logia y Estrategia Digit: wy ISSSTE GUIA DE OPERACION PARA USUARIOS DE LOS SERVICIOS DE TECNOLOGIAS DE LA INFORMACION Y COMUNICACION EN EL ISSSTEISSS TE A eal i sat opie seh gots pe seo saci6n y Comunieacion, CONTENIDO: 1 Introduccién: N Objetivo 4 UL, Ambito de aplicaci6n nnn 5 Iv. Responsable... 5 V. _Bitdcora de Control de Cambios y Firmas de AceptaciOn nnn et 8 Politicas de Uso de Equipo de Cémputo, Accesorios y Componentes Tecnolégicos para los Trabajadores del ISSSTE oe ae pea Lo Introducci6n..nssse 8 M—Objetivo:.. 8 ML, Términos y Definiciones: .....nmmsnnnnnnnnnnninn eee IV. Propésito.. 10 V. _Politicas de uso de Equipo de Computo. oe VI. Periodo de Revisién:..... 24 Vil, Bitécora de Control de Cambios y Firmas de Aceptacion: 24 Politicas de Uso y Acceso a Internet para los Trabajadores del ISSSTE.. Introduccion: 28 ih. Objetivo: ce 28 MM, Términos y Definiciones:. ie 28 WV. PROPBSIRO. 29 V. Politicas de Uso y Acceso a Internet... 29 Vi. Periodo de Revisié at VI, Bitécora de Control de Cambios y Firmas de Aceptactén: os see 2 Politicas de Uso del Correo Electrénico, para los Trabajadores del ISSSTE. 1, Introduccién:.... 45, Ml. — Objetivo: 45 Ii, Términos y Definiciones: 45 PaginaIV. Propésito. V. _ Politicas del Uso de Correo Electrénico. Vi. Periodo de Revisién.. 56 VII. Bitécora de Control de Cambios y Firmas de Aceptacién: ar Politicas de Uso de Cuentas Personales en Medios Trabajadores del ISSSTE.. 1. imtroduecién: 60 Me ObjetiVO: as 60 Ii Términos y Definiciones -.60 1V. Propésito. 61 V. _Politcas de Uso de Cuentas Personales en Medios Digitales. 61 Vi. Periodo de Revisién...... 65 Vil. Bitacora de Control de Cambios y Firmas de Aceptacién: 66ISS: STE Direccién de Tecnologia y Estrategia Di Guia de Operacién para Usuarios de los Servicio: = Teenologias dela Informacian y Comunicacion 1. INTRODUCCION: EI término de Tecnologia de la Informacién y Comunicaciones (TIC’s), involucra una amplia gama de servicios como son entre otros, el correo electrénico, internet, y aplicaciones diversas que soportan o sistematizan los procesos sustantivos y criticos del Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado, a través de la gestion adecuada de la infraestructura de cémputo y telecomunicaciones, coadyuvando al desarrollo de las tareas dentro de! ambito institucional. Es por ello que la Direccién de Tecnologia y Estrategia Digital, a través de la Subdireccion de Tecnologia de la Informacién, emite la presente “Guia de Operacién para usuarios de los Servicios de Tecnologias de la Informacién y Comunicacién en el ISSSTE”, con el propésito de que los trabajadores del Instituto que tienen asignado un equipo informatico, cuenten con un documento que defina el contexto de acceso, control disponibilidad y privacidad de la informacién institucional; asi como indicar la utilizacién de los servicios de tecnologias de la informacion y Comunicacién (TIC), generando con ello, un ambiente de seguridad del uso de la informacién institucional y cumplimiento de las medidas de austeridad, modernizacién tecnolégica, transparencia, racionalidad y uso eficiente de los recursos publicos. Derivado de lo anterior y en concordancia con lo establecido en la Estrategia Digital Nacional, que busca democratizar el acceso a instrumentos tecnolégicos con el fin de lograr el maximo aprovechamiento de los mismos, estableciendo la seguridad de la informacién como un pilar fundamental se presentan las presentes politicas cuyo objetivo es el siguiente: Opsetivo Proporcionar a los trabajadores del Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado los criterios de operacién necesarios para el aprovechamiento de las tecnologias de la informacién con las que cuenta el Instituto, garantizando con ello la continuidad de la operacién, mediante un ambiente de seguridad, protegiendo la informacién e infraestructura informatica y definiendo una estructura de operacion que le permita a los usuarios de estos servicios institucionales, el mejor uso posible de los recursosISSS STE Direccién de Tecnologia y Estrategia Digital Guia de Operacion para Usuarios de los Servicios de EnIUTO, pe gREUIPAE Tecnologias d én y Comunicacién Amato DE APLICACION Esta Guia es aplicable a los trabajadores del Instituto sean empleados de base, de confianza, honorarios, interinatos, a quienes les haya sido asignado equipo informatico y dispositivos electrénicos del Instituto y arrendado. Se espera que todos estos usuarios estén familiarizados con esta Guia y la cumplan en su totalidad. Las preguntas sobre la guia deben ser dirigidas al Subdirector de Tecnologia de la Informacién. El incumplimiento a esta Guia puede conducir a la revocacién de privilegios en el sistema o acciones disciplinarias adicionales, IV. RESPONSABLE El responsable de establecer, implementar, monitorear