MANUAL DE POLTICAS Y ESTNDARES DE SEGURIDAD INFORMTICA PARA USUARIOS

Manual de Polticas y Estndares de Seguridad Informtica El presente documento tiene como finalidad dar a conocer las polticas y estndares de Seguridad Informtica que debern observar los usuarios de servicios de tecnologas de informacin, para proteger adecuadamente los activos tecnolgicos y la informacin de la Coordinacin General Administrativa Propsito Introduccin La base para que cualquier organizacin pueda operar de una forma confiable en mat eria de Seguridad Informtica comienza con la definicin de las polticas y estndares. La Seguridad Informtica, es una funcin en la que se deben evaluar y administrar lo s riesgos, basndose en polticas y estndares que cubran las necesidades de la CGADM en materia de seguridad. Este documento se encuentra estructurado en cinco poltic as generales de seguridad para usuarios de informtica, con sus respectivos estndar es que consideran los siguientes puntos: Seguridad de Personal. Seguridad Fsica y Ambiental. Administracin de Operaciones de Cmputo. Controles de Acceso Lgico. Cump limiento. Objetivo Difundir las polticas y estndares de seguridad informtica a todo el personal de la Coordinacin General Administrativa, para que sea de su conocimiento y cumplimient o en los recursos informticos utilizados o asignados. Beneficios Las polticas y estndares de seguridad informtica establecidas dentro de este docume nto son la base para la proteccin de los activos tecnolgicos e informacin de la CGA DM. Dependencias que conforman la Coordinacin General Administrativa: - Oficina de la CGADM - Coordinacin de Obras y Proyectos - Unidad de Presupuesto - Corporativo d e Empresas Universitarias rea de Tecnologas de Informacin (TI): Oficina CGADM Coord inacin de Obras y Proyectos Unidad de Presupuesto Corporativo de Empresas Univers itarias rea de Sistemas y Tcnica rea de Computo rea de Apoyo Tcnico e Informtica Nuevas Tecnologas

1.- POLTICAS Y ESTNDARES DE SEGURIDAD DEL PERSONAL Poltica Todo usuario de bienes y servicios informticos al ingresar como personal CGADM ac epta las condiciones de confidencialidad, de uso adecuado de los recursos informt icos y de informacin de la Coordinacin General Administrativa, as como el estricto apego al Manual de Polticas y Estndares de Seguridad Informtica para Usuarios. Los usuarios debern cumplir con lo establecido en el Manual de Polticas y Estndares de Seguridad Informtica para Usuarios. 1.1 Obligaciones de los usuarios Es responsabilidad de los usuarios de bienes y servicios informticos cumplir las Polticas y Estndares de Seguridad Informtica para Usuarios del presente Manual. 1.2 Entrenamiento en seguridad informtica Todo empleado de la Coordinacin General Administrativa de nuevo ingreso deber cont ar con la induccin sobre el Manual de Polticas y Estndares de Seguridad Informtica pa ra Usuarios, donde se den a conocer las obligaciones para los usuarios y las sanc iones que pueden existir en caso de incumplimiento. 1.3 Medidas disciplinarias Se consideran violaciones graves el robo, dao, divulgacin de informacin reservada o confidencial de esta dependencia, o de que se le declare culpable de un delito informtico. 2.- POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL Poltica Los mecanismos de control de acceso fsico para el personal y terceros deben permi tir el acceso a las instalaciones y reas restringidas de la Coordinacin General Ad ministrativa slo a personas autorizadas para la salvaguarda de los equipos de cmpu to y de comunicaciones. 2.1.1 El usuario deber reportar de forma inmediata al rea de Tecnologas de Informacin cuando detecte que existan riesgos reales o potenciale s para equipos de cmputo o comunicaciones, como pueden ser fugas de agua, conatos de incendio u otros. 2.1 Resguardo y proteccin de la informacin 2.1.2 El usuario tiene la obligacin de proteger las unidades de almacenamiento qu e se encuentren bajo su administracin, an cuando no se utilicen y contengan inform acin reservada o confidencial. 2.1.3 Es responsabilidad del usuario evitar en todo momento la fuga de la inform acin de la Coordinacin General Administrativa que se

