Manual de Políticas y Normas de Seguridad Informática

MAN U AL D E PO LÍTICAS Y N O RMAS D E
SEG U RID AD IN FO RMÁTICA

ual de Políticas y Normas de Seguridad
Informática
ÍNDICE
INTRODUCCIÓN ................................................................................................................................................. 3
INTERPRETACIÓN ............................................................................................................................................. 5
VIGENCIA ............................................................................................................................................................ 6
ALCANCE ............................................................................................................................................................ 6
OBJETIVO............................................................................................................................................................ 7
GLOSARIO........................................................................................................................................................... 8
1. SEGURIDAD ORGANIZACIONAL................................................................................................................ 11
1.1. POLÍTICAS GENERALES DE SEGURIDAD............................................................................... 11
Del Departamento de Redes y Comunicaciones.................................................................. 11
Del Departamento de Soporte Técnico................................................................................. 12
Del Personal ........................................................................................................................... 13
1.2. CLASIFICACIÓN Y CONTROL DE ACTIVOS............................................................................. 13
Responsabilidad por los activos. ........................................................................................... 13
Clasificación de la información .............................................................................................. 14
1.3. RESPUESTA A INCIDENTES Y ANOMALÍAS DE SEGURIDAD .............................................. 15
2. SEGURIDAD LEGAL..................................................................................................................................... 16
2.1 DERECHOS DE PROPIEDAD INTELECTUAL............................................................................ 16
2.2. REVISIÓN DE POLÍTICAS DE SEGURIDAD Y CUMPLIMIENTO ............................................ 17
3. SEGURIDAD LÓGICA................................................................................................................................... 18
3.1. CONTROL DEL ACCESO A USUARIOS DE LA RED INSTITUCIONAL DEL INBAL .............. 18
3.2. ADMINISTRACIÓN DEL ACCESO A USUARIOS A LOS SERVICIOS INFORMÁTICOS DEL
INBAL ...................................................................................................................................... 18
Normativa del uso de correo electrónico. ............................................................................. 20
Usos aceptables de los servicios de Internet. ....................................................................... 21
Acceso a sitios y contenidos no autorizados. ........................................................................ 21
3.3. CONTROL DE ACCESO A LA RED............................................................................................ 22
3.4. CONTROL DE ACCESO A LAS APLICACIONES ...................................................................... 23
3.5. MONITOREO DEL ACCESO Y USO DEL SISTEMA ................................................................. 23
3.6. PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS.................................................................... 24
3.7. PROTECCIÓN CONTRA SOFTWARE MALICIOSO................................................................. 24
3.8. MANTENIMIENTO DE SISTEMAS Y EQUIPO DE CÓMPUTO ................................................. 25
3.9. SEGURIDAD EN EL MANEJO DE LOS MEDIOS DE ALMACENAMIENTO ............................. 26
Elaborado por: Departamento de Redes y Comunicaciones y Mesa de Control. Fecha de Emisión: Clave: DSI-MPN-02
Agosto de 2009.
Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 2/27

2.0.0
Manual de Políticas y Normas de Seguridad
Informática
INTRODUCCIÓN.
La base para que cualquier organización pueda operar de forma confiable en materia de
seguridad informática, comienza con la definición de las políticas.
La seguridad informática es una función en la que se deben evaluar y administrar los

riesgos basándose en políticas que cubran las necesidades del INBAL en materia de
seguridad.
El documento que se presenta, pretende ser el medio de comunicación en el cual se

establecen las reglas, normas y controles que regulen la forma en que la Institución,
prevenga, proteja y maneje los riesgos de seguridad en diversas circunstancias.
Las políticas expuestas en este documento sirven de referencia, en ningún momento

pretenden ser normas absolutas, las mismas están sujetas a cambios realizables en
cualquier momento, siempre y cuando se tengan presentes los objetivos de seguridad.
Los recursos de comunicación del Instituto Nacional de Bellas Artes y Literatura (INBAL),
están disponibles para fortalecer el flujo de información interna, la investigación en
materia cultural, educativa y administrativa, así como el servir de apoyo en las diferentes
tareas encomendadas para el mejoramiento de nuestras labores. Por lo tanto, todos los
usuarios de los recursos y de la red institucional, están sujetos a las políticas y a los
términos de este documento, y a mantener una actuación con altos principios morales y
éticos.
Toda persona que utilice los servicios que ofrece la red institucional del INBAL, deberá
conocer y aceptar todo lo establecido en este documento sobre su uso, el
desconocimiento del mismo, no exonera de responsabilidad al usuario ante cualquier
eventualidad que involucre la seguridad de la información o de la red institucional del
INBAL.
En términos generales, el documento engloba los procedimientos más adecuados

tomando como lineamientos principales cuatro criterios:
Seguridad organizacional:
Dentro de este, se establece el marco formal de seguridad que debe sustentar la
Institución, incluyendo servicios o contrataciones externas a la infraestructura de
Agosto de 2009.