y actualizar esta Guia es la Subdireccién de Tecnologia de la Informacién, con base en las directrices de la Direccién de Tecnologia y Estrategia Digital respecto de su aprobacién, y difusin entre los empleados del ISSSTE involucrados y terceras partes involucradas. V. _ BITACORA DE CONTROL DE CAMBIOS Y FIRMAS DE ACEPTACION: N/A N/A N/A N/A Version: vi Fecha: Mayo 26, 2015 Verénica de Jestis Li. Jorge Antonio Moreno Espinosa Cano Félix Jefa de Departamento en la Subdirector de Tecnol Jefatura de Servicios de Planeacién delainformacion FIRMA ‘Y) FIRMA Pigina lsy Estrategia Digital CD ISSSTE _ ores Te POLITICAS DE USO DE EQUIPO DE COMPUTO, ACCESORIOS Y COMPONENTES TECNOLOGICOS PARA LOS TRABAJADORES DEL ISSSTEDireccién de Tecnologia y Estrategia Digital Guia de Operacién Usuarios de los Servicios de Informacién y Comunieacién CONTENIDO: 1 Introduccién: - 8 . Objetivo... 8 ll, Términos y Definiciones... 8 IV. PropOSitO. nnn edo V. _Politicas de uso de Equipo de COMPULO ain nn VI. Periodo de ReVisiOn.....m Vil. Bitcora de Control de Cambios y Firmas de Aceptacién.... Av. Jests Garcia Corona 140, Col. Buenavista, CP. 06350. Delegacién Cuaubtémoc, México. D ra 2ISS. STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de la Informacion y Comunieacion |. INTRODUCCION: Eluso adecuado de los recursos informaticos y en general todo activo para procesamiento de informacién del Instituto es primordial, por ello éste exige de sus trabajadores no hacer usos distintos a los destinados en beneficio de la Institucién. El uso adecuado adicionalmente proporciona garantia razonable de no exponer a riesgos adicionales a los activos de procesamiento y a la informacion misma. Una gran parte de las actividades del Instituto se realiza con componentes de hardware (servidores, computadoras, laptops, tabletas electrénicas, teléfonos, fijos, inalambricos, Smartphones, impresoras, copiadoras, scanners, camaras, equipo de telecomunicaciones, unidades de almacenamiento, proyectores, monitores, equipo de videoconferencia, bocinas, teclados, mouse, diademas), asi como el software de la misma (sistemas operativos, aplicaciones institucionales, paquetes de programas informaticos para oficina, desarrollos internos y de terceros). En el Instituto, la proteccién de todos los medios electrénicos y tecnolégicos que contengan la informacién que se manejan es un elemento esencial y valioso para el mismo. MN, Opsetivo: La presente politica de operacién, establece los criterios para el correcto uso de los Equipos de Cémputo, accesorios y componentes tecnolégicos que proporciona el Instituto, con el fin de evitar el uso indebido o prohibido, propiciando un ambiente de X seguridad del uso de la informacién. II, TéRMINOS Y DEFINICIONES: Activo: Cualquier cosa que tiene valor para el Instituto. Clasificacion de ta| Tene | propésito de proteger la informacién que de ser usada podria | a nal afectar la seguridad de la misma. Esta clasificacién puede ser: exclusiva y | omen confidencial y publica. a one La propiedad por la que la informacion no se pone a disposiciOn o se revela a individuos, entidades 0 procesos no autorizados. mformacién La informacién del Instituto, que puede ser vista Gnicamente por aquellas -onfidencial: personas que por razones inherentes a sus funciones y actividades se encuentran autorizadas a su conocimiento y/o acceso (principio weDireccién de Tecnologia y Estrategia Digital Guia de Ops cin para Usuarios de las Servicios de logias de la Informacién y Comunicacion necesidad de saber), es decir, se encuentra destinada al uso exclusivo por parte de los empleados del Instituto en el desarrollo rutinario de los procesos y actividades de operacién. Eiornacan La informacién del Instituto, que debe ser vista Gnicamente por los agiital Y | propietarios o custodios de la misma o por aquellas personas que estan 1 aaedloee, autorizadas. yO: Re Ta informacin que puede usarse para identificar, contactar o localizar a one una persona en concreto, se puede considerar informacién sensible ya que especifica sexo, religién, estado civil, tipo de sangre de un individuo. La informacién que puede ser vista por personal del Instituto, asi como Informacién personal externo, la cual no tendria un impacto grave en caso de ser publica: divulgada, o inclusive la misma debe ser difundida como parte del objetivo de alguna actividad o proceso. El nombre que recibe una variedad linguistica del habla, usada con Jerga: frecuencia por distintos grupos sociales con intenciones de ocultar el verdadero significado de sus palabras, a su conveniencia y necesidad Los programas que se distribuyen conjuntamente para permitir el acceso a los equipos de cémputo, accesorios y componentes tecnolégicos de! Instituto, los cuales son definidos por la Jefatura de Servicios