MANUAL DE POLÍTICAS Y NORMAS DE SEGURIDAD INFORMÁTICA fileManual de Políticas y N ormas de Seguridad Informática Elaborado por: Departamento de Redes y Comunicaciones y Mesa de

Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control.

Fecha de Emisión: Agosto de 2009.

Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 1/27

MAN U AL D E PO LÍTICAS Y N O RMAS D E SEG U RID AD IN FO RMÁTICA

Manual de Políticas y Normas de Seguridad Informática



Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 2/27

ÍNDICE INTRODUCCIÓN ................................................................................................................................................. 3 INTERPRETACIÓN ............................................................................................................................................. 5 VIGENCIA ............................................................................................................................................................ 6 ALCANCE ............................................................................................................................................................ 6 OBJETIVO............................................................................................................................................................ 7 GLOSARIO........................................................................................................................................................... 8 1. SEGURIDAD ORGANIZACIONAL................................................................................................................ 11

1.1. POLÍTICAS GENERALES DE SEGURIDAD. .............................................................................. 11 Del Departamento de Redes y Comunicaciones.................................................................. 11 Del Departamento de Soporte Técnico................................................................................. 12 Del Personal ........................................................................................................................... 13 Capacitación de usuarios. ...................................................................................................... 13

1.2. CLASIFICACIÓN Y CONTROL DE ACTIVOS............................................................................. 13 Responsabilidad por los activos. ........................................................................................... 13 Clasificación de la información .............................................................................................. 14

1.3. RESPUESTA A INCIDENTES Y ANOMALÍAS DE SEGURIDAD .............................................. 15 2. SEGURIDAD LEGAL ..................................................................................................................................... 16

2.1 DERECHOS DE PROPIEDAD INTELECTUAL............................................................................ 16 2.2. REVISIÓN DE POLÍTICAS DE SEGURIDAD Y CUMPLIMIENTO ............................................ 17

3. SEGURIDAD LÓGICA ................................................................................................................................... 18 3.1. CONTROL DEL ACCESO A USUARIOS DE LA RED INSTITUCIONAL DEL INBAL .............. 18 3.2. ADMINISTRACIÓN DEL ACCESO A USUARIOS A LOS SERVICIOS INFORMÁTICOS DEL

INBAL ...................................................................................................................................... 18 Normativa del uso de correo electrónico. ............................................................................. 20 Usos aceptables de los servicios de Internet. ....................................................................... 21 Acceso a sitios y contenidos no autorizados. ........................................................................ 21

3.3. CONTROL DE ACCESO A LA RED. ........................................................................................... 22 3.4. CONTROL DE ACCESO A LAS APLICACIONES ...................................................................... 23 3.5. MONITOREO DEL ACCESO Y USO DEL SISTEMA ................................................................. 23 3.6. PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS.................................................................... 24 3.7. PROTECCIÓN CONTRA SOFTWARE MALICIOSO ................................................................. 24 3.8. MANTENIMIENTO DE SISTEMAS Y EQUIPO DE CÓMPUTO ................................................. 25 3.9. SEGURIDAD EN EL MANEJO DE LOS MEDIOS DE ALMACENAMIENTO ............................. 26




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 3/27

INTRODUCCIÓN. La base para que cualquier organización pueda operar de forma confiable en materia de seguridad informática, comienza con la definición de las políticas. La seguridad informática es una función en la que se deben evaluar y administrar los riesgos basándose en políticas que cubran las necesidades del INBAL en materia de seguridad. El documento que se presenta, pretende ser el medio de comunicación en el cual se establecen las reglas, normas y controles que regulen la forma en que la Institución, prevenga, proteja y maneje los riesgos de seguridad en diversas circunstancias. Las políticas expuestas en este documento sirven de referencia, en ningún momento pretenden ser normas absolutas, las mismas están sujetas a cambios realizables en cualquier momento, siempre y cuando se tengan presentes los objetivos de seguridad. Los recursos de comunicación del Instituto Nacional de Bellas Artes y Literatura (INBAL), están disponibles para fortalecer el flujo de información interna, la investigación en materia cultural, educativa y administrativa, así como el servir de apoyo en las diferentes tareas encomendadas para el mejoramiento de nuestras labores. Por lo tanto, todos los usuarios de los recursos y de la red institucional, están sujetos a las políticas y a los términos de este documento, y a mantener una actuación con altos principios morales y éticos. Toda persona que utilice los servicios que ofrece la red institucional del INBAL, deberá conocer y aceptar todo lo establecido en este documento sobre su uso, el desconocimiento del mismo, no exonera de responsabilidad al usuario ante cualquier eventualidad que involucre la seguridad de la información o de la red institucional del INBAL. En términos generales, el documento engloba los procedimientos más adecuados tomando como lineamientos principales cuatro criterios: Seguridad organizacional: Dentro de este, se establece el marco formal de seguridad que debe sustentar la Institución, incluyendo servicios o contrataciones externas a la infraestructura de