2.0.0
Informática
seguridad, integrando el recurso humano con la tecnología, denotando responsabilidades

y actividades complementarias como respuesta ante situaciones anómalas a la seguridad.
Seguridad legal:
Integra los seguridad que deben cumplir todos empleados y
usuarios de la red institucional del INBAL, bajo la reglamentación de la normatividad
interna de políticas y manuales de procedimientos del INBAL en cuanto al recurso
humano, sanciones aplicables ante faltas cometidas, así como cuestiones relacionadas
con la legislación del país y contrataciones externas.
Seguridad física:
Identifica los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad,
de forma que se puedan establecer controles en el manejo de equipos, transferencia de
información y control de los accesos a las distintas áreas con base en la importancia de
los activos.
Seguridad lógica:
Trata de establecer e integrar los mecanismos y procedimientos, que permitan monitorear
el acceso a los activos de información, que incluyen los procedimientos de administración
de usuarios, definición de responsabilidades, perfiles de seguridad, control de acceso a
las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en
la configuración de los equipos, manejo de incidentes, selección y aceptación de
sistemas, hasta el control de software malicioso.
Cada uno de los criterios anteriores, sustenta un entorno de administración de suma

importancia para la seguridad de la información dentro de la red institucional del INBAL.
Agosto de 2009.

2.0.0
Informática
INTERPRETACIÓN
Los niveles de seguridad fueron organizados constatando un enfoque objetivo de la

situación real de la Institución, desarrollando cada política con sumo cuidado sobre qué
activo proteger, de qué protegerlo, cómo protegerlo y por qué protegerlo. Los mismos se
organizan siguiendo el esquema normativo de seguridad ISO 17799 (mejores prácticas de
seguridad) y que a continuación se presenta:
� Nivel de Seguridad Organizativo:

� Seguridad Organizacional
� Políticas Generales de Seguridad
� Clasificación y Control de Activos
$ Responsabilidad por los Activos
$ Clasificación de la Información
� Seguridad Ligada al Personal
$ Respuesta a Incidentes y Anomalías de Seguridad
� Nivel de Seguridad Legal:

� Seguridad Legal
� Conformidad con la Legislación
� Cumplimiento de requisitos Legales
� Revisión de Políticas de Seguridad y Cumplimiento Técnico
� Nivel de Seguridad Física y lógica:

� Control de Accesos
� Administración del Acceso de Usuarios
� Control de Acceso a la Red
� Control de Acceso a las Aplicaciones
� Monitoreo del Acceso y Uso del Sistema
Agosto de 2009.

2.0.0
Informática
VIGENCIA
El documento presentado entrará en vigor desde el momento en que éste sea aprobado
como documento técnico de seguridad informática por el Comité de Mejora Regulatoria, el
cual deberá ser revisado y actualizado conforme a las exigencias y necesidades del
instituto.
ALCANCE
El ámbito de aplicación del manual de normas y políticas de seguridad informática, es la

infraestructura tecnológica y entorno informático de la red institucional del INBAL.
En ente que garantizará la ejecución y puesta en marcha de la normativa y políticas de

seguridad, es la Dirección de Servicios Informáticos (DSI), siendo el responsable de la
supervisión y cumplimiento el Órgano Interno de Control.
Agosto de 2009.

2.0.0
Informática
OBJETIVO
Brindar la información necesaria a los usuarios del Instituto, sobre las normas y
mecanismos que deben cumplir y utilizar para proteger el hardware y software de la red
institucional del INBAL, así como la información que es procesada y almacenada en estos.
Agosto de 2009.

2.0.0
Informática
GLOSARIO
Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de

una persona física o moral. En el ambiente informático, llámese activo a los bienes
de información y procesamiento que posee la institución.
Amenaza: Evento que puede desencadenar un incidente en la organización, produciendo

daños materiales o pérdidas inmateriales en sus activos.
Archivo Log: Ficheros de registro o bitácoras de sistemas en los que se recoge o anota
los pasos que dan (lo que hace un usuario, como transcurre una conexión, horarios
de conexión, terminales o IP=s involucradas en el proceso, etc.)
Ataque: Evento exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Conectividad: Conexión entre medios (fibra óptica, microondas, satélite, par trenzado) y
equipos para brindar la transmisión de voz, datos, imágenes y videoconferencias.
Confidencialidad: Proteger la información de su revelación no autorizada. Esto significa

que la información debe estar protegida de ser copiada por cualquiera que no esté
explícitamente autorizado por el propietario de dicha información.
Cuenta: Mecanismo de identificación de un usuario, llámese de otra manera, al método

de acreditación o autenticación del usuario mediante procesos lógicos dentro de un
sistema informático.
Desastre o Contingencia: Interrupción de la capacidad de acceso a información y

procesamiento de la misma, a través de computadoras necesarias para la operación
normal de la organización.
Disponibilidad: Que los recursos de información sean accesibles, cuando estos sean
necesitados.
DNS (Domain Name System): Sistema cuya función principal es la de identificar la

dirección IP a partir del nombre del dispositivo al que se requiere acceder.
Agosto de 2009.

