Professional Documents
Culture Documents
MANUAL DE POLTICAS Y ESTNDARES DE SEGURIDAD INFORMTICA ....................................................... 2 INTRODUCCIN ........................................................................................................................................... 3 1.- DISPOSICIONES GENERALES .................................................................................................................... 3 1.1 MBITO DE APLICACIN Y FINES ....................................................................................................................... 3 1.2 FRECUENCIA DE EVALUACIN DE LAS POLTICAS ................................................................................................... 3 1.3 BENEFICIOS .................................................................................................................................................. 3 2.- POLTICAS Y ESTNDARES DE SEGURIDAD DEL PERSONAL ...................................................................... 4 2.1.1 USUARIOS NUEVOS ..................................................................................................................................... 4 2.1.2 OBLIGACIONES DE LOS USUARIOS ................................................................................................................... 4 2.2 ENTRENAMIENTO EN SEGURIDAD INFORMTICA ................................................................................................... 4 2.3 MEDIDAS DISCIPLINARIAS ................................................................................................................................ 4 3.- POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL ............................................................. 4 3.1 RESGUARDO Y PROTECCIN DE LA INFORMACIN ................................................................................................. 5 3.2 CONTROLES DE ACCESO FSICO .......................................................................................................................... 5 3.3 SEGURIDAD EN REAS DE TRABAJO .................................................................................................................... 5 3.4 PROTECCIN Y UBICACIN DE LOS EQUIPOS ......................................................................................................... 5 3.5 MANTENIMIENTO DE EQUIPO ........................................................................................................................... 6 3.6 PRDIDA DE EQUIPO....................................................................................................................................... 6 3.7 USO DE DISPOSITIVOS ESPECIALES...................................................................................................................... 7 4.- POLTICAS Y ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE OPERACIONES DE CMPUTO .......... 7 4.1 USO DE MEDIOS DE ALMACENAMIENTO .............................................................................................................. 7 4.2 INSTALACIN DE SOFTWARE. ............................................................................................................................ 7 4.3 IDENTIFICACIN DEL INCIDENTE ........................................................................................................................ 8 4.4 ADMINISTRACIN DE LA CONFIGURACIN ........................................................................................................... 8 4.5 SEGURIDAD PARA LA RED ................................................................................................................................. 8 4.6 USO DEL CORREO ELECTRNICO........................................................................................................................ 8 4.7 CONTROLES CONTRA CDIGO MALICIOSO ........................................................................................................... 9 4.8 INTERNET ..................................................................................................................................................... 9 5.- POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICO ............................................................ 10 5.1 CONTROLES DE ACCESO LGICO ...................................................................................................................... 10 5.2 ADMINISTRACIN DE PRIVILEGIOS ................................................................................................................... 11 5.3 EQUIPO DESATENDIDO .................................................................................................................................. 11 5.4 ADMINISTRACIN Y USO DE CONTRASEA ......................................................................................................... 11 5.5 CONTROL DE ACCESOS REMOTOS .................................................................................................................... 11 6.- POLTICAS Y ESTNDARES DE CUMPLIMIENTO DE SEGURIDAD INFORMTICA ..................................... 12 6.1 DERECHOS DE PROPIEDAD INTELECTUAL ........................................................................................................... 12 6.2 REVISIONES DEL CUMPLIMIENTO ..................................................................................................................... 12 6.3 VIOLACIONES DE SEGURIDAD INFORMTICA ...................................................................................................... 12
Introduccin
La base para que cualquier organizacin pueda operar de una forma confiable en materia de Seguridad Informtica comienza con la definicin de las polticas y estndares. La Seguridad Informtica, es una funcin en la que se deben evaluar y administrar los riesgos, basndose en polticas y estndares que cubran las necesidades de la CGADM en materia de seguridad. Este documento se encuentra estructurado en cinco polticas generales de seguridad para usuarios de informtica, con sus respectivos estndares que consideran los siguientes puntos: Seguridad de Personal. Seguridad Fsica y Ambiental. Administracin de Operaciones de Cmputo. Controles de Acceso Lgico. Cumplimiento.
De igual forma es una herramienta que: Difunde las polticas y estndares de seguridad informtica a todo el personal de la Coordinacin General Administrativa Asegurara: Mayor integridad, confidencialidad y confiabilidad de la informacin generada por la CGADM al personal, los datos y el hardware y software disponibles; Minimiza: los riesgos en el uso de las tecnologas de informacin
1.3 Beneficios
Las polticas y estndares de seguridad informtica establecidas dentro de este documento son la base para la proteccin de los activos tecnolgicos e informacin de la CGADM.