de Cémputo de acuerdo a las necesidades especificas del mismo. Los componentes de hardware de la institucidn: servidores, computadoras, laptops, tabletas electrénicas, teléfonos, fijos, inalambricos, Smartphones, Paquete de control de acceso autorizad: uete de equipo 5 Faguete de eaie | impresoras, copiadoras, scanners, cAmaras, equipo__de a PUES: | telecomunicaciones, unidades de almacenamiento, _proyectores, eee Y| monitores, equipo de videoconferencia, bocinas, teclados, mouse, componentes a ee diademas, asi como el software de la misma: sistemas operativos, tecnolégicos: : on era aplicaciones institucionales, paquetes de programas informaticos para oficina, desarrollos internos y de terceros. Los archivos necesarios para instalar una aplicacién. Contiene una distribucién de la aplicacién, archivos de configuracién (del proceso de Paquete de i ’ Baten instalacién y de la configuracién inicial de la aplicacién), y las bases de ee a amenazas conocidas. También puede contener un archivo Have de la aplicacién, El Directorio Activo es el servicio de Windows Server 2008 R2 que almacena informacion acerca de objetos de red y facilita la biisqueda y Directorio Active | utilizacién de esa informacién por parte de usuarios y administradores. El servicio de directorio Activo utiliza un almacén de datos estructurado como la base de una organizacién légica y jerérquica de la informacién Pagina |9ecci6n de Tecnologia y Estrategia Digital de Operacién pas Teenologias Usuarios de los Servicios de El conjunto de computadoras conectadas en una red que confian a uno de Dominio los equipos de la misma, la administracién de los usuarios y los privilegios que cada uno de los usuarios tiene en dicha red. IV. Propésito Proporcionar criterios sobre seguridad informatica aplicables a los trabajadores que utilizan los equipos de cémputo personales y dispositivos electronicos asignados por el Instituto durante el desempefio de sus funciones. V. PoLiTIcas DE USO DE EQUIPO DE COMPUTO senavista, CP. 06350, Del 2cs6n Cuauhtéroc, México, DF Pigina |10ISS. BS STE Direccién de Tecnologia y Estrategia Di Guia de Operacién para Usuarios de los Servicios de Usuario(s) 1.1 Solo para.uso institucional: Los sistemas de cémputo y comunicaciones del Instituto estén destinados Gnicamente para fines institucionales; sin embargo, el uso personal adicional esta permitido siempre y cuando: | 11.1 No consuma una cantidad significativa de Fecursos que pudieran de otro modo emplearse ara propésitos institucionales. 1.1.2 No interfiera con la productividad del trabajador, 1.1.3.No ocupe un lugar preferente sobre otras actividades del instituto y no ocasione dificultades ni problemas legales o morales para terceros como (otros trabajadores, proveedores y derechohabientes de los servicios que brinda el Instituto), 2.2 £1 uso adicional licito de una computadora puede comprender responder a un mensaje de correo electrénico sobre un almuerzo, comprar un regalo en linea y uso de servicios a través de Internet, entre otros. 13° Quedan estrictamente prohibides, en todas las computadoras personales del Instituto, los materiales ofensivos que pudieran perjudicar su imagen, incluyendo aquellos cuyo contenido sea sexista, racista, violento u otros informacion y Comunieacion aT Usuarios) 22 i El Instituto tiene una lista de paquetes de Software aprobados para que los usuarios puedan ejecutar en sus. computadoras personales [imagen Institucional] 21.1 Los trabajadores no deben instalar otros paquetes de Software en sus computadoras sino obtienen con antelacién un permiso de la Jefatura de Servicios de Cémputo, dependiente de la Subdireccién de Tecnologfa de la Informacién 2.1.2 Tampoco deben permitir que se ejecuten rutinas automaticas de instalacién de software en las computadoras de la Institucién, a menos que hayan sido autorizadas por la misma Jefatura de Servicios 2.1.3 Salvo en casos de excepcién autorizados por la Jefatura de Servicios de Cémputo, las actualizaciones_al_Software _autorizado_se et P.06350, Delegacién Cuauntémoc, México, DFGuia de Operacién para Usuarios de los Servicios de ISS: S STE Direccién de Tecnologia y Estrategia Digital Taree, er aoe Tecnologias de la informacién y Comunicacion descargaran en forma automatica en. las computadoras de los trabajadores del Instituto. 2.1.4 El Software no autorizado podra ser removido del equipo de trabajo involucrado sin previo aviso. 2.2 Modificaciones a las configuraciones del sistema ‘operativo 2.2.1 En el Hardware de la computadora proporcionada por el Instituto, los trabajadores no deben modificar las configuraciones del sistema operative, actualizar los sistemas operatives existentes o instalar nuevos sistemas operativos 2.2.2 De requerirse dichos cambios, los mismos deben ser realizados por personal de la Mesa de Ayuda institucional de TIC (MAITIC), en — forma presencial o mediante el uso de Software de mantenimiento de sistemas remotos. 