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 4/27

seguridad, integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anómalas a la seguridad. Seguridad legal: Integra los requerimientos de seguridad que deben cumplir todos los empleados y usuarios de la red institucional del INBAL, bajo la reglamentación de la normatividad interna de políticas y manuales de procedimientos del INBAL en cuanto al recurso humano, sanciones aplicables ante faltas cometidas, así como cuestiones relacionadas con la legislación del país y contrataciones externas. Seguridad física: Identifica los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en la importancia de los activos. Seguridad lógica: Trata de establecer e integrar los mecanismos y procedimientos, que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, selección y aceptación de sistemas, hasta el control de software malicioso. Cada uno de los criterios anteriores, sustenta un entorno de administración de suma importancia para la seguridad de la información dentro de la red institucional del INBAL.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 5/27

INTERPRETACIÓN Los niveles de seguridad fueron organizados constatando un enfoque objetivo de la situación real de la Institución, desarrollando cada política con sumo cuidado sobre qué activo proteger, de qué protegerlo, cómo protegerlo y por qué protegerlo. Los mismos se organizan siguiendo el esquema normativo de seguridad ISO 17799 (mejores prácticas de seguridad) y que a continuación se presenta:

� Nivel de Seguridad Organizativo: � Seguridad Organizacional � Políticas Generales de Seguridad � Clasificación y Control de Activos

$ Responsabilidad por los Activos $ Clasificación de la Información

� Seguridad Ligada al Personal $ Respuesta a Incidentes y Anomalías de Seguridad

� Nivel de Seguridad Legal:

� Seguridad Legal � Conformidad con la Legislación � Cumplimiento de requisitos Legales � Revisión de Políticas de Seguridad y Cumplimiento Técnico

� Nivel de Seguridad Física y lógica:

� Control de Accesos � Administración del Acceso de Usuarios � Control de Acceso a la Red � Control de Acceso a las Aplicaciones � Monitoreo del Acceso y Uso del Sistema




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 6/27

VIGENCIA El documento presentado entrará en vigor desde el momento en que éste sea aprobado como documento técnico de seguridad informática por el Comité de Mejora Regulatoria, el cual deberá ser revisado y actualizado conforme a las exigencias y necesidades del instituto. ALCANCE El ámbito de aplicación del manual de normas y políticas de seguridad informática, es la infraestructura tecnológica y entorno informático de la red institucional del INBAL. En ente que garantizará la ejecución y puesta en marcha de la normativa y políticas de seguridad, es la Dirección de Servicios Informáticos (DSI), siendo el responsable de la supervisión y cumplimiento el Órgano Interno de Control.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 7/27

OBJETIVO Brindar la información necesaria a los usuarios del Instituto, sobre las normas y mecanismos que deben cumplir y utilizar para proteger el hardware y software de la red institucional del INBAL, así como la información que es procesada y almacenada en estos.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 8/27

GLOSARIO Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de

una persona física o moral. En el ambiente informático, llámese activo a los bienes de información y procesamiento que posee la institución.

Amenaza: Evento que puede desencadenar un incidente en la organización, produciendo

daños materiales o pérdidas inmateriales en sus activos. Archivo Log: Ficheros de registro o bitácoras de sistemas en los que se recoge o anota

los pasos que dan (lo que hace un usuario, como transcurre una conexión, horarios de conexión, terminales o IP=s involucradas en el proceso, etc.)

Ataque: Evento exitoso o no, que atenta sobre el buen funcionamiento del sistema. Conectividad: Conexión entre medios (fibra óptica, microondas, satélite, par trenzado) y

equipos para brindar la transmisión de voz, datos, imágenes y videoconferencias. Confidencialidad: Proteger la información de su revelación no autorizada. Esto significa

que la información debe estar protegida de ser copiada por cualquiera que no esté explícitamente autorizado por el propietario de dicha información.

Cuenta: Mecanismo de identificación de un usuario, llámese de otra manera, al método

de acreditación o autenticación del usuario mediante procesos lógicos dentro de un sistema informático.

Desastre o Contingencia: Interrupción de la capacidad de acceso a información y

procesamiento de la misma, a través de computadoras necesarias para la operación normal de la organización.

Disponibilidad: Que los recursos de información sean accesibles, cuando estos sean

necesitados. DNS (Domain Name System): Sistema cuya función principal es la de identificar la

dirección IP a partir del nombre del dispositivo al que se requiere acceder.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 9/27

Encriptación: Es el proceso mediante el cual cierta información o Atexto plano@ es cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación.

