecutable será puesto en marcha sin antes haber
pasado el control de análisis de seguridad.
Art. 4. Antes de efectuar cualquier análisis o prueba sobre los sistemas de producción,
se realizarán backups generales de la información que en ellos se procesa y del sistema
en si.
Art. 5. Los sistemas que aun están conectados a la red, pero que no tienen utilización
productiva alguna para el INBAL, se les deberá eliminar cualquier rastro de información
que hayan contenido.
Art.1. Para prevenir contaminaciones por virus informático, los usuarios del INBAL sólo
utilizarán el software que haya sido valorado y asignado por la DSI.
Art. 2. Los usuarios de equipo de cómputo del INBAL, deberán verificar que la
información y los medios de almacenamiento, considerando al menos discos flexibles,
cd=s, cintas y cartuchos, estén libres de cualquier tipo de código malicioso, para lo cual
deberán ejecutar el software antivirus autorizado e instalado por la DSI.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Art. 3. Todos los archivos de computadora que sean proporcionados por personal
interno o externo, considerando bases de datos, documentos y hojas de cálculo que
tengan que ser descomprimidos, deberá verificarse que no contenga ningún tipo de virus
antes de su ejecución.
Art. 5. Ningún usuario, empleado o personal externo, podrá bajar o descargar software
de sistemas, boletines electrónicos, sistemas de correo electrónico, de mensajería
instantánea y redes de comunicaciones externas, sin la previa autorización de la DSI.
Art.6. Cualquier usuario que sospeche de alguna infección por virus en su equipo de
cómputo, deberá notificarlo inmediatamente al Departamento de Soporte Técnico de la
DSI para su erradicación.
Art. 3. El usuario debe asegurarse que los cables de conexión no sean pisados o
pinchados al colocar otros objetos encima o contra ellos.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Art. 8. Se deberá llevar una bitácora completa de los sistemas, en cuanto a las
versiones de actualización del software y de las modificaciones y revisiones hechas a los
sistemas.
Art. 2. Esta totalmente prohibido para los usuarios de la red institucional del INBAL, el
intervenir con las labores de respaldo que realiza el personal de la DSI.
Art. 5. La ubicación de los medios de almacenamiento, deberá estar alejada del polvo,
humedad o cualquier contacto con material o químicos corrosibles.
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.