MANUAL DE POLITICAS Y

ESTANDARES DE
SEGURIDAD
INFORMATICA PARA
USUARIOS.
Despacho de valuacin inmobiliaria con fines fiscales y bancarios.

Arq. Mara Isabel lvarez Noreico, perito valuador de inmuebles con registro.
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

Elaborado Por : Revis : Autoriz :

Julio Alberto Magaa Tajimaroa. Mara Isabel lvarez Noreico. Mara Isabel lvarez Noreico.
Sistemas, Desarrollo e Informtica. Perito Valuador Inmobiliario Perito Valuador Inmobiliario
Tcnico de Sistemas Responsable Director del despacho de Avalos Director del despacho de Avalos

CONTENIDO

PROPOSITO

INTRODUCCIN

OBJETIVO

ALCANCE

BENEFICIOS

1.- POLITICA Y ESTANDARES DE SEGURIDAD PARA EL PERSONAL

POLITICA

1.1 OBLIGACIONES DE LOS USUARIOS

1.2 ACUERDOS DE USO Y CONFIDENCIALIDAD
1.3 ENTRENAMIENTO DE SEGURIDAD INFORMATICA
1.4 MEDIDAS DICIPLINARIAS

1
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

2.- POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL

POLITICA

2.4 PROTECCIN DE LOS EQUIPOS

2.5 MANTENIMIENTO DE EQUIPO
2.6 PRDIDA DE EQUIPO
2.7 USO DE DISPOSITIVOS ESPECIALES

3.- POLTICAS Y ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE OPERACIONES DE CMPUTO

POLITICA

3.1 USO DE MEDIOS DE ALMACENAMIENTO

3.2 INSTALACIN DE SOFTWARE.
3.3 IDENTIFICACIN DE INCIDENTES
3.4 ADMINISTRACIN DE LA CONFIGURACIN
3.5 SEGURIDAD PARA LA RED
3.6 USO DEL CORREO ELECTRNICO
3.7 CONTROLES CONTRA CDIGO MALICIOSO Y USO DE ANTIVIRUS
3.8 INTERNET

4.- POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICO

POLITICA

4.1 CONTROLES DE ACCESO LGICO

4.2 ADMINISTRACIN DE PRIVILEGIOS
4.3 EQUIPO DESATENDIDO
4.4 ADMINISTRACIN Y USO DE PASSWORDS
4.5 CONTROL DE ACCESOS REMOTOS
4.6 CIFRADO DE INFORMACIN DE HSBC

5.- POLTICAS Y ESTNDARES DE CUMPLIMIENTO DE SEGURIDAD INFORMTICA

POLITICA

5.1 REVISIONES DEL CUMPLIMIENTO

5.2 VIOLACIONES DE SEGURIDAD INFORMTICA
5.3 MANTENIMIENTO Y ACTUALIZACIN DE LOS EQUIPOS

GLOSARIO DE TERMINOS

2
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA

PROPSITO

El presente documento tiene como finalidad dar a conocer las polticas y estndares de seguridad informtica que
debern tener en cuenta los usuarios de equipos de cmputo e informacin, para la proteccin adecuada de la
informacin en el despacho de valuacin.

INTRODUCCIN

La seguridad informtica es el rea que se enfoca a la proteccin de la infraestructura computacional y todo lo

relacionado con esta y, especialmente, la informacin contenida o circulante. Para ello se crearon una serie de
estndares y protocolos, mtodos y reglas que ayudan a minimizar los posibles riesgos a la infraestructura o a la
informacin.

La base para el ptimo desarrollo de cualquier organizacin depende de la definicin y cumplimiento de polticas y
estndares de seguridad informtica las cuales cubran las necesidades del despacho de valuacin en materia de
seguridad.

Este documento se encuentra estructurado en cinco polticas generales de seguridad para usuarios de informtica con
sus respectivos estndares que consideran los siguientes puntos:

Seguridad de personal
Seguridad fsica y ambiental
Administracin de operaciones de computo
Controles de acceso lgico
Cumplimiento

Estas polticas de seguridad informtica se encuentran basadas en los reglamentos estndar internacionales y adecuados
a las necesidades solicitadas y expuestas por el perito valuador responsable del despacho.

OBJETIVO

Difundir las polticas y estndares de seguridad informtica a todo personal y/o usuario de equipo de cmputo en el
despacho de avalos, para que sea de su conocimiento y cumplimiento en los recursos informticos utilizados.

ALCANCE

El documento describe las polticas y los estndares de seguridad que debern observar y tener en cuenta de manera
obligatoria todos los usuarios para el buen uso de los equipos de cmputo, aplicaciones y servicios informticos del
despacho de valuacin.

3
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

BENEFICIOS

Las polticas y estndares de seguridad informtica establecidas dentro de este documento son la base para la
proteccin de los activos tecnolgicos e informacin del despacho de avalos.