Es una medida de seguridad utilizada para que al momento de almacenar o transmitir información sensible, ésta no pueda ser obtenida con facilidad por terceros.

FTP (File Transfer Protocol): Protocolo y software que permite la transferencia de

archivos entre máquinas conectadas a una red. Integridad. Proteger la información de alteraciones no autorizadas por la organización. INTERNET: Es una red de redes de computadoras conectadas a nivel mundial y se

emplea para el intercambio de información y el acceso a las bases de datos. Impacto: Consecuencia de la materialización de una amenaza. IP address: Secuencia de números que se utiliza para asignar una ubicación a nivel

lógico y cuya administración a nivel mundial le corresponde a comisiones especializadas.

ISO (Organización Internacional de Estándares): Institución mundialmente reconocida y

acreditada para normar en temas de estándares en una diversidad de áreas, aceptadas y legalmente reconocidas.

Normativa de Seguridad ISO/IEC 17799: (Código de buenas prácticas, para el manejo

de seguridad de la información) Estándar o norma internacional que vela por que se cumplan los requisitos mínimos de seguridad, que propicien un nivel de seguridad aceptable y acorde a los objetivos institucionales, desarrollando buenas prácticas para la gestión de la seguridad informática.

Red: Conjunto de computadoras y elementos interconectados que permiten una

comunicación entre sí y forman parte de un mismo ambiente. Responsabilidad: En términos de seguridad, significa determinar qué individuo en la

institución, es responsable directo de mantener seguros los activos de cómputo e información.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 10/27

Riesgo: Posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la institución.

Soporte Técnico: Personal designado o encargado de velar por el correcto

funcionamiento de las estaciones de trabajo, servidores o equipo de oficina dentro de la institución.

TCP/IP (Transfer Control Protocol/Internet Protocol): Son los protocolos de INTERNET más conocidos que garantizan la transmisión confiable de la información.

Usuario: Defínase a cualquier persona moral o física, que utilice los servicios informáticos

de la red institucional del INBAL y tenga una especie de vinculación académica, artística o laboral con la institución.

Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza sobre un

activo. WWW (World Wide Web): Término aplicado a la red mundial de información y páginas

electrónicas que integran diferentes facilidades al usuario como son: hipertexto, imágenes, sonidos, videos, textos y gráficos.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 11/27

1. SEGURIDAD ORGANIZACIONAL.

1.1. POLÍTICAS GENERALES DE SEGURIDAD.

Del Departamento de Redes y Comunicaciones.

Art. 1. Normar el correcto uso de los servicios de Internet y correo electrónico en el INBAL.

Art. 2. Establecer las medidas y mecanismos de control, monitoreo y seguridad, tanto para los accesos a páginas o sitios de Internet, como para los mensajes de correo con contenidos u orígenes sospechosos.

Art. 3. Que las conexiones a Internet cuenten con elementos de prevención, detección de intrusos, filtros contra virus, manejo de contenidos, entre otros, que afectan la integridad de los sistemas y la información institucionales.

Art. 4. Reducir el tráfico de mensajes, paquetes o transacciones no permitidos, que saturan la infraestructura de telecomunicaciones y generan actividad innecesaria en los servidores.

Art. 5. De acuerdo a la demanda de servicios, establecer prioridades, dando la más alta a las actividades consideradas esenciales para fomentar la educación y las artes, objetivo primordial del INBAL.

Art. 6. Controlar, suspender o revocar los códigos de acceso a cualquier usuario que haga mal uso de los recursos, viole las políticas de seguridad o interfiera con los derechos de otros usuarios.

Art. 7. Asignar la capacidad de memoria de almacenamiento a cada usuario, en función del perfil establecido y la disponibilidad del recurso en los servidores que administra la DSI.

Art. 8. Contratar enlaces o servicios de conectividad a Internet, ya sea directamente o vía terceros, por lo que queda restringido a cualquier otra área de la Institución obtener y utilizar enlaces y servicios que permitan la interconexión de las redes del INBAL hacia el exterior. La DSI es la única autorizada dentro del Instituto para realizar o autorizar ese tipo de contrataciones, esto podrá hacerlo atendiendo a necesidades especiales por cuenta de




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 12/27

las áreas, certificando la incorporación de las medidas de control y seguridad en los enlaces.

Art. 9. Establecer las normas de construcción y arquitectura de los sitios de Intranet, que optimicen el acceso a los servicios y la información disponible para los usuarios.

Art. 10. Administrar y asignar todas las direcciones IP del INBAL, así como los dominios y subdominios asignados al INBAL y a los servidores encargados de su resolución.

De los administradores de red.