encuentre almacenada en los equipos de cmputo personal que tenga asignados. 2.2 Controles de acceso fsico 2.2.1 Cualquier persona que tenga acceso a las instalaciones de la Coordinacin Ge neral Administrativa, deber registrar al momento de su entrada, el equipo de cmput o, equipo de comunicaciones, medios de almacenamiento y herramientas que no sean propiedad de la CGADM, en el rea de recepcin, el cual podrn retirar el mismo da. En caso contrario deber tramitar la autorizacin de salida correspondiente. 2.2.2 Las computadoras personales, las computadoras porttiles, y cualquier activo de tecno loga de informacin, podr salir de las instalaciones de la Coordinacin General Admini strativa nicamente con la autorizacin de salida del rea de Inventarios anexando el vale de salida del equipo debidamente por el secretario de la oficina o la equiv alente en las dependencias de la CGADM 2.3 Seguridad en reas de trabajo 2.3.1 Los centros de cmputo de la Coordinacin General Administrativa son reas restr ingidas, por lo que slo el personal autorizado por el rea de Tecnologas de la Infor macin puede acceder a l. 2.4 Proteccin y ubicacin de los equipos 2.4.1 Los usuarios no deben mover o reubicar los equipos de cmputo o de telecomun icaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorizacin del rea de Tecnologas de la Informacin, en caso de requerir este servicio deber solicitarlo. 2.4.2 El rea de Inventarios ser la encargada de generar el resguardo y recabar la firma del usuario informtico como responsable de los a ctivos informticos que se le asignen y de conservarlos en la ubicacin autorizada p or el rea de Tecnologas de la Informacin. 2.4.3 El equipo de cmputo asignado, deber s er para uso exclusivo de las funciones de la Coordinacin General Administrativa. 2.4.4 Ser responsabilidad del usuario solicitar la capacitacin necesaria para el m anejo de las herramientas informticas que se utilizan en su equipo, a fin de evit ar riesgos por mal uso y para aprovechar al mximo las mismas. 2.4.5 Es responsabi lidad de los usuarios almacenar su informacin nicamente en la particin de disco dur o identificada como Mis Documentos ya que las otras estn destinadas para archivos d e programa y sistema operativo. 2.4.6 Mientras se opera el equipo de cmputo, no s e debern consumir alimentos o ingerir lquidos. 2.4.7 Se debe evitar colocar objeto s encima del equipo o cubrir los orificios de ventilacin del monitor o del CPU.

2.4.8 Se debe mantener el equipo informtico en un entorno limpio y sin humedad. 2 .4.9 El usuario debe asegurarse que los cables de conexin no sean pisados o pinch ados al colocar otros objetos encima o contra ellos en caso de que no se cumpla solicitar un reacomodo de cables con el personal de Tecnologas de la Informacin 2. 4.10 Cuando se requiera realizar cambios mltiples del equipo de cmputo derivado de reubicacin de lugares fsicos de trabajo, stos debern ser notificados con una semana de anticipacin al rea de Tecnologas de la Informacin a travs de un plan detallado. 2 .4.11 Queda prohibido que el usuario abra o desarme los equipos de cmputo. 2.5 Mantenimiento de equipo 2.5.1 nicamente el personal autorizado por el rea de Tecnologas de la Informacin pod r llevar a cabo los servicios y reparaciones al equipo informtico. 2.5.2 Los usuar ios debern asegurarse de respaldar la informacin que consideren relevante cuando e l equipo sea enviado a reparacin y borrar aquella informacin sensible que se encue ntre en el equipo, previendo as la prdida involuntaria de informacin, derivada del proceso de reparacin. 2.6 Prdida de Equipo 2.6.1 El usuario que tenga bajo su resguardo algn equipo de cmputo, ser responsable de su uso y custodia; en consecuencia, responder por dicho bien de acuerdo a la normatividad vigente en los casos de robo, extravo o prdida del mismo. 2.6.2 El prs tamo de laptops tendr que solicitarse en el rea de Tecnologas de la Informacin, con el visto bueno del Secretario de la oficina de la CGADM o su equivalente en las dependencias de la Coordinacion. 2.6.3 El usuario deber dar aviso inmediato al rea de Tecnologas de la Informacin, e Inventarios de la desaparicin, robo o extravo del equipo de cmputo o accesorios bajo su resguardo. 2.7 Uso de dispositivos especiales 2.7.1 El uso de los grabadores de discos compactos es exclusivo para copias de s eguridad de software y para respaldos de informacin que por su volumen as lo justi fiquen. 2.7.2 El usuario que tenga bajo su resguardo este tipo de dispositivos s er responsable del buen uso que se le d. 2.7.3 Si algn rea por requerimientos muy especficos del tipo de aplicacin o servicio de informacin tiene la necesidad de contar con uno de ellos, deber ser justificad o y autorizado por el rea de Tecnologas de la Informacin.