2.3 Modificaciones al Hardware 2.3.1 Los equipos de cémputo proporcionados por el Instituto no deben alterarse o modificarse, sin la autorizacién de la Jefatura de Servicios de | Cémputo. ‘CONTROL DE ACCESO al Usuario(s) mT 3.1.1 Todos los equipos de cémputo del Instituto ef Instituto deben conectarse en el Dominio | institucional, es decir ejecutar el control de acceso autorizado por la Jefatura de Servicios de Cémputo para cada usuario. La contrasefia fija para el momento en que se inicia su equipo de cémputo, accesorios. ~y_—_-componentes tecnolégicos y nuevamente después de cierto periodo de inactividad, sera la misma de su correo electrénico. 3.1.2 Los usuarios deben fijar el lapso de tiempo para ese periodo de inactividad en 15 minutos o menos, el cual una vez transcurrido obscurece el contenido de la pantalla 3.13 Si un equipo de cémputo, accesorios Componentes _tecnolégicos. ~—_contienen informacién confidencial, la pantalla se debe proteger de inmediato con este paquete de control de acceso 0 apagar el equipo cada vez que lun trabajador se ausente del lugar en donde la computadora personal se encuentra en uso. 3.2 _Seleccién de contrasefias SS eT suiémac, México, OFGuia de Operacién para Usuarios de los Servicios de ene, ee Sean Teenelogi [SSE Direccién de Tecnologia y Estrategia Digital je la Informacion y Comunicacion, 3.2.1 Las contrasefias elegidas por el usuario y empleadas por los paquetes de Software de control de acceso, y las claves empleadas por los paquetes de ciftado, deben de cumplir con los Fequerimientos establecidos por la Subdireccién de Tecnologia de la Informacién-" 3.2.2. No se deben emplear palabras del diccionari derivaciones de los identificadores de usuario y secuencias de caracteres comunes, como por ejemplo, "123456" 3.2.3 Los datos personales tales como el nombre del cényuge, el niimero de la placa de! automévil, el mero de seguro social y la fecha de cumpleafios tampoco se deben usar, salvo que estén acompafiados por caracteres adicionales no relacionados, 3.2.4 Las contrasefias y claves elegidas por el usuario no deben ser partes gramaticales que incluyan nombres propios, ubicaciones geograficas 0 siglas comunes. 33 3.3.1 Los trabajadores deben mantener un control exclusivo de sus contrasefias personales y no deben, en ningén momento, compartirlas con otras personas, 3.3.2. Las contrasefias no se deben guardar en formato legible, en comandos automatics de entrada, en macros en teclas de funcién, en computadoras sin controles de acceso o en alguna otra ubicacién en donde las personas no autorizadas podrian descubririas. 34 Cifrs informacié 3.4.1 Toda la informacién confidencial que esté computarizada debe cifrarse cuando no se encuentre en uso activo; por ejemplo, cuando no la esté utilizando un software 0 no la esté viendo un usuario autorizado. * La1queva contrasefia que establezca debe cumplir con los siguientes requerimientos ‘+ Lalongitud de la contrasena tiene que ser estrictamente de ocho caracteres, ‘+ Contener al menos un caracter de cada uno de los siguientes cuatros grupos: ¥ Mayisculas (A-Z) ¥ Mindsculas (A-Z) ¥ Caracteres Especiales (17 # $ %&'C)*+- ¥Nimeras (0-9) + Toda contrasefia tendré una vigencia de 120 dias a partir de la fecha de actualizacién ‘© Validar el acceso al sistema por zona geografica. @ INIA (1)="ei-e>"d ‘Av Jestis Garéla Corona 140, Col Buenavista, P 06350, Detegaciin Cuauntémoc, Mabxico,Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servic Tecnologias de la informacidn y Comuni 3.4.2. Se recomienda el empleo de medidas fisicas de seguridad, tales como cajas fuertes y el cierre de mobiliario y de las puertas de oficina con lave como medidas adicionales para proteger la informacion secreta 3.5 Registro__con eventos relacionados _con ened 3.5.1 Los equipos de cémputo que manejen informacién secreta deben registrar de manera segura todos los eventos _relevantes relacionados con la seguridad del equipo. 3.5.2. Algunos de los eventos son: intentos para descifrar la contrasefia o para usar privilegios que no hayan sido autorizados, modificaciones al software de las aplicaciones para la operacién cambios en el software del sistema TAR aL = ae ne 4.1.1 Los equipos de cémputo deben ejecutar continuamente la versién actual del paquete de antivirus autorizado por la Jefatura de Servicios de Cémputo, 4.1.2 La versién actual de este paquete antivirus se debe descargar en forma automatica a cada equipo de cémputo, accesorios y componentes tecnolégicos cuando el equipo se conecte ala red interna del Instituto. 4.1.3 Los trabajadores no deben abortar este proceso de descarga. 