1. POLTICAS Y ESTNDARES DE SEGURIDAD DEL PERSONAL

POLITICA

Todo usuario de bienes y servicios informticos deben de firmar un convenio en el que acepte las condiciones de
confidencialidad, de uso adecuado de los recursos informticos y de informacin del despacho de valuacin,
especficamente lo relacionado a la informacin relacionada a HSBC, Institucin de banca mltiple, as como el estricto
apego al Manual de Polticas y Estndares de seguridad informtica para usuarios. Los usuarios debern cumplir con lo
establecido en el Manual de Polticas y Estndares de seguridad informtica para usuarios.

1.1 Obligaciones de los usuarios

Es responsabilidad de los usuarios de bienes y servicios informticos cumplir las Polticas y Estndares de Seguridad
Informtica para Usuarios del presente Manual.

1.2 Acuerdos de uso y confidencialidad

Todos los usuarios de bienes y servicios informticos del despacho de avalos deben firmar de aceptacin el convenio
de confidencialidad y uso adecuado de los recursos informticos y de informacin del despacho de avalos, as como
comprometerse a cumplir con lo establecido en el Manual de Polticas y Estndares de Seguridad Informtica para
Usuarios.

1.3 Entrenamiento en seguridad informtica

Todo empleado o colaborador del despacho de avalos de nuevo ingreso deber de contar con la induccin sobre el
Manual de Polticas y Estndares de Seguridad Informtica para Usuarios, a travs del tcnico responsable de sistemas
del despacho de avalos donde se den a conocer las obligaciones para los usuarios y las sanciones que pueden existir en
caso de incumplimiento.

4
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

1.4 Medidas disciplinarias

1.4.1. Cuando el tcnico responsable de sistemas del despacho de avalos identifique el incumplimiento al presente
Manual remitir el reporte o denuncia correspondiente al perito valuador responsable, para los efectos de su
competencia y atribuciones.

1.4.2. Se consideran violaciones graves el robo, dao, divulgacin de informacin reservada o confidencial del despacho
de avalos, o de que se le declare culpable de un delito informtico.

2. POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL

POLITICA

Los mecanismos de control de acceso fsico para el personal y terceros deben permitir el acceso a las instalaciones y
reas restringidas del despacho de avalos slo a personas autorizadas para la salvaguarda de los equipos de cmputo y
de comunicaciones, as como a las instalaciones del despacho de avalos.

2.1 Proteccin y ubicacin de los equipos

2.1.1. Ser responsabilidad del usuario solicitar la capacitacin necesaria para el manejo de las herramientas
informticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para aprovechar al mximo las mismas.

2.1.2. Es responsabilidad de los usuarios almacenar su informacin nicamente en la particin de disco duro identificada
como HSBC o similares, ya que las otras estn destinadas para archivos de programa y sistema operativo.

2.1.3. Mientras se opera el equipo de cmputo, no se debern consumir alimentos o ingerir lquidos

2.1.4. Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilacin del monitor o del CPU.

2.1.5. Se debe mantener el equipo informtico en un entorno limpio y sin humedad

2.1.6. El usuario debe asegurarse que los cables de conexin no sean pisados o pinchados al colocar otros objetos
encima o contra ellos.

2.1.7. Cuando se requiera realizar cambios mltiples del equipo de cmputo derivado de reubicacin de lugares fsicos
de trabajo, stos debern ser notificados con una semana de anticipacin al tcnico de sistemas responsable a travs de
un plan detallado de movimientos debidamente autorizados por el perito valuador.

2.1.8. Queda prohibido que el usuario abra o desarme los equipos de cmputo.

5
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

2.2 Mantenimiento de equipo

2.2.1. nicamente el personal autorizado por el perito valuador o el tcnico en sistemas responsable podr llevar a cabo
los servicios y reparaciones al equipo informtico, por lo que los usuarios debern solicitar la identificacin del personal
designado antes de permitir el acceso a sus equipos.

2.2.2. Los usuarios debern asegurarse de respaldar la informacin que consideren relevante cuando el equipo sea
enviado a reparacin y borrar aquella informacin sensible que se encuentre en el equipo, previendo as la prdida
involuntaria de informacin, derivada del proceso de reparacin.

2.3 Prdida de Equipo

2.3.1. El usuario deber dar aviso inmediato al rea de sistemas, al perito valuador y al rea correspondiente en HSBC de
la desaparicin, robo o extravo del equipo de cmputo o accesorios bajo su resguardo.

2.4 Uso de dispositivos especiales

2.4.1. El uso de los grabadores de DVD es exclusivo para respaldos de informacin que por su volumen as lo justifiquen.

2.4.2. La asignacin de este tipo de equipo ser previa justificacin por escrito y autorizacin del perito valuador.

2.4.3. El usuario que tenga bajo su resguardo este tipo de dispositivos ser responsable del buen uso que se le d.

2.4.4. Queda prohibido el uso de mdems externos en las computadoras de escritorio.

2.4.5. Si algn rea por requerimientos muy especficos del tipo de aplicacin o servicio de informacin tiene la
necesidad de contar con uno de ellos, deber ser justificado y autorizado por el perito valuador.