Todo usuario de bienes y servicios informticos al ingresar como personal CGADM acepta las condiciones de confidencialidad, de uso adecuado de los recursos informticos y de informacin de la Coordinacin General Administrativa, as como el estricto apego al Manual de Polticas y Estndares de Seguridad Informtica para Usuarios. Los usuarios debern cumplir con lo establecido en el Manual de Polticas y Estndares de Seguridad Informtica para Usuarios.
Los mecanismos de control de acceso fsico para el personal y terceros deben permitir el acceso a las instalaciones y reas restringidas de la Coordinacin General Administrativa slo a personas autorizadas para la salvaguarda de los equipos de cmputo y de comunicaciones.
3.4.2 El rea de Inventarios ser la encargada de generar el resguardo y recabar la firma del usuario informtico como responsable de los activos informticos que se le asignen y de conservarlos en la ubicacin autorizada por el Sistemas y Tcnica. 3.4.3 El equipo de cmputo asignado, deber ser para uso exclusivo de las funciones de la Coordinacin General Administrativa.
3.4.4 Ser responsabilidad del usuario solicitar la capacitacin necesaria para el manejo de las herramientas informticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para aprovechar al mximo las mismas. 3.4.5 Es responsabilidad de los usuarios almacenar su informacin nicamente en la particin de disco duro en el servidor o en mis Mis Documentos ya que las otras estn destinadas para archivos de programa y sistema operativo. 3.4.6 Mientras se opera el equipo de cmputo, no se debern consumir alimentos o ingerir lquidos. 3.4.7 Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilacin del monitor o del CPU. 3.4.8 Se debe mantener el equipo informtico en un entorno limpio y sin humedad. 3.4.9 El usuario debe asegurarse que los cables de conexin no sean pisados o pinchados al colocar otros objetos encima o contra ellos en caso de que no se cumpla solicitar un reacomodo de cables con el personal de Sistemas y Calidad. 3.4.10 Cuando se requiera realizar cambios mltiples del equipo de cmputo derivado de reubicacin de lugares fsicos de trabajo, stos debern ser notificados con una semana de anticipacin al rea de Sistemas y Calidad a travs de un plan detallado. 3.4.11 Queda prohibido que el usuario abra o desarme los equipos de cmputo.
3.7.3 Si algn rea por requerimientos muy especficos del tipo de aplicacin o servicio de informacin tiene la necesidad de contar con uno de ellos, deber ser justificado y autorizado por el rea de Tecnologas de la Informacin.
3.8 Dao del equipo 3.8.1 El equipo de cmputo o cualquier recurso de tecnologa de informacin que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario quien resguarda el equipo, se levantara un reporte de incumplimiento de polticas de seguridad.
Los usuarios debern proteger la informacin que reside y utiliza la infraestructura tecnolgica de la Coordinacin General Administrativa. De igual forma, debern proteger la informacin reservada o confidencial que por necesidades institucionales deba ser almacenada o transmitida, ya sea dentro de la red interna de la Coordinacin General Administrativa o hacia redes externas como Internet. Los usuarios de la CGADM que hagan uso de equipo de cmputo, deben conocer y aplicar las medidas para la prevencin de cdigo malicioso como pueden ser virus, caballos de Troya o gusanos de red.
4.2.2 Se considera una falta grave el que los usuarios instalen cualquier tipo de programa (software) en sus computadoras, estaciones de trabajo, servidores, o cualquier equipo conectado a la red de la Coordinacin General Administrativa, que no est autorizado por el rea de Sistemas y Calidad.
4.3.3 Cualquier incidente generado durante la utilizacin u operacin de los activos de tecnologa de informacin de la CGADM debe ser reportado al Sistemas y Calidad de la Informacin.
4.6.2 Los usuarios deben tratar los mensajes de correo electrnico y archivos adjuntos como informacin de propiedad de la CGADM. Los mensajes de correo electrnico deben ser manejados como una comunicacin privada y directa entre emisor y receptor. 4.6.3 Los usuarios podrn enviar informacin reservada y/o confidencial va correo electrnico siempre y cuando vayan de manera encriptada y destinada exclusivamente a personas autorizadas y en el ejercicio estricto de sus funciones y atribuciones 4.6.4 Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un usuario de correo electrnico. 4.6.5 Queda prohibido interceptar, revelar o ayudar a terceros a interceptar o revelar las comunicaciones electrnicas.