2.0.0
Informática
Encriptación: Es el proceso mediante el cual cierta información o Atexto plano@ es

cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos
necesarios para su interpretación.
Es una medida de seguridad utilizada para que al momento de almacenar o transmitir

información sensible, ésta no pueda ser obtenida con facilidad por terceros.
FTP (File Transfer Protocol): Protocolo y software que permite la transferencia de

archivos entre máquinas conectadas a una red.
Integridad. Proteger la información de alteraciones no autorizadas por la organización.
INTERNET: Es una red de redes de computadoras conectadas a nivel mundial y se

emplea para el intercambio de información y el acceso a las bases de datos.
Impacto: Consecuencia de la materialización de una amenaza.
IP address: Secuencia de números que se utiliza para asignar una ubicación a nivel
lógico y cuya administración a nivel mundial le corresponde a comisiones
especializadas.
ISO (Organización Internacional de Estándares): Institución mundialmente reconocida y

acreditada para normar en temas de estándares en una diversidad de áreas,
aceptadas y legalmente reconocidas.
Normativa de Seguridad ISO/IEC 17799: (Código de buenas prácticas, para el manejo

de seguridad de la información) Estándar o norma internacional que vela por que se
cumplan los requisitos mínimos de seguridad, que propicien un nivel de seguridad
aceptable y acorde a los objetivos institucionales, desarrollando buenas prácticas
para la gestión de la seguridad informática.
Red: Conjunto de computadoras y elementos interconectados que permiten una

comunicación entre sí y forman parte de un mismo ambiente.
Responsabilidad: En términos de seguridad, significa determinar qué individuo en la

institución, es responsable directo de mantener seguros los activos de cómputo e
información.
Agosto de 2009.

2.0.0
Informática
Riesgo: Posibilidad de que se produzca un impacto determinado en un activo, en un

dominio o en toda la institución.
Soporte Técnico: Personal designado o encargado de velar por el correcto

funcionamiento de las estaciones de trabajo, servidores o equipo de oficina dentro de
la institución.
TCP/IP (Transfer Control Protocol/Internet Protocol): Son los protocolos de INTERNET
más conocidos que garantizan la transmisión confiable de la información.
Usuario: Defínase a cualquier persona moral o física, que utilice los servicios informáticos
de la red institucional del INBAL y tenga una especie de vinculación académica,
artística o laboral con la institución.
Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza sobre un

activo.
WWW (World Wide Web): Término aplicado a la red mundial de información y páginas
electrónicas que integran diferentes facilidades al usuario como son: hipertexto,
imágenes, sonidos, videos, textos y gráficos.
Agosto de 2009.

2.0.0
Informática
1. SEGURIDAD ORGANIZACIONAL.
1.1. POLÍTICAS GENERALES DE SEGURIDAD.
Del Departamento de Redes y Comunicaciones.
Art. 1. Normar el correcto uso de los servicios de Internet y correo electrónico en el

INBAL.
Art. 2. Establecer las medidas y mecanismos de control, monitoreo y seguridad, tanto

para los accesos a páginas o sitios de Internet, como para los mensajes de correo con
contenidos u orígenes sospechosos.
Art. 3. Que las conexiones a Internet cuenten con elementos de prevención, detección
de intrusos, filtros contra virus, manejo de contenidos, entre otros, que afectan la
integridad de los sistemas y la información institucionales.
Art. 4. Reducir el tráfico de mensajes, paquetes o transacciones no permitidos, que

saturan la infraestructura de telecomunicaciones y generan actividad innecesaria en los
servidores.
Art. 5. De acuerdo a la demanda de servicios, establecer prioridades, dando la más

alta a las actividades consideradas esenciales para fomentar la educación y las artes,
objetivo primordial del INBAL.
Art. 6. Controlar, suspender o revocar los códigos de acceso a cualquier usuario que
haga mal uso de los recursos, viole las políticas de seguridad o interfiera con los derechos
de otros usuarios.
Art. 7. Asignar la capacidad de memoria de almacenamiento a cada usuario, en

función del perfil establecido y disponibilidad del recurso en los servidores
administra la DSI.
Art. 8. Contratar enlaces o servicios de conectividad a Internet, ya sea directamente o

vía terceros, por lo que queda restringido a cualquier otra área de la Institución obtener y
utilizar enlaces y servicios que permitan la interconexión de las redes del INBAL hacia el
exterior. La DSI es la única autorizada dentro del Instituto para realizar o autorizar ese tipo
de contrataciones, esto podrá hacerlo atendiendo a necesidades especiales por cuenta de
Agosto de 2009.

2.0.0
Informática
las áreas, certificando la incorporación de las medidas de control y seguridad en los

enlaces.
Art. 9. Establecer las normas de construcción y arquitectura de los sitios de Intranet,
que optimicen el acceso a los servicios y la información disponible para los usuarios.
Art. 10. Administrar y asignar todas las direcciones IP del INBAL, así como los
dominios y subdominios asignados al INBAL y los su
resolución.
De los administradores de red.
Art. 1. Configurar los servidores de correo electrónico e Internet y de los equipos de

cómputo en general.
Art. 2. Instalar y actualizar los antivirus y sistemas operativos, así como tener al día en
los en servidores asignados, las actualizaciones y Aparches@ de programas
institucionales licenciados y autorizados.
Art. 3. Llevar un registro y control de las direcciones IP de los equipos conectados a la

red con acceso a Internet y la información de los usuarios, así como notificar al
Departamento de Redes y Comunicaciones de las altas y bajas de usuarios para los
servicios de correo electrónico e Internet.
Art. 4. Proporcionar al Departamento de Redes y Comunicaciones la documentación

actualizada de la red local: planos de cableado, ubicación del equipo y relación de las
asignaciones de direcciones IP.
Art. 5. Administrar los servicios locales de red como son www, correo electrónico,
servidor de FTP y servidores de aplicaciones en red.
Art. 6. Solucionar fallas menores como son: cables desconectados, pérdida de

suministro de energía eléctrica en los equipos de datos, desconfiguración de las
computadoras de los usuarios o direcciones IP repetidas.
Art. 7. Supervisar el cumplimiento de las políticas y lineamientos institucionales.
Agosto de 2009.