Art. 1. Configurar los servidores de correo electrónico e Internet y de los equipos de cómputo en general.

Art. 2. Instalar y actualizar los antivirus y sistemas operativos, así como tener al día en los en servidores asignados, las actualizaciones y Aparches@ de programas institucionales licenciados y autorizados.

Art. 3. Llevar un registro y control de las direcciones IP de los equipos conectados a la red con acceso a Internet y la información de los usuarios, así como notificar al Departamento de Redes y Comunicaciones de las altas y bajas de usuarios para los servicios de correo electrónico e Internet.

Art. 4. Proporcionar al Departamento de Redes y Comunicaciones la documentación actualizada de la red local: planos de cableado, ubicación del equipo y relación de las asignaciones de direcciones IP.

Art. 5. Administrar los servicios locales de red como son www, correo electrónico, servidor de FTP y servidores de aplicaciones en red.

Art. 6. Solucionar fallas menores como son: cables desconectados, pérdida de suministro de energía eléctrica en los equipos de datos, desconfiguración de las computadoras de los usuarios o direcciones IP repetidas.

Art. 7. Supervisar el cumplimiento de las políticas y lineamientos institucionales.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 13/27

Del Departamento de Soporte Técnico.

Art. 1. Brindar mantenimiento preventivo y/o correctivo únicamente al equipo que

cuente con número de inventario, o se encuentre en comodato, debiendo en este último caso enviar a la DSI copia del contrato correspondiente.

Art. 2. Realizar respaldos diarios de la información contenida en los servidores del

Instituto.

Del Personal.

Art. 1. El empleado no tiene ningún derecho sobre la información que procese dentro de las instalaciones de la red institucional del INBAL.

Art. 2. La información que maneja o manipula el empleado, no puede ser divulgada a terceros o fuera del ámbito laboral.

Art. 3. El usuario se norma por las disposiciones de seguridad informática del INBAL.

Art. 4. Conocer y obedecer las políticas de seguridad establecidas en el presente documento, las cuales, una vez aprobadas se publicarán para su divulgación en la página institucional del INBAL (www.bellasartes.gob.mx/INBA/sites/admin/normateca/politicas.html).

Capacitación de usuarios.

Art. 1. La DSI capacitará a los enlaces informáticos en cuestiones de seguridad informática, basándose en lo establecido en el presente documento.

Art. 2. La DSI proporcionará las fechas en que se impartirán las capacitaciones.

Art. 3. El material de apoyo (manuales, guías, etc.) será entregado minutos antes de iniciar la capacitación.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 14/27

1.2. CLASIFICACIÓN Y CONTROL DE ACTIVOS

Responsabilidad por los activos.

Art. 1. Los titulares y administradores de los centros de trabajo del INBAL, son

responsables de los activos que se encuentran bajo su resguardo.

Art. 2. Los jefes de cada departamento del INBAL, son responsables de mantener o proteger los activos de mayor importancia.

Clasificación de la información.

Art. 1. Cada jefe de departamento dará importancia a la información en base al nivel de clasificación que demande el activo.

Art. 2. La información pública puede ser visualizada por cualquier persona dentro o fuera de la institución

Art. 3. La información confidencial es propiedad absoluta del INBAL, el acceso a ésta es permitido únicamente a personal administrativo autorizado.

Art. 4. Los niveles de seguridad se detallan como nivel de seguridad bajo, nivel de seguridad medio y nivel de seguridad alto.

Art. 5. La DSI tendrá la responsabilidad de priorizar una situación de la otra en cuanto a los problemas en las estaciones de trabajo.

Art. 6. La DSI implementará un Plan de Contingencia que indique claramente, qué hacer en caso de presentarse una situación extraordinaria.

Art. 7. En situaciones de emergencia que impliquen áreas de atención al cliente entre otros, se dará prioridad en el siguiente orden:

a) Área financiera y de personal b) Área educativa y de investigación c) Área administrativa




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 15/27

Art. 8. El Plan de Contingencia se elaborará tomando en cuenta aspectos basados en situaciones pasadas, y enmarcarlo en la pro actividad de situaciones futuras.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 16/27

1.3. RESPUESTA A INCIDENTES Y ANOMALÍAS DE SEGURIDAD

Art. 1. Los respaldos de información deberán ser almacenados en un sitio aislado y libre de cualquier daño o posible extracción por terceros dentro de la institución.

Art. 2. Los respaldos se utilizarán únicamente en casos especiales, ya que su contenido es de suma importancia para la institución.