2.8 Dao del equipo 2.8.1 El equipo de cmputo o cualquier recurso de tecnologa de informacin que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario quien resguarda el equipo, se levantara un reporte de incumplimiento de polticas de seguridad. 3.- POLTICAS Y ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE OPERACIONES DE CMPUTO Poltica Los usuarios debern proteger la informacin que reside y utiliza la infraestructura tecnolgica de la Coordinacin General Administrativa. De igual forma, debern proteg er la informacin reservada o confidencial que por necesidades institucionales deb a ser almacenada o transmitida, ya sea dentro de la red interna de la Coordinacin General Administrativa o hacia redes externas como Internet. Los usuarios de la CGADM que hagan uso de equipo de cmputo, deben conocer y aplicar las medidas par a la prevencin de cdigo malicioso como pueden ser virus, caballos de Troya o gusan os de red. 3.1 Uso de medios de almacenamiento 3.1.1 Los usuarios de informtica de la Coordinacin General Administrativa deben co nservar los registros o informacin que se encuentra activa y aquella que ha sido clasificada como reservada o confidencial. 3.1.2 Las actividades que realicen lo s usuarios en la infraestructura de Tecnologa de Informacin de la Coordinacin Gener al Administrativa son registradas y susceptibles de auditora. 3.2 Instalacin de software. 3.2.1 Los usuarios que requieran la instalacin de software que no sea propiedad d e la Coordinacin General Administrativa, debern justificar su uso y solicitar su a utorizacin por el rea de Tecnologas de la Informacin indicando el equipo de cmputo do nde se instalar el software y el perodo de tiempo que permanecer dicha instalacin. 3 .2.2 Se considera una falta grave el que los usuarios instalen cualquier tipo de programa (software) en sus computadoras, estaciones de trabajo, servidores, o c ualquier equipo conectado a la red de la Coordinacin General Administrativa, que no est autorizado por el rea de Tecnologas de la Informacin. 3.3 Identificacin del incidente 3.3.1 El usuario que sospeche o tenga conocimiento de la ocurrencia de un incide nte de seguridad informtica deber reportarlo al rea de Tecnologas de la Informacin lo antes posible, indicando claramente los datos por los cuales lo considera un in cidente de seguridad informtica. 3.3.2 Cuando exista la sospecha o el conocimient o de que informacin confidencial o reservada ha sido revelada, modificada, altera da o borrada sin la autorizacin de las unidades administrativas

competentes, el usuario informtico deber notificar al rea de Tecnologas de la Inform acin. 3.3.3 Cualquier incidente generado durante la utilizacin u operacin de los activos de tecnologa de informacin de la CGADM debe ser reportado al rea de Tecnologas de l a Informacin. 3.4 Administracin de la configuracin 3.4.1 Los usuarios de las reas de la Coordinacin General Administrativa no deben e stablecer redes de rea local, conexiones remotas a redes internas o externas, int ercambio de informacin con otros equipos de cmputo utilizando el protocolo de tran sferencia de archivos (FTP), u otro tipo de protocolo para la transferencia de i nformacin empleando la infraestructura de red de la Coordinacin General Administra tiva, sin la autorizacin del rea de Tecnologas de la Informacin. 3.5.1 Ser considerad o como un ataque a la seguridad informtica y una falta grave, cualquier actividad no autorizada por el rea de Tecnologas de la Informacin, en la cual los usuarios r ealicen la exploracin de los recursos informticos en la red de la CGADM, as como de las aplicaciones que sobre dicha red operan, con fines de detectar y explotar u na posible vulnerabilidad. 3.5 Seguridad para la red 3.6 Uso del Correo electrnico 3.6.1 Los usuarios no deben usar cuentas de correo electrnico asignadas a otras p ersonas, ni recibir mensajes en cuentas de otros. Si fuera necesario leer el cor reo de alguien ms (mientras esta persona se encuentre fuera o de vacaciones) el u suario ausente debe re direccionar el correo a otra cuenta de correo interno, qu edando prohibido hacerlo a una direccin de correo electrnico externa a la CGADM, a menos que cuente con la autorizacin del rea de Tecnologas de la Informacin. 3.6.2 L os usuarios deben tratar los mensajes de correo electrnico y archivos adjuntos co mo informacin de propiedad de la CGADM. Los mensajes de correo electrnico deben se r manejados como una comunicacin privada y directa entre emisor y receptor. 3.6.3 Los usuarios podrn enviar informacin reservada y/o confidencial va correo electrnic o siempre y cuando vayan de manera encriptada y destinada exclusivamente a perso nas autorizadas y en el ejercicio estricto de sus funciones y atribuciones 3.6.4 Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un usua rio de correo electrnico. 3.6.5 Queda prohibido interceptar, revelar o ayudar a t erceros a interceptar o revelar las comunicaciones electrnicas. 3.7 Controles contra cdigo malicioso 3.7.1 Para prevenir infecciones por virus informtico, los usuarios de la CGADM no deben hacer uso de software que no haya sido proporcionado y validado por el rea de Tecnologas de la Informacin.