2.4.6. Los mdems internos debern existir solo en las computadoras porttiles y no se debern utilizar dentro de las
instalaciones de la Comisin para conectarse a ningn servicio de informacin externo.

3. POLTICAS Y ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE OPERACIONES DE CMPUTO

POLITICA

Los usuarios debern utilizar los mecanismos designados para proteger la informacin que reside y utiliza la
infraestructura tecnolgica del despacho de avalos. De igual forma, debern proteger la informacin reservada o
confidencial que por necesidades institucionales deba ser almacenada o transmitida, ya sea dentro de la red interna del
despacho de avalos o hacia redes externas como Internet. Los usuarios del despacho de avalos que hagan uso de

6
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico
equipo de cmputo, deben conocer y aplicar las medidas para la prevencin de cdigo malicioso como pueden ser virus,
caballos de Troya o gusanos de red.

3.1 Uso de medios de Almacenamiento

3.1.1. En caso de que por el volumen de informacin se requiera algn respaldo en CD o DVD, este servicio deber
solicitarse por escrito al tcnico en sistemas responsable y con la firma del perito valuador responsable del despacho.

3.2 Instalacin de software.

3.2.1. Los usuarios que requieran la instalacin de software que no sea propiedad del despacho de avalos, debern
justificar su uso y solicitar su autorizacin al tcnico en sistemas responsable, a travs de un oficio firmado por el perito
valuador responsable del despacho, indicando el equipo de cmputo donde se instalar el software y el perodo de
tiempo que permanecer dicha instalacin.

3.2.2. Se considera una falta grave el que los usuarios instalen cualquier tipo de programa (software) en sus
computadoras, estaciones de trabajo, servidores, o cualquier equipo conectado a la red del despacho de avalos, que no
est autorizado por el tcnico en sistemas responsable.

3.3 Identificacin del incidente

3.3.1. El usuario que sospeche o tenga conocimiento de la ocurrencia de un incidente de seguridad informtica deber
reportarlo al tcnico en sistemas responsable, y al banco (HSBC), mediante bitcora de reporte lo antes posible,
indicando claramente los datos por los cuales lo considera un incidente de seguridad informtica.

3.3.2. Cuando exista la sospecha o el conocimiento de que informacin confidencial o reservada ha sido revelada,
modificada, alterada o borrada sin la autorizacin de las unidades administrativas competentes, el usuario informtico
deber notificar al tcnico en sistemas responsable, y al banco (HSBC), mediante bitcora de reporte lo antes posible.

3.3.3. Cualquier incidente generado durante la utilizacin u operacin de los activos de tecnologa de informacin del
despacho de avalos debe ser reportado al tcnico en sistemas responsable, y al banco (HSBC), mediante bitcora de
reporte lo antes posible.

3.4 Administracin de la configuracin

3.4.1. Los usuarios del despacho de avalos no deben establecer redes de rea local, conexiones remotas a redes
internas o externas, intercambio de informacin con otros equipos de cmputo utilizando el protocolo de transferencia
de archivos (FTP), u otro tipo de protocolo para la transferencia de informacin empleando la infraestructura de red del
despacho de avalos, sin la autorizacin del tcnico en sistemas responsable y el perito valuador responsable del
despacho de avalos

7
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

3.5 Seguridad para la red

3.5.1. Ser considerado como un ataque a la seguridad informtica y una falta grave, cualquier actividad no autorizada
por el tcnico en sistemas responsable, en la cual los usuarios realicen la exploracin de los recursos informticos en la

red del despacho de avalos, as como de las aplicaciones que sobre dicha red operan, con fines de detectar y explotar
una posible vulnerabilidad.

3.5.2. El firewall de los equipos de el despacho de avalos siempre estar habilitado.

3.5.3. La configuracin del modem de internet deber ser modificada, modificando el usuario y la contrasea de fabrica
de este equipo para asegurar que no haya conexiones inalmbricas indeseadas o riesgosas.

3.5.4. La configuracin de seguridad del modem deber de ser siempre WPA2 para redes inalmbricas.

3.6 Uso del Correo electrnico

3.6.1. Los usuarios deben tratar los mensajes de correo electrnico y archivos adjuntos como informacin de propiedad
del despacho de avalos. Los mensajes de correo electrnico deben ser manejados como una comunicacin privada y
directa entre emisor y receptor.

3.6.2. Los usuarios podrn enviar informacin reservada y/o confidencial va correo electrnico siempre y cundo vayan
de manera encriptada y destinada exclusivamente a personas autorizadas y en el ejercicio estricto de sus funciones y
atribuciones

3.6.3. El usuario debe de utilizar el correo electrnico del despacho de avalos nica y exclusivamente a los recursos que
tenga asignados y las facultades que les hayan sido atribuidas para el desempeo de su trabajo, quedando prohibido
cualquier otro uso.

3.6.4. Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un usuario de correo electrnico.