4.1.4 Como minimo, este paquete se debe ejecutar cada vez que se proporcionen medios externos de almacenamiento, 4.2 Descompresién antes de la verificacién 4.2.1 No deben usarse medios de almacenamiento removibles suministrados por una fuente externa, R Usuario(s) a menos que hayan sido verificados con Software antivirus 4.2.2 Los archivos que puedan ser leldos por la computadora, los programas de Software, las bases de datos, los documentos de procesadores de palabras y las hojas de célculo provenientes de fuentes externas deben descomprimirse antes de someterlos a un proceso antivirus autorizado. aISSSTE 43 44 Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Teenologias de la infarmacién y Comunieacion 4.2.3 Si los archivos han sido cifrados, tienen que ser descifrados antes de ejecutar el software antivirus. pAeacueen gocvidus 4.3.1 Los trabajadores no deben intentar eliminar los virus sin contar con ayuda de expertos. 4.3.2 Cuando se sospeche de una infeccion o cuando el software antivirus sefiale que existe una infeccién, los trabajadores deben dejar de usar el equipo de cémputo, accesorios y componentes tecnoldgicos de inmediato, desconectar de forma fisica el equipo de todas las redes y llamar a la Mesa de Ayuda institucional de TIC (MAITIC) ala extensién de Red 18181. 4.3.3 En caso de que el virus sospechoso pareciera estar ecasionando dafios en la informacion o en el Software, se debe apagar el equipo de cémputo, accesorios y componentes tecnolégicos de inmediato. Diversion con virus 4.4.1 Los usuarios no deben escribir, compilar, copiar, propagar, ejecutar o intentar introducir en forma intencional agin c6digo de programacién disefiado para auto-duplicarse, dafiar 0 entorpecer el desempefio de cualquier sistema de cémputo de la Institucién. a Mt e i Eh Sa 5.1.1 Todo Software para equipos de cémputo distinto al Software normativo del Instituto debe copiarse con anterioridad a su uso inicial y almacenarse en un sitio seguro, 5.1.2 Estas copias maestras, posible mente, los mismos ‘medios suministrados por el proveedor, no deben usarse para actividades institucionales ordinarias, sino mas bien reservarse para realizar la recuperacién en caso de producirse infecciones por virus, colapsos del disco duro y otros problemas. 5.1.3 la documentacién sobre las licencias del mencionado Software se debe guardar para obtener apoyo técnico, recibir descuentos en actualizaciones y verificar la validez legal de las licencias, Respaldo periédico AKital TSSS RE Direccién de Tecnologia y Estrategia Dij Guia de Operacién para Usuarios delas Servicios de nanrure. pe Savaman Tecnologias dela Informacién y Comunicacion $2.1 Toda la informacién importante, valiosao confidencial que resida en los sistemas de computacién del Instituto debe respaldarse periédicamente, por lo menos semanalmente. 5.2.2 Amenos que se cuente con sistemas automaticos de respaldo, todos los usuarios finales tienen la responsabilidad de hacer por lo menos una copia de respaldo actualizada de los archivos importantes, valiosos o confidenciales. 5.2.3 Las copias separadas de respaldo deberén hacerse cada vez que se guarda un nimero significativo de cambios 5.2.4 Los respaldos generados por el usuario deben almacenarse fuera de la oficina en un lugar fisicamente seguro. 5.2.5 Algunos archivos respaldados deben ser restaurados periddicamente para demostrar la eficacia de cada proceso de respaldo. Jefes de Servicio 0 puestos 526los Jefes de Servicio de los distintos similares departamentos deben verificar que se realizan Fespaldos adecuados en todos los equipos de cémputo personales utilizados para las actividades institucionales de operacién 5.2.7 El soporte técnico de la MAITIC esta disponible para aquellos trabajadores que tengan dificultad para especificar, configurar o de algun otro modo establecer sistemas de respaldo. 5.2.8 Es responsabilidad del usuario el mantener las copias de seguridad bajo su resguardo y debidamente informado su jefe inmediato para el control de la informacién 53 I 5.3.1 Todas las compras efectuadas por los departamentos usuarios de software para equipos de cémputo que no hayan sido canalizados a través de la Subdirecci6n de Tecnologia de la Informacién (STI), deben informarse con prontitud a la Jefatura de Servicios de Cémputo de la STI. 5.4 Proteccién de derechos reservados 5.4.1 Queda prohibido realizar copias de software que tengan licencias y derechos reservados, atin con propésitas de “evaluacion” 5.4.2 El Instituto permite la reproduccién de materiales con derechos reservados siempre que se cuente Ta om 16ISS: Ss STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de igunte, ce emer Tecnol fas de la Informacién y Comunieacion ‘con permiso del autor 0 propietario 0 su uso sea razonable 5.4.3 Salvo que reciban informacién que indique lo contrario, los