3.7.2 Los usuarios de la CGADM deben verificar que la informacin y los medios de almacenamiento, estn libres de cualquier tipo de cdigo malicioso, para lo cual deb en ejecutar el software antivirus autorizado por el rea de Tecnologas de la Inform acin. 3.7.3 Todos los archivos de computadora que sean proporcionados por personal ext erno o interno considerando al menos programas de software, bases de datos, docu mentos y hojas de clculo que tengan que ser descomprimidos, el usuario debe verif icar que estn libres de virus utilizando el software antivirus autorizado antes d e ejecutarse. 3.7.4 Ningn usuario, empleado o personal externo, podr bajar o descargar software de sistemas, boletines electrnicos, sistemas de correo electrnico, de mensajera ins tantnea y redes de comunicaciones externas, sin la debida autorizacin del rea de Te cnologas de la Informacin. 3.7.5 Cualquier usuario que sospeche de alguna infeccin por virus de computadora, deber dejar de usar inmediatamente el equipo y llamar a l rea de Tecnologas de la Informacin para la deteccin y erradicacin del virus. 3.7.6 Los usuarios no debern alterar o eliminar, las configuraciones de seguridad para detectar y/o prevenir la propagacin de virus que sean implantadas por la CGADM en : Antivirus, Outlook, office, Navegadores u otros programas. 3.7.7 Debido a que algunos virus son extremadamente complejos, ningn usuario de la CGADM debe intent ar erradicarlos de las computadoras. 3.8 Internet 3.8.1 El acceso a Internet provisto a los usuarios de la CGADM es exclusivamente para las actividades relacionadas con las necesidades del puesto y funcin que de sempea. 3.8.2 Todos los accesos a Internet tienen que ser realizados a travs de lo s canales de acceso provistos por la CGADM, en caso de necesitar una conexin a In ternet especial, sta tiene que ser notificada y aprobada por el rea de Tecnologas d e la Informacin. 3.8.3 Los usuarios de Internet de la CGADM tienen que reportar todos los inciden tes de seguridad informtica al rea de Tecnologas de la Informacin inmediatamente des pus de su identificacin, indicando claramente que se trata de un incidente de segu ridad informtica. 3.8.4 Los usuarios del servicio de navegacin en Internet, al ace ptar el servicio estn aceptando que: Sern sujetos de monitoreo de las actividades que realiza en

Internet. Saben que existe la prohibicin al acceso de pginas no autorizadas. Saben que existe la prohibicin de transmisin de archivos reservados o confidenciales no autorizados. Saben que existe la prohibicin de descarga de software sin la autor izacin del rea de Tecnologas de la Informacin. La utilizacin de Internet es para el d esempeo de su funcin y puesto en la CGADM y no para propsitos personales. 4.- POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICO Poltica Cada usuario es responsable del mecanismo de control de acceso que le sea propor cionado; esto es, de su identificador de usuario y contrasea necesarios para acce der a la informacin y a la infraestructura tecnolgica de la CGADM, por lo cual deb er mantenerlo de forma confidencial. El permiso de acceso a la informacin que se e ncuentra en la infraestructura tecnolgica de la CGADM, debe ser proporcionado por el dueo de la informacin, con base en el principio de la necesidad de saber el cual establece que nicamente se debern otorgar los permisos mnimos necesarios para el d esempeo de sus funciones. 4.1 Controles de acceso lgico 4.1.1 Todos los usuarios de servicios de informacin son responsables por el de us uario y contrasea que recibe para el uso y acceso de los recursos. 4.1.2 Todos lo s usuarios debern autenticarse por los mecanismos de control de acceso provistos por el rea de Tecnologas de la Informacin antes de poder usar la infraestructura te cnolgica de la CGADM. 4.1.3 Los usuarios no deben proporcionar informacin a person al externo, de los mecanismos de control de acceso a las instalaciones e infraes tructura tecnolgica de la CGADM, a menos que se tenga el visto bueno del dueo de l a informacin y del rea de Tecnologas de la Informacin y la autorizacin del secretario de la oficina de la CGADM o su equivalente en las dependencias de la Coordinacin . 4.1.4 Cada usuario que acceda a la infraestructura tecnolgica de la CGADM debe co ntar con un identificador de usuario (UserID) nico y personalizado. Por lo cual n o est permitido el uso de un mismo UserID por varios usuarios. 4.1.5 Los usuarios son responsables de todas las actividades realizadas con su identificador de us uario (UserID). Los usuarios no deben divulgar ni permitir que otros utilicen su s identificadores de usuario, al igual que tienen prohibido utilizar el UserID d e otros