2.0.0
Informática
Del Departamento de Soporte Técnico.
Art. 1. Brindar mantenimiento preventivo y/o correctivo únicamente al equipo que

cuente con número de inventario, o se encuentre en comodato, debiendo en este último
caso enviar a la DSI copia del contrato correspondiente.
Art. 2. Realizar respaldos diarios de la información contenida en los servidores del

Instituto.
Del Personal.
Art. 1. El empleado no tiene ningún derecho sobre la información que procese dentro
de las instalaciones de la red institucional del INBAL.
Art. 2. La información que maneja o manipula el empleado, no puede ser divulgada a

terceros o fuera del ámbito laboral.
Art. 3. El usuario se norma por las disposiciones de seguridad informática del INBAL.
Art. 4. Conocer y obedecer las políticas de seguridad establecidas en el presente

documento, las cuales, una vez aprobadas se publicarán para su divulgación en la página
institucional del INBAL
(www.bellasartes.gob.mx/INBA/sites/admin/normateca/politicas.html).
Agosto de 2009.

2.0.0
Informática
1.2. CLASIFICACIÓN Y CONTROL DE ACTIVOS
Responsabilidad por los activos.
Art. 1. Los titulares y administradores de los centros de trabajo del INBAL, son
responsables de los activos que se encuentran bajo su resguardo.
Art. 2. Los jefes de cada departamento del INBAL, son responsables de mantener o
proteger los activos de mayor importancia.
Clasificación de la información.
Art. 1. Cada jefe de departamento dará importancia a la información en base al nivel

de clasificación que demande el activo.
Art. 2. La información pública puede ser visualizada por cualquier persona dentro o
fuera de la institución
Art. 3. La información confidencial es propiedad absoluta del INBAL, el acceso a ésta

es permitido únicamente a personal administrativo autorizado.
Art. 4. Los niveles de seguridad se detallan como nivel de seguridad bajo, nivel de
seguridad medio y nivel de seguridad alto.
Art. 5. La DSI tendrá la responsabilidad de priorizar una situación de la otra en cuanto

a los problemas en las estaciones de trabajo.
Art. 6. La DSI implementará un Plan de Contingencia que indique claramente, qué

hacer en caso de presentarse una situación extraordinaria.
Art. 7. En situaciones de emergencia que impliquen áreas de atención al cliente entre

otros, se dará prioridad en el siguiente orden:
a) Área financiera y de personal

b) Área educativa y de investigación
c) Área administrativa
Agosto de 2009.

2.0.0
Informática
Art. 8. El Plan de Contingencia se elaborará tomando en cuenta aspectos basados en

situaciones pasadas, y enmarcarlo en la pro actividad de situaciones futuras.
Agosto de 2009.

2.0.0
Informática
1.3. RESPUESTA A INCIDENTES Y ANOMALÍAS DE SEGURIDAD
Art. 1. Los respaldos de información deberán ser almacenados en un sitio aislado y

libre de cualquier daño o posible extracción por terceros dentro de la institución.
Art. 2. Los utilizarán únicamente en casos ya que su

contenido es de suma importancia para la institución.
Art. 3. El INBAL debe contar con respaldos de información ante cualquier incidente.
Agosto de 2009.

2.0.0
Informática
2. SEGURIDAD LEGAL
2.1 DERECHOS DE PROPIEDAD INTELECTUAL
Art. 1. El INBAL se reserva el derecho de respaldo, a usuarios académicos, artísticos o

administrativos, ante cualquier asunto legal relacionado a infracciones a las leyes de
copyright o piratería de software.
Art. 2. Todo el software comercial que utilice el INBAL, deberá estar legalmente
registrado en los contratos de arrendamiento o adquisición, con sus respectivas licencias
y facturas de compra.
Art. 3. La adquisición de software por parte del personal que labore en el INBAL, no
expresa el consentimiento de la institución, la instalación del mismo, no garantiza
responsabilidad alguna para el INBAL, por ende la institución no se hace responsable de
las actividades de sus empleados.
Art. 4. Tanto el software comercial como el software libre son propiedad intelectual
exclusiva de sus desarrolladores, el INBAL respeta la propiedad intelectual y se rige por el
contrato de licencia de sus autores.
Art. 5. El software comercial licenciado al INBAL, es propiedad exclusiva de la

institución, la misma se reserva el derecho de reproducción de éste, sin el permiso de sus
autores, respetando el esquema de cero piratería y/o distribución a terceros.
Art. 6. En caso de transferencia de software comercial a terceros, se harán las

gestiones necesarias para su efecto y se acataran las medidas de licenciamiento
relacionados con la propiedad intelectual.
Art. 7. Cualquier cambio en la política de utilización de software comercial o software

libre, se hará documentado y en base a las disposiciones de la respectiva licencia.
Art. 8. El software desarrollado internamente por el personal que labora en el INBAL,

es propiedad exclusiva de la institución.
Art. 9. La adquisición del software comercial o libre, deberá ser gestionado con las
autoridades correspondientes y acatando sus disposiciones legales, en ningún momento
se obtendrá software de forma fraudulenta.
Agosto de 2009.