3.6.5. Queda prohibido interceptar, revelar o ayudar a terceros a interceptar o revelar las comunicaciones electrnicas.

3.7 Controles contra cdigo malicioso

3.7.1. Para prevenir infecciones por virus informtico, los usuarios del despacho de avalos no deben hacer uso de
cualquier clase de software que no haya sido proporcionado y validado por el tcnico en sistemas responsable.

3.7.2. Los usuarios del despacho de avalos deben verificar que la informacin y los medios de almacenamiento,
considerando al menos DVDs, CD's, discos extrables (memorias USB), estn libres de cualquier tipo de cdigo malicioso,
para lo cual deben ejecutar el software antivirus autorizado por el tcnico en sistemas responsable.

8
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

3.7.3. Todos los archivos de computadora que sean proporcionados por personal externo o interno considerando al
menos programas de software, bases de datos, documentos y hojas de clculo que tengan que ser descomprimidos, el
usuario debe verificar que estn libres de virus utilizando el software antivirus autorizado antes de ejecutarse.

3.7.4. Ningn usuario del despacho de avalos debe intencionalmente escribir, generar, compilar, copiar, propagar,
ejecutar o tratar de introducir cdigo de computadora diseado para auto replicarse, daar, o en otros casos impedir el
funcionamiento de cualquier memoria de computadora, archivos de sistema, o software. Mucho menos probarlos en
cualquiera de los ambientes o plataformas del despacho de avalos. El incumplimiento de este estndar ser
considerado una falta grave.

3.7.5. Ningn usuario, empleado o personal externo, podr bajar o descargar software de sistemas, boletines
electrnicos, sistemas de correo electrnico, de mensajera instantnea y redes de comunicaciones externas, mensajera
web o redes sociales.

3.7.6. Cualquier usuario que sospeche de alguna infeccin por virus de computadora, deber dejar de usar
inmediatamente el equipo y llamar al tcnico en sistemas responsable para la deteccin y erradicacin del virus.

3.7.7. Cada usuario que tenga bajo su resguardo algn equipo de cmputo personal porttil, ser responsable de
solicitar al tcnico en sistemas responsable peridicamente las actualizaciones del software antivirus.

3.7.8. Los usuarios no debern alterar o eliminar, las configuraciones de seguridad para detectar y/o prevenir la
propagacin de virus que sean implantadas por el despacho de avalos en: Antivirus, Outlook, office, Navegadores u
otros programas.

3.7.9. Debido a que algunos virus son extremadamente complejos, ningn usuario del despacho de avalos debe
intentar erradicarlos de las computadoras.

3.7.10. El software antivirus deber escanear en 100% de archivos y trfico informtico en los equipos, deber estar
configurado para que escanee correos electrnicos de entrada y salida, dispositivos extrables y navegacin en internet,
el software antivirus por ningn motivo ser deshabilitado ni cambiadas sus configuraciones.

3.8 Internet

3.8.1. El acceso a Internet provisto a los usuarios del despacho de avalos es exclusivamente para las actividades
relacionadas con las necesidades del puesto y funcin que desempea.

3.8.2. La asignacin del servicio de Internet, deber solicitarse por escrito al tcnico en sistemas responsable, sealando
los motivos por los que se desea el servicio. Esta solicitud deber contar con el visto bueno del perito valuador.

3.8.3. Todos los accesos a Internet tienen que ser realizados a travs de los canales de acceso provistos por el despacho
de avalos.

9
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

3.8.4. Los usuarios de Internet del despacho de avalos tienen que reportar todos los incidentes de seguridad
informtica al tcnico en sistemas responsable Y A HSBC a travs de bitcora de incidentes inmediatamente despus de
su identificacin, indicando claramente que se trata de un incidente de seguridad informtica.

3.8.5. El acceso y uso de mdem en el despacho de avalos tiene que ser previamente autorizado por eltcnico en
sistemas responsables.

3.8.6. Los usuarios del servicio de navegacin en Internet, al aceptar el servicio estn aceptando que:

Sern sujetos de monitoreo de las actividades que realiza en Internet.

Saben que existe la prohibicin al acceso de pginas no autorizadas.
Saben que existe la prohibicin de transmisin de archivos reservados o confidenciales no autorizados.
Saben que existe la prohibicin de descarga de software sin la autorizacin del tcnico en sistemas responsable.

La utilizacin de Internet es para el desempeo de su funcin y puesto en el despacho de avalos y no para propsitos
personales.

4. POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICO

POLITICA

Cada usuario es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, de su identificador
de usuario y password necesarios para acceder a la informacin y a la infraestructura tecnolgica del despacho de
avalos, por lo cual deber mantenerlo de forma confidencial. El permiso de acceso a la informacin que se encuentra
en la infraestructura tecnolgica del despacho de avalos, debe ser proporcionado por el dueo de la informacin, con
base en el principio de la necesidad de saber el cual establece que nicamente se debern otorgar los permisos
mnimos necesarios para el desempeo de sus funciones.

4.1 Controles de acceso lgico

4.1.1. El acceso a la infraestructura tecnolgica del despacho de avalos para personal externo debe ser autorizado por
el perito valuador responsable, quien deber notificarlo al tcnico en sistemas responsable quien lo habilitar.