Art. 3. El INBAL debe contar con respaldos de información ante cualquier incidente.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 17/27

2. SEGURIDAD LEGAL

2.1 DERECHOS DE PROPIEDAD INTELECTUAL

Art. 1. El INBAL se reserva el derecho de respaldo, a usuarios académicos, artísticos o administrativos, ante cualquier asunto legal relacionado a infracciones a las leyes de copyright o piratería de software.

Art. 2. Todo el software comercial que utilice el INBAL, deberá estar legalmente registrado en los contratos de arrendamiento o adquisición, con sus respectivas licencias y facturas de compra.

Art. 3. La adquisición de software por parte del personal que labore en el INBAL, no expresa el consentimiento de la institución, la instalación del mismo, no garantiza responsabilidad alguna para el INBAL, por ende la institución no se hace responsable de las actividades de sus empleados.

Art. 4. Tanto el software comercial como el software libre son propiedad intelectual exclusiva de sus desarrolladores, el INBAL respeta la propiedad intelectual y se rige por el contrato de licencia de sus autores.

Art. 5. El software comercial licenciado al INBAL, es propiedad exclusiva de la institución, la misma se reserva el derecho de reproducción de éste, sin el permiso de sus autores, respetando el esquema de cero piratería y/o distribución a terceros.

Art. 6. En caso de transferencia de software comercial a terceros, se harán las gestiones necesarias para su efecto y se acataran las medidas de licenciamiento relacionados con la propiedad intelectual.

Art. 7. Cualquier cambio en la política de utilización de software comercial o software libre, se hará documentado y en base a las disposiciones de la respectiva licencia.

Art. 8. El software desarrollado internamente por el personal que labora en el INBAL, es propiedad exclusiva de la institución.

Art. 9. La adquisición del software comercial o libre, deberá ser gestionado con las autoridades correspondientes y acatando sus disposiciones legales, en ningún momento se obtendrá software de forma fraudulenta.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 18/27

Art. 10. Los contratos con terceros en la gestión o prestación de un servicio, deberán especificar las medidas necesarias de seguridad, nivel de prestación del servicio y/o personal involucrado en tal proceso.

2.2. REVISIÓN DE POLÍTICAS DE SEGURIDAD Y CUMPLIMIENTO

Art. 1. La DSI, podrá implementar mecanismos de control que permitan identificar tendencias en el uso de recursos informáticos del personal interno o externo, para revisar la actividad de procesos que ejecuta y la estructura de los archivos que se procesan. El mal uso de los recursos informáticos que sea detectado, será reportado conforme a lo indicado en las Políticas de Seguridad.

Art. 2. Los desarrolladores de procesos propiedad del INBAL, deberán apoyar las acciones de revisión de cumplimiento de las Políticas de Seguridad.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 19/27

3. SEGURIDAD LÓGICA

3.1. CONTROL DEL ACCESO A USUARIOS DE LA RED INSTITUCIONAL DEL INBAL

Art. 1. La documentación de seguridad será resguardada por la DSI, esto incluye

folletos, guías, formularios, controles, etc.

Art. 2. La elaboración de la documentación relacionada con formularios, guías, etc., será elaborada por la DSI.

Art. 3. El personal encargado de brindar los servicios de comunicaciones, no está autorizado a brindar ninguna clase de servicios, mientras no se haya seguido el procedimiento establecido para ello.

3.2. ADMINISTRACIÓN DEL ACCESO A USUARIOS A LOS SERVICIOS INFORMÁTICOS DEL INBAL

Art. 1. El acceso a los sistemas y servicios de información es permitido únicamente a

los usuarios que dispongan de los permisos necesarios para su ejecución.

Art. 2. El usuario deberá proveer toda la información necesaria para poder brindarle los permisos necesarios para la ejecución de los servicios de la red institucional del INBAL.

Art. 3. Se brindará a los usuarios el acceso a los servicios de correo electrónico e Internet del INBAL, siempre que cumplan con el procedimiento establecido.

Art. 4. El usuario de correo electrónico e Internet, deberá limitarse a atender los requerimientos del Instituto, en el desempeño de las funciones encomendadas a su puesto y apegándose a la normatividad establecida.

Art. 5. Las claves de acceso son personales e intransferibles

Art. 6. Las contraseñas o password asignados a los usuarios, deberán ser de 6 caracteres como mínimo y 8 como máximo, debiendo combinarlo con una letra mayúscula al inicio y un carácter especial al final.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 20/27

Art. 7. La contraseña (password) de acceso, es de exclusiva responsabilidad del usuario a quien se le otorgó, por lo que no deberá publicarlo o tenerlo en lugar visible para que otra persona lo pueda manipular o hacer mal uso del equipo o información.

Art. 8. Es responsabilidad del usuario cambiar periódicamente su contraseña, de acuerdo a la criticidad de la información, procurando no reutilizar las últimas 4 contraseñas. En caso de no saber como realizar el cambio, el Departamento de Redes y Comunicaciones le brindará la asesoría necesaria.