2.0.0
Informática
Art. 10. Los contratos con terceros en la gestión o prestación de un servicio, deberán
especificar las medidas necesarias de seguridad, nivel de prestación del servicio y/o
personal involucrado en tal proceso.
2.2. REVISIÓN DE POLÍTICAS DE SEGURIDAD Y CUMPLIMIENTO
Art. 1. La DSI, podrá implementar mecanismos de control que permitan identificar

tendencias en el uso de recursos informáticos del personal interno o externo, para revisar
la actividad de procesos que ejecuta y la estructura de los archivos que se procesan. El
mal uso de los recursos informáticos que sea detectado, será reportado conforme a lo
indicado en las Políticas de Seguridad.
Art. 2. Los desarrolladores de procesos propiedad del INBAL, deberán apoyar las
acciones de revisión de cumplimiento de las Políticas de Seguridad.
Agosto de 2009.

2.0.0
Informática
3. SEGURIDAD LÓGICA
3.1. CONTROL DEL ACCESO A USUARIOS DE LA RED INSTITUCIONAL DEL

INBAL
Art. 1. La documentación de seguridad será resguardada por la DSI, esto incluye

folletos, guías, formularios, controles, etc.
Art. 2. La elaboración de la documentación relacionada con formularios, guías, etc.,

será elaborada por la DSI.
Art. 3. El personal encargado de brindar los servicios de comunicaciones, no está

autorizado a brindar ninguna clase de servicios, mientras no se haya seguido el
procedimiento establecido para ello.
3.2. ADMINISTRACIÓN DEL ACCESO A USUARIOS A LOS SERVICIOS

INFORMÁTICOS DEL INBAL
Art. 1. El acceso a los sistemas y servicios de información es permitido únicamente a

los usuarios que dispongan de los permisos necesarios para su ejecución.
Art. 2. El usuario deberá proveer toda la información necesaria para poder brindarle
los permisos necesarios para la ejecución de los servicios de la red institucional del
INBAL.
Art. 3. Se brindará a los usuarios el acceso a los servicios de correo electrónico e

Internet del INBAL, siempre que cumplan con el procedimiento establecido.
Art. 4. El usuario de correo electrónico e Internet, deberá limitarse a atender los

requerimientos del Instituto, en el desempeño de las funciones encomendadas a su
puesto y apegándose a la normatividad establecida.
Art. 5. Las claves de acceso son personales e intransferibles
Art. 6. Las contraseñas o password asignados a los usuarios, deberán ser de 6

caracteres como mínimo y 8 como máximo, debiendo combinarlo con una letra mayúscula
al inicio y un carácter especial al final.
Agosto de 2009.

2.0.0
Informática
Art. 7. La contraseña (password) de acceso, es de exclusiva responsabilidad del

usuario a quien se le otorgó, por lo que no deberá publicarlo o tenerlo en lugar visible
para que otra persona lo pueda manipular o hacer mal uso del equipo o información.
Art. 8. Es responsabilidad del usuario cambiar periódicamente su contraseña, de

acuerdo a la criticidad de la información, procurando no reutilizar las últimas 4
contraseñas. En caso de no saber como realizar el cambio, el Departamento de Redes y
Comunicaciones le brindará la asesoría necesaria.
Art. 9. El usuario es responsable de no dejar sesiones activas en su estación de

trabajo cuando se ausente de su escritorio o sitio de trabajo. Por lo cual, es recomendable
que una vez concluida su jornada laboral, apague su equipo para evitar que personas no
autorizadas tengan acceso a él.
Art. 10. Los mensajes que se envíen vía Internet, serán de completa responsabilidad
del usuario emisor, y en todo caso, deberán basarse en la racionalidad y la
responsabilidad individual. Se asume que en ningún momento dichos mensajes podrán
emplearse en contra de los intereses de personas individuales, así como de ninguna otra
Institución.
Art. 11. En caso de necesitar bajar archivos o imágenes de la red, éstos deberán ser
de un tamaño pequeño, a fin de no causar mucho tráfico y por consiguiente lentitud para
los demás usuarios.
Art. 12. Deberá bajar periódicamente la información del servidor de correos a su

equipo asignado para liberar la capacidad del servidor de correos.
Art. 13. Respetar los derechos de otras personas, tanto de propiedad intelectual como
de equipo.
Art. 14. Deberá utilizar únicamente la cuenta que le ha sido asignada para tener
acceso a sistemas y recursos.
Art. 15. Evitar el envío de archivos confidenciales a través del correo electrónico a
menos que se utilicen técnicas de criptografía.
Agosto de 2009.

2.0.0
Informática
Normativa del uso de correo electrónico.
Art. 1. La DSI es la única instancia facultada para autorizar el servicio de acceso a

internet y correo electrónico.
Art. 2. La DSI asignará y/o renovará claves de acceso a correo electrónico e Internet,
de acuerdo con el procedimiento establecido y comprometiendo al usuario a cumplir con
los lineamientos.
Art. 3. Se asignarán cuentas de correo electrónico por departamento, creándose la