trabajadores deben asumir que el Software y otros materiales tienen derechos 6.1.1 No deben mantener informacién en sus equipos de cémputo si consideran que ya no se necesita 0 6.1.2 £1 uso de una sola opci6n de borrado no es suficiente para’ eliminar la informacion confidencial, puesto que ésta puede ser recuperable y debe eliminarse con un programa de reescritura autorizado por la Jefatura de Servicios de Cémputo, 6.2 Destruccién de la informacion 6.2.1 Antes de desecharse, los discos externos defectuosos que —contengan _informacién confidencial deben destruirse usando métodos autorizados por la Jefatura de Servicios de Cémputo para un borrado seguro de la informacién, 6.2.2 Otros medios de almacenamiento que contengan informacién confidencial se deben desechar en los recipientes de destruccién cerrados bajo ave que se encuentran en las oficinas de la Institucidn. 6.2.3 Todas las copias en papel que contengan informacién confidencial se deben desechar, bien ntes 0 en las maquinas trituradoras de papel autorizadas para tal fin. Fee ce eee ea Ee Usuario(s) n 7.1.1 Todo usuario que desarrolle o implemente software o hardware para uso del Instituto en sus actividades operativas, debe documentar el sistema previo a su utllizacién, 7.1.2 La documentacién debe escribirse en forma tal que pueda ser utilizada por personas que no estén familiarizadas con el sistema, 7.1.3 La documentacin debe prepararse ain en aquellos casos en los que se emplee un software ‘comtin, como por ejemplo un programa de hoja de calculo. ‘nv. Jess Garcia Corona 140, Cok Buenavista, CP 06350, Delepacion Cuauhtemoc, México, sia my Estrategia jos de Tee informacién y Comunicacion 7.2 Convenciones de desarrollo de sistemas de Ea 7.2.1 Todos los trabajadores que desarrollen o actualicen aplicaciones para la operacién del Instituto que se ejecutan en los equipos de ‘cémputo, deben cumplir con los requerimientos abreviados de desarrollo de sistemas de la Jefatura de Servicios de Sistemas de informacién? de la Direccién de Tecnologia y Estrategia Digital 7.2.2 Los requerimientos abreviados debe ser preparados especificamente para los equipos de cémputo por lo que requieren mucho menos esfuerzo que los sistemas multiusuario. 7.2.3 Los requerimientos deben incluir una evaluacién de riesgo, una revision répida para asegurar que dicho sistema de operacién cumple con las normas técnicas existentes y el uso de nombres de archivos normalizados. 7.3 Planes de contingencia 7.3.1 Cuando se utiliza un equipo de cémputo, accesorios y componentes tecnolégicas como parte fundamental de cualquier aplicacién institucional para la operacién, debe existir un plan de contingencia documentado y probado. 7.3.2 Los planes de contingencia deben prepararse de acuerdo con los criterios establecidos por la Jefatura de Servicios de Computo 74 etis iform i 7.4.1 Desde el momento en que se genera la \ informacion confidencial hasta que se destruye se autoriza el libre acceso a ella, debe etiquetarse con una identificacién correspondiente a su contenido, la cual debe aparecer en las versiones impresas y en las etiquetas de los medios de almacenamiento que —_contengan_—_dicha , informacién, Usuario(s) 8.1 Internet 8.1.1 Quedan prohibidas las conexiones entrantes de Internet a los equipos de cémputo de la Institucién, salvo que dichas conexiones empleen un paquete de software de red privada virtual De Acuerdo a la Arquitectura Teenol6gica establecida por la DTED, asi como a las metodologias para el desarrollo de soluciones tecnolégicas definidas, vests Garcia Corona 140, Col, Buenavista, CP: 06350, Deleyac inalISSSTE Ce Direccién de Tecnologia y Estrategia Digital (VPN por sus siglas en inglés) autorizado por el departamento de Seguridad Informatica 8.1.2 Estos sistemas de VPN deben contar con las, siguientes dos caracteristicas: opciones de autenticacién de usuario con por lo menos contrasefias fijas, y opciones de prevencién de interpretacién de datos como, por ejemplo, el cifrado, 7 52 3 8.2.1 Lainformacién confidencial del Instituto se puede descargar desde un sistema multiusuario a un ‘equipo de cémputo, accesorios y componentes tecnolégicos nicamente si se _establece claramente que es necesaria para la operacién, si los controles de proteccién adecuados estan instalados actualmente en el equipo de cémputo, accesorios y componentes tecnolégicos y si se obtiene el permiso del Propietario de la informacién 8.2.2 Esta politica no comprende el correo electrénico ni los memos pero si las bases de datos, los archivos maestros y otros datos almacenados en los servidores y otros equipos multiusuario, independientemente de los medios en que se encuentre almacenada la informacion, la gente que la maneja 0 los procesos mediante los cuales se maneja 8.3.1 Los trabajadores y los proveedores