4.7.3 Todos los archivos de computadora que sean proporcionados por personal externo o interno considerando al menos programas de software, bases de datos, documentos y hojas de clculo que tengan que ser descomprimidos, el usuario debe verificar que estn libres de virus utilizando el software antivirus autorizado antes de ejecutarse.
4.7.4 Ningn usuario, empleado o personal externo, podr bajar o descargar software de sistemas, boletines electrnicos, sistemas de correo electrnico, de mensajera instantnea y redes de comunicaciones externas, sin la debida autorizacin del rea de Sistemas y Calidad. 4.7.5 Cualquier usuario que sospeche de alguna infeccin por virus de computadora, deber dejar de usar inmediatamente el equipo y llamar al rea de Sistemas y Calidad para la deteccin y erradicacin del virus. 4.7.6 Los usuarios no debern alterar o eliminar, las configuraciones de seguridad para detectar y/o prevenir la propagacin de virus que sean implantadas por la CGADM en: Antivirus, Outlook, office, Navegadores u otros programas. 4.7.7 Debido a que algunos virus son extremadamente complejos, ningn usuario de la CGADM debe intentar erradicarlos de las computadoras.
4.8 Internet
4.8.1 El acceso a Internet provisto a los usuarios de la CGADM es exclusivamente para las actividades relacionadas con las necesidades del puesto y funcin que desempea.
4.8.2 Todos los accesos a Internet tienen que ser realizados a travs de los canales de acceso provistos por la CGADM, en caso de necesitar una conexin a Internet especial, sta tiene que ser notificada y aprobada por el rea de Sistemas y Calidad.
4.8.3 Los usuarios de Internet de la CGADM tienen que reportar todos los incidentes de seguridad informtica al rea de Sistemas y Calidad inmediatamente despus de su identificacin, indicando claramente que se trata de un incidente de seguridad informtica. 4.8.4 Los usuarios del servicio de navegacin en Internet, al aceptar el servicio estn aceptando que: Sern sujetos de monitoreo de las actividades que realiza en Internet. Saben que existe la prohibicin al acceso de pginas no autorizadas. Saben que existe la prohibicin de transmisin de archivos reservados o confidenciales no autorizados. Saben que existe la prohibicin de descarga de software sin la autorizacin del rea de Sistemas y Calidad. La utilizacin de Internet es para el desempeo de su funcin y puesto en la CGADM y no para propsitos personales.
Cada usuario es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, de su identificador de usuario y contrasea necesarios para acceder a la informacin y a la infraestructura tecnolgica de la CGADM, por lo cual deber mantenerlo de forma confidencial. El permiso de acceso a la informacin que se encuentra en la infraestructura tecnolgica de la CGADM, debe ser proporcionado por el dueo de la informacin, con base en el principio de la necesidad de saber el cual establece que nicamente se debern otorgar los permisos mnimos necesarios para el desempeo de sus funciones.
5.1.4 Cada usuario que acceda a la infraestructura tecnolgica de la CGADM debe contar con un identificador de usuario (UserID) nico y personalizado. Por lo cual no est permitido el uso de un mismo UserID por varios usuarios. 5.1.5 Los usuarios son responsables de todas las actividades realizadas con su identificador de usuario (UserID). Los usuarios no deben divulgar ni permitir que otros utilicen sus identificadores de usuario, al igual que tienen prohibido utilizar el UserID de otros usuarios.
5.4.3 Est prohibido que las contraseas se encuentren de forma legible en cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlos. 5.4.4 Sin importar las circunstancias, las contraseas nunca se deben compartir o revelar. Hacer esto responsabiliza al usuario que prest su contrasea de todas las acciones que se realicen con el mismo. 54.5 Todo usuario que tenga la sospecha de que su contrasea es conocido por otra persona, deber cambiarlo inmediatamente. 5.4.6 Los usuarios no deben almacenar las contraseas en ningn programa o sistema que proporcione esta facilidad.
6.2.2 El rea de Sistemas y Calidad podr implantar mecanismos de control que permitan identificar tendencias en el uso de recursos informticos del personal interno o externo, para revisar la actividad de procesos que ejecuta y la estructura de los archivos que se procesan. El mal uso de los recursos informticos que sea detectado ser reportado conforme a lo indicado en la poltica de Seguridad de Personal. 6.2.3 Los jefes y responsables de los procesos establecidos en la CGADM deben apoyar las revisiones del cumplimiento de los sistemas con las polticas y estndares de seguridad informtica apropiadas y cualquier otro requerimiento de seguridad.
12