cuenta con las iniciales del mismo. Ejem. dsi@correo.inba.gob.mx
Art. 4. Las cuentas personales se asignarán únicamente con el Vo.Bo. del Titular del
Centro de Trabajo.
Art. 5. Queda prohibido enviar información por correo electrónico, cuentas FTP, o
cualquier medio electrónico, clasificada como confidencial o que sin serlo, el usuario no
tenga atribuciones que permitan su uso y divulgación, atenten contra los derechos de
autor, sea falsa, difamatoria u ofensiva.
Art. 6. Queda prohibido el uso del correo electrónico e Internet para fines políticos y
religiosos dentro y hacia fuera del Instituto.
Art. 7. Queda prohibido el uso de seudónimos y envío de mensajes anónimos, así

como aquellos que consignen títulos, cargos o funciones no oficiales.
Art. 8. Queda prohibido el envío interno o hacia el exterior, de correos spam de

cualquier índole. Se consideran correos spam aquellos no relacionados con las funciones
específicas a los procesos de trabajo.
Art. 9. Se realizará un monitoreo periódico sobre el uso de los correos, a fin de dar de
baja aquellas cuentas que no sean utilizadas. Adicionalmente a esto, se llevará acabo una
depuración de forma semestral.
Art. 10. Es responsabilidad del titular de Centro de Trabajo que firma la solicitud,
comunicar al Departamento de Redes y Comunicaciones cualquier circunstancia que
implique la necesidad de eliminar el acceso solicitado o de modificarlo, ya sea porque el
Agosto de 2009.

2.0.0
Informática
usuario deje de pertenecer a su área, se ausente por comisión, licencia o incapacidad, o

por el mal uso que se haga del servicio.
Usos aceptables de los servicios de Internet.
Art. 1. La comunicación entre artistas, académicos y personas relacionadas con

labores administrativas, siempre y cuando exista un intercambio mutuo y en condiciones
recíprocas.
Art. 2. Comunicación e intercambio con la comunidad académica, artística u otras

instituciones, con el fin de tener acceso a los últimos avances relacionados con la
especialidad del personal.
Acceso a sitios y contenidos no autorizados.
Art. 1. Cualquier actividad que sea lucrativa o comercial de carácter individual, privado
o para negocio particular.
Art. 2. Para garantizar la seguridad de la información y el equipo informático, la DSI

establecerá filtros y medidas para regular el acceso a contenidos en el cumplimiento de
esta normatividad; por lo tanto, se prohíbe:
< La transmisión de materiales en violación de cualquier regulación establecida

por el Gobierno Mexicano. Esto incluye materiales con derechos de propiedad
intelectual.
< Utilizar los servicios de comunicación, incluyendo el correo electrónico o

cualquier otro recurso, para intimidar, insultar o acosar a otras personas, o
interferir con el trabajo de los demás, provocando un ambiente de trabajo no
deseable dentro del contexto de las políticas del INBAL.
< Utilizar los recursos del INBAL para el acceso no autorizado a redes y sistemas
remotos.
< Provocar deliberadamente el mal funcionamiento de computadoras, estaciones

o terminales periféricos de redes y sistemas.
< Monopolizar los recursos en perjuicio de otros usuarios, incluyendo: el envío de

mensajes masivamente a todos los usuarios de la red, iniciación y facilitaciones
Agosto de 2009.

2.0.0
Informática
de cadenas, creación de procesos innecesarios, generar impresiones

voluminosas, uso de recursos de impresión no autorizado.
< Poner información en la red que infrinja los derechos de los demás.
< Utilizar los servicios de red para juegos a través del servicio de Internet o
Intranet.
< Utilizar los servicios de red para ver publicaciones de deportes, pornografía o
religión.
< Utilizar los servicios de red para enviar archivos que sean confidenciales.
< Utilizar los servicios para accesar a páginas de radio o TV en línea, así como
descargar archivos de música o video.
< Los servicios bancarios y servicios personales que se ofrecen vía Internet,
podrán utilizarse en forma mesurada.
3.3. CONTROL DE ACCESO A LA RED.
Art. 1. El Departamento de Redes y Comunicaciones diseñará los mecanismos

necesarios para proveer acceso a los servicios de la red institucional del INBAL.
Art. 2. Los mecanismos de autenticación y permisos de acceso a la red, deberán ser

evaluados y aprobados por la DSI.
Art. 3. El Departamento de Redes y Comunicaciones, hará evaluaciones periódicas a

los sistemas de red, con el objetivo de eliminar cuentas de acceso sin protección de
seguridad y componentes de red comprometidos.
Art. 4. El Departamento de Redes y Comunicaciones, verificará que el tráfico de red

sea estrictamente normal, la variación de este sin ninguna razón obvia, pondrá en marcha
técnicas de análisis concretas.
Art. 5. Los dispositivos de red, estarán siempre activos y configurados correctamente

para evitar anomalías en el tráfico y seguridad de información de la red institucional del
INBAL.
Agosto de 2009.