Art. 9. El usuario es responsable de no dejar sesiones activas en su estación de trabajo cuando se ausente de su escritorio o sitio de trabajo. Por lo cual, es recomendable que una vez concluida su jornada laboral, apague su equipo para evitar que personas no autorizadas tengan acceso a él.

Art. 10. Los mensajes que se envíen vía Internet, serán de completa responsabilidad del usuario emisor, y en todo caso, deberán basarse en la racionalidad y la responsabilidad individual. Se asume que en ningún momento dichos mensajes podrán emplearse en contra de los intereses de personas individuales, así como de ninguna otra Institución.

Art. 11. En caso de necesitar bajar archivos o imágenes de la red, éstos deberán ser de un tamaño pequeño, a fin de no causar mucho tráfico y por consiguiente lentitud para los demás usuarios.

Art. 12. Deberá bajar periódicamente la información del servidor de correos a su equipo asignado para liberar la capacidad del servidor de correos.

Art. 13. Respetar los derechos de otras personas, tanto de propiedad intelectual como de equipo.

Art. 14. Deberá utilizar únicamente la cuenta que le ha sido asignada para tener acceso a sistemas y recursos.

Art. 15. Evitar el envío de archivos confidenciales a través del correo electrónico a menos que se utilicen técnicas de criptografía.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 21/27

Normativa del uso de correo electrónico.

Art. 1. La DSI es la única instancia facultada para autorizar el servicio de acceso a internet y correo electrónico.

Art. 2. La DSI asignará y/o renovará claves de acceso a correo electrónico e Internet, de acuerdo con el procedimiento establecido y comprometiendo al usuario a cumplir con los lineamientos.

Art. 3. Se asignarán cuentas de correo electrónico por departamento, creándose la cuenta con las iniciales del mismo. Ejem. [email protected]

Art. 4. Las cuentas personales se asignarán únicamente con el Vo.Bo. del Titular del Centro de Trabajo.

Art. 5. Queda prohibido enviar información por correo electrónico, cuentas FTP, o cualquier medio electrónico, clasificada como confidencial o que sin serlo, el usuario no tenga atribuciones que permitan su uso y divulgación, atenten contra los derechos de autor, sea falsa, difamatoria u ofensiva.

Art. 6. Queda prohibido el uso del correo electrónico e Internet para fines políticos y religiosos dentro y hacia fuera del Instituto.

Art. 7. Queda prohibido el uso de seudónimos y envío de mensajes anónimos, así como aquellos que consignen títulos, cargos o funciones no oficiales.

Art. 8. Queda prohibido el envío interno o hacia el exterior, de correos spam de cualquier índole. Se consideran correos spam aquellos no relacionados con las funciones específicas a los procesos de trabajo.

Art. 9. Se realizará un monitoreo periódico sobre el uso de los correos, a fin de dar de baja aquellas cuentas que no sean utilizadas. Adicionalmente a esto, se llevará acabo una depuración de forma semestral.

Art. 10. Es responsabilidad del titular de Centro de Trabajo que firma la solicitud, comunicar al Departamento de Redes y Comunicaciones cualquier circunstancia que implique la necesidad de eliminar el acceso solicitado o de modificarlo, ya sea porque el




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 22/27

usuario deje de pertenecer a su área, se ausente por comisión, licencia o incapacidad, o por el mal uso que se haga del servicio.

Usos aceptables de los servicios de Internet.

Art. 1. La comunicación entre artistas, académicos y personas relacionadas con labores administrativas, siempre y cuando exista un intercambio mutuo y en condiciones recíprocas.

Art. 2. Comunicación e intercambio con la comunidad académica, artística u otras instituciones, con el fin de tener acceso a los últimos avances relacionados con la especialidad del personal.

Acceso a sitios y contenidos no autorizados.

Art. 1. Cualquier actividad que sea lucrativa o comercial de carácter individual, privado o para negocio particular.

Art. 2. Para garantizar la seguridad de la información y el equipo informático, la DSI establecerá filtros y medidas para regular el acceso a contenidos en el cumplimiento de esta normatividad; por lo tanto, se prohíbe:

< La transmisión de materiales en violación de cualquier regulación establecida por el Gobierno Mexicano. Esto incluye materiales con derechos de propiedad intelectual.

< Utilizar los servicios de comunicación, incluyendo el correo electrónico o

cualquier otro recurso, para intimidar, insultar o acosar a otras personas, o interferir con el trabajo de los demás, provocando un ambiente de trabajo no deseable dentro del contexto de las políticas del INBAL.