4.1.2. Est prohibido que los usuarios utilicen la infraestructura tecnolgica del despacho de avalos para obtener
acceso no autorizado a la informacin u otros sistemas de informacin del despacho de avalos.

4.1.3. Todos los usuarios de servicios de informacin son responsables por el UserID y password que recibe para el uso y
acceso de los recursos

4.1.4. Todos los usuarios debern autenticarse por los mecanismos de control de acceso provistos por el tcnico en
sistemas responsable antes de poder usar la infraestructura tecnolgica del despacho de avalos.

10
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

4.1.5. Los usuarios no deben proporcionar informacin a personal externo, de los mecanismos de control de acceso a las
instalaciones e infraestructura tecnolgica del despacho de avalos, a menos que se tenga la autorizacin del dueo de
la informacin y del perito valuador.

4.1.6. Cada usuario que acceda a la infraestructura tecnolgica del despacho de avalos debe contar con un
identificador de usuario (UserID) nico y personalizado. Por lo cual no est permitido el uso de un mismo UserID por
varios usuarios.

4.1.7. Los usuarios son responsables de todas las actividades realizadas con su identificador de usuario (UserID). Los
usuarios no deben divulgar ni permitir que otros utilicen sus identificadores de usuario, al igual que tienen prohibido
utilizar el UserID de otros usuarios.

4.2 Administracin de privilegios

4.2.1 Cualquier cambio en los roles y responsabilidades de los usuarios que modifique sus privilegios de acceso a la
infraestructura tecnolgica del despacho de avalos, debern ser notificados al tcnico en sistemas responsable con el
visto bueno del perito valuador

4.3.2 Cualquier cambio en los roles y responsabilidades de los usuarios que modifique sus privilegios de acceso a la
infraestructura tecnolgica del despacho de avalos, debern ser notificados al tcnico en sistemas responsable con el
visto bueno del perito valuador.

4.3 Equipo desatendido

4.3.1 Los usuarios debern mantener sus equipos de cmputo con controles de acceso como passwords y protectores
de pantalla (screensaver) previamente instalados y autorizados, mismos que debern ser programados para que entren
en modo bloqueo despus de un mximo de 10 minutos de inactividad cuando no se encuentren en su lugar de trabajo.

4.4 Administracin y uso de Passwords

4.4.1. La asignacin del password debe ser realizada de forma individual, por lo que el uso de passwords compartidos
est prohibido.

4.4.2. Cuando un usuario olvide, bloquee o extrave su password, deber levantar un reporte dirigido al tcnico de
sistemas responsable para que se le proporcione un nuevo password y una vez que lo reciba deber cambiarlo en el
momento en que acceda nuevamente a la infraestructura tecnolgica.

4.4.3. La obtencin o cambio de un password debe hacerse de forma segura, el usuario deber acreditarse ante el
tcnico en sistemas responsable como empleado o colaborador del despacho de avalos.

4.4.4. Esta prohibido que los passwords se encuentren de forma legible en cualquier medio impreso y dejarlos en un
lugar donde personas no autorizadas puedan descubrirlos.

11
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

4.4.5. Sin importar las circunstancias, los passwords nunca se deben compartir o revelar. Hacer esto responsabiliza al
usuario que prest su password de todas las acciones que se realicen con el mismo.

4.4.6. Todos los usuarios debern observar los siguientes lineamientos para la construccin de sus passwords:

Deben estar compuestos de al menos seis (6) caracteres y mximo diez (10), estos caracteres deben ser alfanumricos.
Deben ser difciles de adivinar, esto implica que los passwords no deben relacionarse con el trabajo o la vida personal
del usuario, y no deben contener caracteres que expresen listassecuenciales y caracteres de control.

No deben ser idnticos o similares a passwords que hayan usado previamente.

4.4.7. El password tendr una vigencia de 90 das, finalizando este periodo el usuario debe notificar al tcnico en
sistemas responsable para proceder al cambio del mismo.

4.4.8. Todo usuario que tenga la sospecha de que su password es conocido por otra persona, deber cambiarlo
inmediatamente.

4.4.9. Los usuarios no deben almacenar los passwords en ningn programa o sistema que proporcione esta facilidad.

4.4.10. Los cambios o desbloqueo de passwords solicitados por el usuario al tcnico responsable en sistemas sern
notificados con posterioridad por correo electrnico al solicitante con copia al perito valuador responsable, de tal forma
que se pueda detectar y reportar cualquier cambio no solicitado.

4.5 Control de accesos remotos

4.5.1. Esta prohibido el acceso a redes externas va dial-up, cualquier excepcin deber ser documentada y contar con el
visto bueno del tcnico en sistemas responsable.

4.5.2. La administracin remota de equipos conectados a Internet no esta permitida, salvo que se cuente con la
autorizacin y con un mecanismo de control de acceso seguro autorizado por el dueo de la informacin y del tcnico
en sistemas responsable.