2.0.0
Informática
Art. 6. Se utilizarán mecanismos y protocolos de autenticación como claves privadas,

autenticación usuario/contraseña.
Art. 7. Los archivos de registro o logs de los dispositivos de red, deberán estar
activados y configurados correctamente en cada dispositivo.
3.4. CONTROL DE ACCESO A LAS APLICACIONES
Art. 1. Las aplicaciones deberán contar con su respectiva documentación, la cual será
entregada a los usuarios.
Art. 2. El usuario tendrá los permisos de aplicaciones necesarios para ejercer su

trabajo.
Art. 3. Se establecerán niveles de acceso para los usuarios que hagan uso de las
aplicaciones desarrolladas en la DSI.
Art. 4. Los niveles de acceso serán definidos por los Titulares de los Centros de
Trabajo que soliciten el desarrollo de algún sistema, en base a lo importante o crítico de la
información que se procesará.
Art. 5. Antes de ser puestas en ejecución las aplicaciones, deberán realizarse pruebas
sobre fallos, información errónea que puedan procesar y seguridad de acceso.
Art. 6. La información será visualizada únicamente en terminales previamente

definidas, ya sea mediante direccionamiento de hardware o direccionamiento IP.
Art. 7. En el registro de sucesos del sistema, se registrarán todas las actividades

realizadas por los usuarios.
3.5. MONITOREO DEL ACCESO Y USO DEL SISTEMA
Art. 1. Los administradores de red tendrán especial cuidado al momento de instalar

aplicaciones en los servidores, configurando correctamente cada servicio con sus
respectivos permisos de ejecución.
Agosto de 2009.

2.0.0
Informática
Art. 2. No le esta permitido al usuario realizar actividades de configuración de los

sistemas de red, bajo ninguna circunstancia.
Art. 3. La cuenta administrativa es propiedad exclusiva de la DSI.
Art. 4. Las aplicaciones prestadoras de servicios correrán con cuentas restrictivas y

jamás con privilegios tan altos como los de la cuenta administrativa.
3.6. PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS
Art. 1. Ninguna persona que labore en el INBAL, está facultada para instalar software
en las estaciones de trabajo, sin antes haber obtenido la aprobación de la DSI.
Art. 2. Sin importar el origen del software y la utilización del mismo dentro del INBAL,
éste será evaluado, haya sido o no aprobada su utilización.
Art. 3. Ninguna clase de código ejecutable será puesto en marcha sin antes haber
pasado el control de análisis de seguridad.
Art. 4. Antes de efectuar cualquier análisis o prueba sobre los sistemas de producción,
se realizarán backups generales de la información que en ellos se procesa y del sistema
en si.
Art. 5. Los sistemas que aun están conectados a la red, pero que no tienen utilización
productiva alguna para el INBAL, se les deberá eliminar cualquier rastro de información
que hayan contenido.
3.7. PROTECCIÓN CONTRA SOFTWARE MALICIOSO
Art.1. Para prevenir contaminaciones por virus informático, los usuarios del INBAL sólo
utilizarán el software que haya sido valorado y asignado por la DSI.
Art. 2. Los usuarios de equipo de cómputo del INBAL, deberán verificar que la
información y los medios de almacenamiento, considerando al menos discos flexibles,
cd=s, cintas y cartuchos, estén libres de cualquier tipo de código malicioso, para lo cual
deberán ejecutar el software antivirus autorizado e instalado por la DSI.
Agosto de 2009.

2.0.0
Informática
Art. 3. Todos los archivos de computadora que sean proporcionados por personal
interno o externo, considerando bases de datos, documentos y hojas de cálculo que
tengan que ser descomprimidos, deberá verificarse que no contenga ningún tipo de virus
antes de su ejecución.
Art. 4. Ninguna persona del INBAL, deberá intencionalmente escribir, generar,

compilar, copiar, propagar, ejecutar o tratar de introducir código de computadora diseñado
para auto replicarse, dañar, o en otros casos, impedir el funcionamiento de cualquier
memoria de computadora, archivos de sistema o software. Menos aún, probarlos en
cualquiera de los ambientes o plataformas del INBAL.
Art. 5. Ningún usuario, empleado o personal externo, podrá bajar o descargar software
de sistemas, boletines electrónicos, sistemas de correo electrónico, de mensajería
instantánea y redes de comunicaciones externas, sin la previa autorización de la DSI.
Art.6. Cualquier usuario que sospeche de alguna infección por virus en su equipo de
cómputo, deberá notificarlo inmediatamente al Departamento de Soporte Técnico de la
DSI para su erradicación.
Art. 7. Los usuarios no deberán alterar o eliminar las configuraciones de seguridad

para detectar y/o prevenir la propagación de virus que sean implantadas por el INBAL en:
antivirus, outlook, office, navegadores u otros programas.
3.8. MANTENIMIENTO DE SISTEMAS Y EQUIPO DE CÓMPUTO
Art. 1. El usuario no está facultado para intervenir física o lógicamente ninguna

estación de trabajo que amerite reparación.
Art. 2. Mientras se opera el equipo de cómputo, no se deberá fumar, consumir

alimentos o ingerir líquidos, ya que estas acciones pueden dañar el equipo.
Art. 3. El usuario debe asegurarse que los cables de conexión no sean pisados o
pinchados al colocar otros objetos encima o contra ellos.
Art. 4. Los usuarios deberán asegurarse de respaldar la información que consideren

relevante, cuando el equipo sea enviado a la DSI a reparación, previendo así la pérdida
involuntaria de información que pueda ocurrir en el proceso de reparación del equipo.
Agosto de 2009.