< Utilizar los recursos del INBAL para el acceso no autorizado a redes y sistemas

remotos.

< Provocar deliberadamente el mal funcionamiento de computadoras, estaciones o terminales periféricos de redes y sistemas.

< Monopolizar los recursos en perjuicio de otros usuarios, incluyendo: el envío de

mensajes masivamente a todos los usuarios de la red, iniciación y facilitaciones




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 23/27

de cadenas, creación de procesos innecesarios, generar impresiones voluminosas, uso de recursos de impresión no autorizado.

< Poner información en la red que infrinja los derechos de los demás.

< Utilizar los servicios de red para juegos a través del servicio de Internet o

Intranet.

< Utilizar los servicios de red para ver publicaciones de deportes, pornografía o religión.

< Utilizar los servicios de red para enviar archivos que sean confidenciales.

< Utilizar los servicios para accesar a páginas de radio o TV en línea, así como

descargar archivos de música o video.

< Los servicios bancarios y servicios personales que se ofrecen vía Internet, podrán utilizarse en forma mesurada.

3.3. CONTROL DE ACCESO A LA RED.

Art. 1. El Departamento de Redes y Comunicaciones diseñará los mecanismos necesarios para proveer acceso a los servicios de la red institucional del INBAL.

Art. 2. Los mecanismos de autenticación y permisos de acceso a la red, deberán ser evaluados y aprobados por la DSI.

Art. 3. El Departamento de Redes y Comunicaciones, hará evaluaciones periódicas a los sistemas de red, con el objetivo de eliminar cuentas de acceso sin protección de seguridad y componentes de red comprometidos.

Art. 4. El Departamento de Redes y Comunicaciones, verificará que el tráfico de red sea estrictamente normal, la variación de este sin ninguna razón obvia, pondrá en marcha técnicas de análisis concretas.

Art. 5. Los dispositivos de red, estarán siempre activos y configurados correctamente para evitar anomalías en el tráfico y seguridad de información de la red institucional del INBAL.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 24/27

Art. 6. Se utilizarán mecanismos y protocolos de autenticación como claves privadas,

autenticación usuario/contraseña.

Art. 7. Los archivos de registro o logs de los dispositivos de red, deberán estar activados y configurados correctamente en cada dispositivo.

3.4. CONTROL DE ACCESO A LAS APLICACIONES

Art. 1. Las aplicaciones deberán contar con su respectiva documentación, la cual será entregada a los usuarios.

Art. 2. El usuario tendrá los permisos de aplicaciones necesarios para ejercer su trabajo.

Art. 3. Se establecerán niveles de acceso para los usuarios que hagan uso de las aplicaciones desarrolladas en la DSI.

Art. 4. Los niveles de acceso serán definidos por los Titulares de los Centros de Trabajo que soliciten el desarrollo de algún sistema, en base a lo importante o crítico de la información que se procesará.

Art. 5. Antes de ser puestas en ejecución las aplicaciones, deberán realizarse pruebas sobre fallos, información errónea que puedan procesar y seguridad de acceso.

Art. 6. La información será visualizada únicamente en terminales previamente definidas, ya sea mediante direccionamiento de hardware o direccionamiento IP.

Art. 7. En el registro de sucesos del sistema, se registrarán todas las actividades realizadas por los usuarios.

3.5. MONITOREO DEL ACCESO Y USO DEL SISTEMA

Art. 1. Los administradores de red tendrán especial cuidado al momento de instalar aplicaciones en los servidores, configurando correctamente cada servicio con sus respectivos permisos de ejecución.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 25/27

Art. 2. No le esta permitido al usuario realizar actividades de configuración de los sistemas de red, bajo ninguna circunstancia.

Art. 3. La cuenta administrativa es propiedad exclusiva de la DSI.

Art. 4. Las aplicaciones prestadoras de servicios correrán con cuentas restrictivas y

jamás con privilegios tan altos como los de la cuenta administrativa.

3.6. PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS

Art. 1. Ninguna persona que labore en el INBAL, está facultada para instalar software en las estaciones de trabajo, sin antes haber obtenido la aprobación de la DSI.

Art. 2. Sin importar el origen del software y la utilización del mismo dentro del INBAL, éste será evaluado, haya sido o no aprobada su utilización.

Art. 3. Ninguna clase de código ejecutable será puesto en marcha sin antes haber pasado el control de análisis de seguridad.

Art. 4. Antes de efectuar cualquier análisis o prueba sobre los sistemas de producción, se realizarán backups generales de la información que en ellos se procesa y del sistema en si.

Art. 5. Los sistemas que aun están conectados a la red, pero que no tienen utilización productiva alguna para el INBAL, se les deberá eliminar cualquier rastro de información que hayan contenido.