no deben hacer arregios para la instalacién de lineas de datos 0 de voz con ninguna empresa de telecomunicaciones, sino han obtenido la autorizacién del Subdirector de Tecnologia de la Informacion, Subdireccién de Tecnologia de la Informacion a4 as Establecimiento de redes 8.4.1 Los trabajadores no deben establecer sistemas de foros 0 boletines electrénicos, redes de area local, sistemas de comercio por Internet y otros sistemas multiusuario para comunicar informacién, sin la autorizacién especifica de la Subdireccién de Tecnologla de la Informacion, 85.1No deben activarse los sistemas que intercambian datos de forma automatica entre dispositivos, como por ejemplo un asistente digital _personal_y un equipo de _cémputo, P 06350, Delegacién Cuauhtémor, México, DF Pigina L19Guia de Operacién para Usuarios de los Servicios de Teenologias de la informacidn y Comunieacion ISS: STE. Direccién de Tecnologia y Estrategia Digital accesorios y componentes tecnol6gicos, a menos Usuario(s) y Coordinadores | 9.1 J ‘Administrativos 9.1.1 Los equipos de cémputo portitiles, deben asegurarse a los escritorios con dispositivos autorizados, tales como sujetadores o placas que inmovilicen el equipo 9.1.2 Los equipos deben marcarse y mantenerse con datos de identificacién visibles que. indiquen claramente que son propiedad del instituto 9.1.3 Se deben llevar a cabo. inventarios fisicos periédicos para seguir el movimiento de los equipos de cémputo y los periféricos correspondientes, 9.1.4 Al detectar la falta de algin equipo de cémputo se deberd dar avisoa la MAITIC a. la extension18181 ya su Coordinador Administrative correspondiente y sera responsabilidad del usuario el seguimiento, comprobaciones y explicaciones necesarias para el esclarecimiento de la falta del equipo de cémputo, accesorios. yy componentes tecnolégicos Enlace Técnico o de sistemas | 9.2 Donaci 9.2.1 Antes de entregar a un tercero los equipos de cémputo o los medios de almacenamiento que hayan sido utiizados por e! Instituto, la Jefatura de’ Servicios de Cémputo debe ‘sclcitar al responsable técnico © de sistemas del area \ correspondiente una inspeccién fisica para determinar que toda la informacién confidencial ha sido eliminada mediante procedimientos de borrado seguro Usuarios) 9.3 Préstamo de equipos de cémputo personales a otros 9.3.1 Los trabajadores nunca deben prestar a otra persona un equipo de cémputo, accesorios y Componentes tecnolégicos de! Instituto que contenga informacién confidencial, a menos que esa persona haya recibido autorizacién previa por parte del Propietario de la informacién para acceder a ella _|__________|94_Sustodio de tos equipos _ i 20ISSS STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de pani, Reena Tecnologias de la informacion y Comunieacion 94.1 El usuario primario de un equipo de compute, accesorios "ycomponentes. tecnoldgicas es considerado el custodio del equipo. 9.42 Siel equipo ha sido dafado, perdido, robado o no esta disponible por algiin otro motivo para las actividades normales ‘de la operacién. del Instituto, el custodio debe informar con prontitud al Jefe de Servicios correspondiente y registrar un reporte ala MAITIC. 9.4.3 A excepcién delos equipos portétils, el equipo de cémputo, accesorios y componentes ‘tecnoldgicos no debe moverse o ubicarse en otro lugar sin el conocimiento y autorizacion del Jefe del departamento 9.5 Uso de equipos personales 9.5.1 Los trabajadores no deben traer_ a las instalaciones del Instituto’ sus equipos de cémputo personales, periféricos, o software sin la autorizaci6n previa del Jefe inmediato superior, ni tampoco usar sus computadoras para. ias actividades de operacién del Instituto, a menos Que estos. sistemas hayan sido evaluados y Autorizados por la Jefatura de Servicios, de Comput. 9.6 Autorizacic ri 9.6.1 Las computadoras, portatiles y otros equipos de sistemas informaticos similares, asi como los equipos que pertenecen alos trabajadores y que hayan sido trafdos a las oficinas dela lnstitucion nna deben salir de las mismas a menos que estén acompafiados de una autorizacién firmada por el \ Jefe de Servicios correspondiente 9.6.2 El personal de seguridad ubicado en la entrada de los edificios del instituto debe revsar el contenido de los maletines, las maletas, los bolsos y otro tipo de equipaje para asegurarse de que todos los equipos que salen de las oficinas del institute tienen un pase autorizado, 97 9.7.1 Las pantallas de las computadoras que manejan datos confidenciales 0 valiosos deben colocarse de tal manera que la informacién no pueda ser vista con facilidad a través de una ventana ni por personas que caminen por el pasillo 0 que se encuentren esperando en la recepcién y areas similares. is Garcia Coron 140, Col Buenavista, CP. 06350, Deke Tel: (55) 5140 