2.0.0
Informática
Art. 5. En ningún momento es aceptable la modificación de archivos en los equipos

informáticos, sino es bajo circunstancias especiales en las que de no hacerse de esa
manera, el sistema quedaría inutilizable.
Art. 6. En caso de ser afirmativo el cambio de archivos, se hará un backup general de

la aplicación o sistema al cual se realizará el cambio.
Art. 7. Cualquier falla efectuada en las aplicaciones o sistemas, por la manipulación

errónea de archivos, deberá notificarse a la DSI para su reparación.
Art. 8. Se deberá llevar una bitácora completa de los sistemas, en cuanto a las
versiones de actualización del software y de las modificaciones y revisiones hechas a los
sistemas.
3.9. SEGURIDAD EN EL MANEJO DE LOS MEDIOS DE ALMACENAMIENTO
Art. 1. La clasificación e identificación de los medios de almacenamiento, deberá ser

acorde al propósito u objetivo por el cual se respalda.
Art. 2. Esta totalmente prohibido para los usuarios de la red institucional del INBAL, el
intervenir con las labores de respaldo que realiza el personal de la DSI.
Art. 3. Bajo ninguna circunstancia se dejarán desatendidos los medios de

almacenamiento, o copias de seguridad de los sistemas.
Art. 4. Todo medio de almacenamiento deberá ser documentado e inventariado en un

registro específico y único, sobre medios de almacenamiento.
Art. 5. La ubicación de los medios de almacenamiento, deberá estar alejada del polvo,
humedad o cualquier contacto con material o químicos corrosibles.
Art. 6. Entre la documentación de seguridad, deberá existir un control para la

clasificación y resguardo de los medios de almacenamiento.

Manual de Políticas y Normas de Seguridad Informática

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Manual de Políticas y Normas de Seguridad Informática

Hochgeladen von

Copyright:

Verfügbare Formate

MAN U AL D E PO LÍTICAS Y N O RMAS D E

SEG U RID AD IN FO RMÁTICA

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 2/27

La seguridad informática es una función en la que se deben evaluar y administrar los

El documento que se presenta, pretende ser el medio de comunicación en el cual se

Las políticas expuestas en este documento sirven de referencia, en ningún momento

En términos generales, el documento engloba los procedimientos más adecuados

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 3/27

seguridad, integrando el recurso humano con la tecnología, denotando responsabilidades

Cada uno de los criterios anteriores, sustenta un entorno de administración de suma

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 4/27

Los niveles de seguridad fueron organizados constatando un enfoque objetivo de la

� Nivel de Seguridad Organizativo:

� Nivel de Seguridad Legal:

� Nivel de Seguridad Física y lógica:

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 5/27

El ámbito de aplicación del manual de normas y políticas de seguridad informática, es la

En ente que garantizará la ejecución y puesta en marcha de la normativa y políticas de

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 6/27

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 7/27

Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de

Amenaza: Evento que puede desencadenar un incidente en la organización, produciendo

Confidencialidad: Proteger la información de su revelación no autorizada. Esto significa

Cuenta: Mecanismo de identificación de un usuario, llámese de otra manera, al método

Desastre o Contingencia: Interrupción de la capacidad de acceso a información y

DNS (Domain Name System): Sistema cuya función principal es la de identificar la

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 8/27

Encriptación: Es el proceso mediante el cual cierta información o Atexto plano@ es

Es una medida de seguridad utilizada para que al momento de almacenar o transmitir

FTP (File Transfer Protocol): Protocolo y software que permite la transferencia de

Integridad. Proteger la información de alteraciones no autorizadas por la organización.

INTERNET: Es una red de redes de computadoras conectadas a nivel mundial y se

Impacto: Consecuencia de la materialización de una amenaza.

ISO (Organización Internacional de Estándares): Institución mundialmente reconocida y

Normativa de Seguridad ISO/IEC 17799: (Código de buenas prácticas, para el manejo

Red: Conjunto de computadoras y elementos interconectados que permiten una

Responsabilidad: En términos de seguridad, significa determinar qué individuo en la

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 9/27

Riesgo: Posibilidad de que se produzca un impacto determinado en un activo, en un

Soporte Técnico: Personal designado o encargado de velar por el correcto

Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza sobre un

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 10/27

1.1. POLÍTICAS GENERALES DE SEGURIDAD.

Del Departamento de Redes y Comunicaciones.

Art. 1. Normar el correcto uso de los servicios de Internet y correo electrónico en el

Art. 2. Establecer las medidas y mecanismos de control, monitoreo y seguridad, tanto

Art. 4. Reducir el tráfico de mensajes, paquetes o transacciones no permitidos, que

Art. 5. De acuerdo a la demanda de servicios, establecer prioridades, dando la más

Art. 7. Asignar la capacidad de memoria de almacenamiento a cada usuario, en

Art. 8. Contratar enlaces o servicios de conectividad a Internet, ya sea directamente o

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 11/27

las áreas, certificando la incorporación de las medidas de control y seguridad en los

De los administradores de red.

Art. 1. Configurar los servidores de correo electrónico e Internet y de los equipos de

Art. 3. Llevar un registro y control de las direcciones IP de los equipos conectados a la

Art. 4. Proporcionar al Departamento de Redes y Comunicaciones la documentación

Art. 6. Solucionar fallas menores como son: cables desconectados, pérdida de

Art. 7. Supervisar el cumplimiento de las políticas y lineamientos institucionales.

Autorizó: COMERI Versión: Fecha de Revisión: Hoja: 12/27

Del Departamento de Soporte Técnico.

Art. 1. Brindar mantenimiento preventivo y/o correctivo únicamente al equipo que

Art. 2. Realizar respaldos diarios de la información contenida en los servidores del

Art. 2. La información que maneja o manipula el empleado, no puede ser divulgada a