usuarios. 4.2 Administracin de privilegios 4.2.1 Cualquier cambio en los roles y responsabilidades de los usuarios debern se r notificados a el rea de Tecnologas de la Informacin, para el cambio de privilegio s. 4.3.1 Los usuarios debern mantener sus equipos de cmputo con controles de acces o como contraseas y protectores de pantalla (screensaver) previamente instalados y autorizados por el rea de Tecnologas de la Informacin cuando no se encuentren en su lugar de trabajo. 4.3 Equipo desatendido 4.4 Administracin y uso de contrasea 4.4.1 La asignacin de contraseas debe ser realizada de forma individual, por lo qu e el uso de contraseas compartidas est prohibido. 4.4.2 Cuando un usuario olvide, bloquee o extrave su contrasea, deber acudir al rea de Tecnologas de la Informacin par a que se le proporcione una nueva contrasea. 4.4.3 Est prohibido que las contraseas se encuentren de forma legible en cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas puedan descu brirlos. 4.4.4 Sin importar las circunstancias, las contraseas nunca se deben com partir o revelar. Hacer esto responsabiliza al usuario que prest su contrasea de t odas las acciones que se realicen con el mismo. 4.4.5 Todo usuario que tenga la sospecha de que su contrasea es conocido por otra persona, deber cambiarlo inmedia tamente. 4.4.6 Los usuarios no deben almacenar las contraseas en ningn programa o sistema que proporcione esta facilidad. 4.5 Control de accesos remotos 4.5.1 La administracin remota de equipos conectados a Internet no est permitida, s alvo que se cuente con el visto bueno y con un mecanismo de control de acceso se guro autorizado por el dueo de la informacin y del rea de Tecnologas de la Informacin . 5.- POLTICAS Y ESTNDARES DE CUMPLIMIENTO DE SEGURIDAD INFORMTICA Poltica El rea de Tecnologas de la Informacin tiene como una de sus funciones la de propone r y revisar el cumplimiento de normas y polticas de seguridad, que garanticen acc iones preventivas y correctivas para la salvaguarda de equipos e instalaciones d e cmputo, as como de bancos de datos de informacin automatizada en general.

5.1 Derechos de propiedad intelectual 5.1.1 Los sistemas desarrollados por personal interno o externo que controle el r ea de Tecnologas de la Informacin son propiedad intelectual de la CGADM. 5.2 Revisiones del cumplimiento 5.2.1 El rea de Tecnologas de la Informacin realizar acciones de verificacin del cump limiento del Manual de Polticas y Estndares de Seguridad Informtica para Usuarios. 5.2.2 El rea de Tecnologas de la Informacin podr implantar mecanismos de control que permitan identificar tendencias en el uso de recursos informticos del personal i nterno o externo, para revisar la actividad de procesos que ejecuta y la estruct ura de los archivos que se procesan. El mal uso de los recursos informticos que s ea detectado ser reportado conforme a lo indicado en la poltica de Seguridad de Pe rsonal. 5.2.3 Los jefes y responsables de los procesos establecidos en la CGADM deben apoyar las revisiones del cumplimiento de los sistemas con las polticas y e stndares de seguridad informtica apropiadas y cualquier otro requerimiento de segu ridad. 5.3 Violaciones de seguridad Informtica 5.3.1 Est prohibido el uso de herramientas de hardware o software para violar los controles de seguridad informtica. A menos que se autorice por el rea de Tecnologa s de la Informacin. 5.3.2 Ningn usuario de la CGADM debe probar o intentar probar fallas de la Seguri dad Informtica o conocidas, a menos que estas pruebas sean controladas y aprobada s por el rea de Tecnologas de la Informacin. 5.3.3 No se debe intencionalmente escr ibir, generar, compilar, copiar, coleccionar, propagar, ejecutar o intentar intr oducir cualquier tipo de cdigo (programa) conocidos como virus, gusanos caballos de Troya, diseado para auto replicarse, daar o afectar el desempeo o acceso a las c omputadoras, redes o informacin de la CGADM.