4.6 Cifrado de informacin de HSBC

4.6.1. Para el caso de la informacin proveniente de los avalos asignado por HSBC Institucin de banca multiple, se
utilizara la particin especifica creada en el equipo que es de uso exclusivo para estos avalos, esta particin dedicada
lleva el nombre de HSBC y cuenta con una encriptacin tipo AES de 128 bits, creada por el programa Bitlocker creado
por Microsoft Inc.

4.6.2. Todos los medios extrables (Memorias USB, CDs, DVDs o discos duros extrables) que por algn motivo deban
contener informacin de HSBC Institucin de banca multiple, debern ser sometidos al proceso de encriptacin en el
programa Bitlocker.

12
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

5. POLTICAS Y ESTNDARES DE CUMPLIMIENTO DE SEGURIDAD INFORMTICA

POLITICA

El tcnico en sistemas tiene como una de sus funciones la de proponer y revisar el cumplimiento de normas y polticas
de seguridad, que garanticen acciones preventivas y correctivas para la salvaguarda de equipos e instalaciones de
cmputo, as como de bancos de datos de informacin automatizada en general.

5.1 Revisiones del cumplimiento

5.1.1. El tcnico en sistemas responsable realizar acciones de verificacin del cumplimiento del Manual de Polticas y
Estndares de Seguridad Informtica para Usuarios.

5.1.2. El tcnico en sistemas responsable podr implantar mecanismos de control que permitan identificar tendencias en
el uso de recursos informticos del personal interno o externo, para revisar la actividad de procesos que ejecuta y la
estructura de los archivos que se procesan. El mal uso de los recursos informticos que sea detectado ser reportado
conforme a lo indicado en la poltica de Seguridad de Personal.

5.1.3. Los dueos de los procesos establecidos en el despacho de avalos deben apoyar las revisiones del cumplimiento
de los sistemas con las polticas y estndares de seguridad informtica apropiadas y cualquier otro requerimiento de
seguridad.

5.2 Violaciones de seguridad Informtica

5.2.1. Est prohibido el uso de herramientas de hardware o software para violar los controles de seguridad informtica.

5.2.2. Est prohibido realizar pruebas a los controles de los diferentes elementos de Tecnologa de Informacin. Ninguna
persona puede probar o intentar comprometer los controles internos.

5.2.3. Ningn usuario del despacho de avalos debe probar o intentar probar fallas de la Seguridad Informtica
identificadas o conocidas, a menos que estas pruebas sean controladas y aprobadas por el tcnico en sistemas
responsable.

5.2.4. No se debe intencionalmente escribir, generar, compilar, copiar, coleccionar, propagar, ejecutar o intentar
introducir cualquier tipo de cdigo (programa) conocidos como virus, gusanos caballos de Troya, diseado para auto
replicarse, daar o afectar el desempeo o acceso a las computadoras, redes o informacin del despacho de avalos.

5.3. Mantenimiento y actualizacin de los equipos.

5.3.1. El tcnico de sistema responsable se encargara de dar mantenimiento adecuado al sistema operativo, y llevar un
control muy puntual en los procedimientos de actualizaciones del sistema operativo.

13
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

Glosario de trminos

Es una recopilacin de palabras claves que se encuentran en el documento, las cules pueden ser trminos tcnicos, o
bien palabras con un significado especial para el proceso definido. Su objetivo es lograr que se maneje un mismo
concepto y evitar cualquier tipo de confusin para el correcto entendimiento del documento. Su estructura deber ser
por orden alfabtico y la definicin de los trminos deber ser clara y breve Se recomienda marcar en el documento con
negritas o en cursiva las palabras claves que puedan causar mayor conflicto para el entendimiento general del proceso.

Acceso : Tipo especfico de interaccin entre un sujeto y un objeto que resulta en el flujo de informacin de uno a otro.
Es el privilegio de un sujeto para utilizar un objeto.

Acceso Fsico : Es la actividad de ingresar a un rea.

Acceso Lgico : Es la habilidad de comunicarse y conectarse a un activo tecnolgico para utilizarlo, o bien usar su
informacin.

Acceso Remoto : Conexin de dos dispositivos de cmputo ubicados en diferentes lugares fsicos por medio de lneas de
comunicacin ya sean telefnicas o por medio de redes de rea
amplia que permiten el acceso de aplicaciones e informacin de la red. Este tipo de acceso
normalmente viene acompaado de un sistema robusto de autenticacin.

Aplicacin : Accin que se realiza a travs de un programa de manera directa con el usuario.
Navegadores, Chat, correo electrnico, etc. Son algunos ejemplos de aplicaciones en el medio
de Internet.

Antivirus : Programa que busca y eventualmente elimina los virus informticos que pueden haber infectado un disco
rgido o disquete.

Ataque : Actividades encaminadas a quebrantar las protecciones establecidas de un activo especfico, con la finalidad de
obtener acceso a ese activo y lograr afectarlo.

Archivo : Una coleccin identificada de registros relacionados.

Autorizacin : Es el proceso de asignar a los usuarios permisos para realizar actividades de acuerdo a su perfil o puesto.