3.7. PROTECCIÓN CONTRA SOFTWARE MALICIOSO

Art.1. Para prevenir contaminaciones por virus informático, los usuarios del INBAL sólo utilizarán el software que haya sido valorado y asignado por la DSI.

Art. 2. Los usuarios de equipo de cómputo del INBAL, deberán verificar que la información y los medios de almacenamiento, considerando al menos discos flexibles, cd=s, cintas y cartuchos, estén libres de cualquier tipo de código malicioso, para lo cual deberán ejecutar el software antivirus autorizado e instalado por la DSI.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 26/27

Art. 3. Todos los archivos de computadora que sean proporcionados por personal interno o externo, considerando bases de datos, documentos y hojas de cálculo que tengan que ser descomprimidos, deberá verificarse que no contenga ningún tipo de virus antes de su ejecución.

Art. 4. Ninguna persona del INBAL, deberá intencionalmente escribir, generar,

compilar, copiar, propagar, ejecutar o tratar de introducir código de computadora diseñado para auto replicarse, dañar, o en otros casos, impedir el funcionamiento de cualquier memoria de computadora, archivos de sistema o software. Menos aún, probarlos en cualquiera de los ambientes o plataformas del INBAL.

Art. 5. Ningún usuario, empleado o personal externo, podrá bajar o descargar software de sistemas, boletines electrónicos, sistemas de correo electrónico, de mensajería instantánea y redes de comunicaciones externas, sin la previa autorización de la DSI.

Art.6. Cualquier usuario que sospeche de alguna infección por virus en su equipo de cómputo, deberá notificarlo inmediatamente al Departamento de Soporte Técnico de la DSI para su erradicación.

Art. 7. Los usuarios no deberán alterar o eliminar las configuraciones de seguridad para detectar y/o prevenir la propagación de virus que sean implantadas por el INBAL en: antivirus, outlook, office, navegadores u otros programas.

3.8. MANTENIMIENTO DE SISTEMAS Y EQUIPO DE CÓMPUTO

Art. 1. El usuario no está facultado para intervenir física o lógicamente ninguna estación de trabajo que amerite reparación.

Art. 2. Mientras se opera el equipo de cómputo, no se deberá fumar, consumir alimentos o ingerir líquidos, ya que estas acciones pueden dañar el equipo.

Art. 3. El usuario debe asegurarse que los cables de conexión no sean pisados o pinchados al colocar otros objetos encima o contra ellos.

Art. 4. Los usuarios deberán asegurarse de respaldar la información que consideren relevante, cuando el equipo sea enviado a la DSI a reparación, previendo así la pérdida involuntaria de información que pueda ocurrir en el proceso de reparación del equipo.




Clave: DSI-MPN-02

Autorizó: COMERI

Versión: 2.0.0

Fecha de Revisión:

Hoja: 27/27

Art. 5. En ningún momento es aceptable la modificación de archivos en los equipos informáticos, sino es bajo circunstancias especiales en las que de no hacerse de esa manera, el sistema quedaría inutilizable.

Art. 6. En caso de ser afirmativo el cambio de archivos, se hará un backup general de la aplicación o sistema al cual se realizará el cambio.

Art. 7. Cualquier falla efectuada en las aplicaciones o sistemas, por la manipulación

errónea de archivos, deberá notificarse a la DSI para su reparación.

Art. 8. Se deberá llevar una bitácora completa de los sistemas, en cuanto a las versiones de actualización del software y de las modificaciones y revisiones hechas a los sistemas.

3.9. SEGURIDAD EN EL MANEJO DE LOS MEDIOS DE ALMACENAMIENTO

Art. 1. La clasificación e identificación de los medios de almacenamiento, deberá ser acorde al propósito u objetivo por el cual se respalda.

Art. 2. Esta totalmente prohibido para los usuarios de la red institucional del INBAL, el intervenir con las labores de respaldo que realiza el personal de la DSI.

Art. 3. Bajo ninguna circunstancia se dejarán desatendidos los medios de almacenamiento, o copias de seguridad de los sistemas.

Art. 4. Todo medio de almacenamiento deberá ser documentado e inventariado en un registro específico y único, sobre medios de almacenamiento.

Art. 5. La ubicación de los medios de almacenamiento, deberá estar alejada del polvo, humedad o cualquier contacto con material o químicos corrosibles.

Art. 6. Entre la documentación de seguridad, deberá existir un control para la clasificación y resguardo de los medios de almacenamiento.

Documents

MANUAL DE POLÍTICAS Y NORMAS DE SEGURIDAD INFORMÁTICA fileManual de Políticas y N ormas de Seguridad Informática Elaborado por: Departamento de Redes y Comunicaciones y Mesa de