Base de Datos : Coleccin almacenada de datos relacionados, requeridos por las organizaciones e individuos para que
cumplan con los requerimientos de proceso de informacin y recuperacin de datos.

14
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

CD : Medio de almacenamiento de informacin.

Cdigo Malicioso : Hardware, software o firmware que es intencionalmente introducido en un sistema con un fin
malicioso o no autorizado. Un caballo de Troya es ejemplo de un cdigo malicioso.

Comprimir (zip) : Reducir el tamao de los archivos sin que stos pierdan nada de su informacin. Zip es el nombre de la
extensin que contiene un archivo comprimido.

Computadora : Es un conjunto de dispositivos electrnicos que forman una mquina electrnica capaz de procesar
informacin siguiendo instrucciones almacenadas en programas.

Confidencialidad : Se refiere a que la informacin no sea divulgada a personal no autorizado para su conocimiento.

Control de Acceso : Es un mecanismo de seguridad diseado para prevenir, salvaguardar y detectar acceso no autorizado
y permitir acceso autorizado a un activo tecnolgico.

Copyright : Derecho que tiene un autor, incluido el autor de un programa informtico, sobre todas y cada una de sus
obras y que le permite decidir en qu condiciones han de ser stas reproducidas y distribuidas. Aunque este derecho es
legalmente irrenunciable puede ser ejercido de forma tan restrictiva o tan generosa como el autor decida. El smbolo de
este derecho es .

Correo Electrnico o Email : La funcionalidad es similar a usar el correo normal, pero ahora el individuo puede utilizar
una computadora y un software para enviar mensajes o paquetes a otro individuo o grupo de personas a una direccin
especifica a travs de la red o Internet.

Cuentas de Usuario : Es un identificador, el cual es asignado a un usuario del sistema para el acceso y uso de la
computadora, sistemas, aplicaciones, red, etc.

Descargar : Accin de transferir informacin computarizada de una computadora a otra.

Descomprimir (unzip) : Accin que se lleva a cabo despus de haber comprimido un archivo para regresarlo a su estado
original.

Discos pticos : Los discos pticos son medios de almacenamiento de informacin que presentan una capa interna
protegida, donde se guardan los bits mediante el uso de un rayo lser, ste al ser reflejado, permite detectar variaciones
microscpicas de propiedades pticoreflectivas ocurridas como consecuencia de la grabacin realizada en la escritura.
Un sistema ptico con lentes encamina el haz luminoso, y lo enfoca como un punto en la capa del disco

Disponibilidad : Se refiere a que la informacin est disponible en el momento que se requiera.

Dominio : Sistema de denominacin de host en Internet. Conjunto de caracteres que identifica y diferencian los
diferentes sitios Web.

15
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

Encripcin : Proceso matemtico donde los datos de un mensaje, por seguridad, son codificados para protegerlos de
accesos no deseados. El trmino encripcin como tal, no existe en el lenguaje espaol, el trmino correcto es cifrado de
datos.

Estndar : Los estndares son actividades, acciones, reglas o regulaciones obligatorias diseadas para proveer a las
polticas de la estructura y direccin que requieren para ser efectivas y significativas.

Falta administrativa : Es la consecuencia que resulta del incumplimiento de la normatividad.

Freeware (Software Libre) : Programas que se pueden bajar desde Internet sin cargo.

FTP : Protocolo de transferencia de Archivos. Es un protocolo estndar de comunicacin, que proporciona un camino
simple para extraer y colocar archivos compartidos entre computadoras sobre un ambiente de red

Gusano : Programa de computadora que puede replicarse a s mismo y enviar copias de una
computadora a otra a travs de conexiones de la red, antes de su llegada al nuevo sistema, el
gusano debe estar activado para replicarse y propagarse nuevamente, adems de la propagacin, el gusano desarrolla
en los sistemas de cmputo funciones no deseadas.

Hardware : Se refiere a las caractersticas tcnicas y fsicas de las computadoras.

Herramientas de seguridad : Son mecanismos de seguridad automatizados que sirven para proteger o salvaguardar a la
infraestructura tecnolgica de una Comisin.

Impacto : Magnitud del dao ocasionado a un activo en caso de que se materialice una amenaza
Incidente de seguridad : Cualquier evento que represente un riesgo para la adecuada conservacin de la
confidencialidad, integridad o disponibilidad de la informacin utilizada en el desempeo de nuestra funcin Integridad
Se refiere a la prdida o deficiencia en la autorizacin, totalidad o exactitud de la informacin de la organizacin. Es un
principio de seguridad que asegura que la informacin y los sistemas de informacin no sean modificados de forma
intencional o accidental. Internet o World Wide Web (www) Es un sistema a nivel mundial de computadoras conectadas
a una misma red, conocida como la red de redes en donde cualquier usuarios consulta informacin de otra computadora
conectada a esta red e incluso sin tener permisos necesarios acceder a dichos activos.

Intrusin : Es la accin de introducirse o acceder sin autorizacin a un activo tecnolgico.

16
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

Lenguaje de Programacin : Sistema de escritura para la descripcin precisa de algoritmos o programas informticos.

Maltrato, descuido o negligencia : Son todas aquellas acciones que de manera voluntaria o involuntaria el usuario
ejecuta y como consecuencia daa los recursos tecnolgicos.

Mecanismos de seguridad o de control : Es un control manual o automtico para proteger la informacin, activos
tecnolgicos, instalaciones, etc. que se utiliza para disminuir la probabilidad de que una vulnerabilidad exista, sea
explotada, o bien ayude a reducir el impacto en caso de que sea explotada.

Medios Magnticos : (medios de almacenamiento) Son todos aquellos medios en donde se

pueden almacenar cualquier tipo de informacin (diskettes, CDs, Cintas, Cartuchos, etc.).
.
Metodologa : Es un conjunto de procedimientos ordenados y documentados que son diseados para alcanzar un
objetivo en particular y comnmente son divididos en fases o etapas de trabajo previamente definidas.

Mdem : Es un aparato electrnico que se adapta una Terminal o computadora y se conecta a una red de
comunicaciones (red telefnica). Los mdems convierten los pulsos digitales de una computadora en frecuencias dentro
de la gama de audio del sistema telefnico. Cuando acta en calidad de receptor, un mdem decodifica las frecuencias
entrantes.

Necesidad de saber, principio o base : Es un principio o base de seguridad que declara que los usuarios deben tener
exclusivamente acceso a la informacin, instalaciones o recursos tecnolgicos de informacin entre otros que necesitan
para realizar o completar su trabajo cumpliendo con sus roles y responsabilidades dentro de la Comisin.

Nodo : Punto principal en el cual se les da acceso a una red a las terminales o computadoras.

Normatividad : Conjunto de lineamientos que debern seguirse de manera obligatoria para cumplir un fin dentro de una
organizacin

Pgina Web : Ver sitio Web.

Parche (patch) : Un parche (algunas veces llamado Fix) son piezas de programacin que representan una
solucin rpida al software o sistema, para incrementar la seguridad o incrementar la funcionalidad del mismo.

Password : Contrasea. Secuencia de caracteres utilizados para determinar que un usuario especfico requiere acceso a
un computadora personal, sistema, aplicacin o red en particular.
Tpicamente est compuesto de 6-10 caracteres alfanumricos.
17
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

Respaldo : Archivos, equipo, datos y procedimientos disponibles para el uso en caso de una falla o prdida, si los
originales se destruyen o quedan fuera de servicio.

Riesgo : Es el potencial de que una amenaza tome ventaja de una debilidad de seguridad (vulnerabilidad) asociadas con
un activo, comprometiendo la seguridad de ste. Usualmente el riesgo se mide por el impacto que tiene y su
probabilidad de ocurrencia.

Servidor : Computadora que responde peticiones o comandos de una computadora cliente. El cliente y el servidor
trabajan conjuntamente para llevar a cabo funciones de aplicaciones distribuidas. El servidor es el elemento que cumple
con la colaboracin en la arquitectura
cliente-servidor.

Sitio Web : El sitio Web es una lugar virtual en el ambiente de Internet, el cual proporciona informacin diversa para el
inters del pblico, donde los usuarios deben proporcionar la direccin de dicho lugar para llegar a el.

Software : Programas y documentacin de respaldo que permite y facilita el uso de la computadora. El software controla
la operacin del hardware.

Software Antivirus : Aplicaciones que detectan, evitan y posiblemente eliminan todos los virus
conocidos, de los archivos ubicados en el disco duro y en la memoria de las computadoras.

Switch : Dispositivo de red que filtra y direcciona paquetes a las direcciones destinatarias. El switch opera en la capa de
enlace de datos del modelo OSI.

Tarjeta Inteligente : Es una tarjeta de plstico del tamao de una tarjeta de crdito, que incorpora un microchip, en el
cual se puede cargar datos como nmeros telefnicos anteriormente llamados, pagos realizados a travs de medios
electrnicos y otro tipo de aplicaciones, las cuales pueden ser actualizadas para usos adicionales.

User-ID (identificacin de usuario) : Se denomina al nombre de usuario con el cual accedemos a una pgina o sistema en
el que previamente nos hemos registrado. Este
nombre puede estar compuesto de letras, nmeros o signos.
Usuario : Este trmino es utilizado para distinguir a cualquier persona que utiliza algn sistema, computadora personal,
o dispositivo (hardware).

18
MAYO - 2014
 MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA PARA USUARIOS.
Despacho de Valuacin Inmobiliaria. Arq. Mara Isabel lvarez Noreico

Virus : Programas o cdigos maliciosos diseados para esparcirse y copiarse de una computadora a otra por medio de
los enlaces de telecomunicaciones o al compartir archivos o diskettes de computadoras.

Vulnerabilidad : Es una debilidad de seguridad o hueco de seguridad, el cual indica que el activo es susceptible a recibir
un dao a travs de un ataque, ya sea intencionado o accidental.

19
MAYO - 2014