9617 wwwissste gol _- LoISSSTE Direccién de Tecnologia y Estrategia Digital ade Operacién para Usuarios de los Servicios de Tecnologias de la Informacion y Comumnicacion FIT usta eos teen enoear eeteteres palate eee mtr PGES Seon entrees mientras éstos ingresan sus contrasefias, sus CME pAOs Pid cre oo hes. ae septa 9.8 Resguardo de la informacién confidencial 9.8.1 El material impreso que contenga informacién Sa eeinea See ser wees CohstPie ales Martell bratipo Ge robes clan led ftanreoceamneseck pole eas tft apiatae na RESETS cal Gedteatrepondlen EVER a casos mefihaaos oat atintoniad esteriog seiucknitns Ginenermamaiiecrects CSM ain SMES ee puiees 2% i 9.9.1 Los equipos de cémputo de las oficinas del Fe ee cen thee ce iat RAMEN SIY cener i neCEe ie icecapilen esse ote sncrec us| energia ininterrumpida autorizados por la Jefatura de Servicios de Cémputo. 929 Sava Cianig as craceresaa terete edificacién representen un riesgo significativo de GescorntlUlecr calles Vee eoaperee cémputo deben estar provistos de un equipo anti ealierfiri tian yataieetarcinee es Cémputo. pata Ug tet [eel uid eetbsatenagraics tales como cintas magnéticas deben guardarse a ia dee ile CaeeeeRe ores take \? Pea tdcriccs eaaARESMS tome por imanes y teléfonos, oan 9.11.1 Los trabajadores deben abstenerse de fumar, comer o beber cuando estén usando los equipos de cémputo. Usuario(s) 10.1 Derechos sobre programas desarrollados 10.1.1 Salvo que exista una excepcién especifica por escrito, todos los programas de computacién y la documentacién generada o suministrada por los isi ooISSS iE Direccién de Tecnologia y Estrategia Digital Guia de Oper: Teenol én para Usuarios de los Servicios de fas de la Informacién y Comunicacion trabajadores para el beneficio del Instituto son propiedad de ésta, al igual que todos los materiales, incluyendo _patentes, derechos reservados y marcas registradas desarrollados Por los trabajadores del Instituto en sus equipos de cémputo. 10.1.2 Los trabajadores no deben explorar los sistemas de computacion o las redes del Instituto. 10.1.3 Las gestiones que el trabajador realice para encontrar en forma legitima la_informacién necesaria para llevar a cabo su trabajo y el uso de a Intranet del Instituto el Instituto no se considera exploracién, 10.2 Herramientas que competen ala seguridad de los sistemas 10.2.1 Amenos que la Subdireccién de Tecnologia de la Informacién lo autorice, los trabajadores del Instituto no deben adquirir, poseer, intercambiar © usar herramientas de hardware o software que pudiesen emplearse para evaluar o comprometer la seguridad de los sistemas informaticos; entre ellas, aquellas que pudiesen vulnerar la proteccién contra el copiado del software, descifrar contrasefias secretas, identificar vulnerabilidades en la seguridad o descifrar archivos cifrados. 10.3. Informe de problemas 10.3.1 Los usuarios deben informar con prontitud todas las alertas de seguridad, las advertencias y las sospechas de vulnerabilidades a la MAITIC, y ‘no deben usar los sistemas del Instituto para enviar esta informacién a otros usuarios, sin importar si son internos o externos. 10.4.1 Cada Subdireccién de Area o similar debe designar a un Enlace Técnico o de Sistemas, quien debera ser la persona a la cual el lector se dirigira en primer término, en caso de que requiera informacién adicional. 10.4.2 _Sieste enlace no puede responder a la persona © brindar una resolucién satisfactoria al problema, el préximo paso es llamar a la Jefatura de Servicios de Cémputo del Instituto. “keTISSSTE Sap getiapibaion Nata VI. PeRioD0 DE REVISION: ra modificar por alguna Esta politica se revisaré una vez al afo, o bien cuando se req mejora significativa en el Instituto. BrTAcora DE CONTROL DE CAMBIOS Y FIRMAS DE ACEPTACION: N/A N/A bn Cuauhtémoc, México, DDireccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de os Servicios de ‘dea Informacion y Comunieacién Versién: vi Fecha: Mayo 20, 2015, Ing. Jorge Luis Pineda Cardenas Lic. Obdulia Castafieda Li. Jorge A. Cano Fé Jefe de Departamento del Segundo Subdirector de Tecnologia, ata a Usuarios Jefa de Servicios de la Informacién de AN auenavista, CP. 06350, DePOLITICAS DE USO Y ACCESO A INTERNET PARA LOS TRABAJADORES DEL ISSSTE ris Leireccién de Tecnologia y Estrategia Digital {de Operacién para Usuarios de los Servicios de Tecnologias de a Informacion y Comunicacign |. Introduccién: 27, I. Objetivo... 27 I Términos y Definiciones.. IV. Propésito.. V. Politicas de uso y Accesos a Internet... VI. Periodo de Revisidn.. oh) VIL. Bitacora de Control de Cambios y Firmas de Aceptacion:.... 40 Av. Jess Garcia Corona 140, Col Buenavista, CP. 06350, Delegaciin Cuauhtémoc, México, DF A isin 7Spel Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Teenologias de ta inform: én y Comunieacion 1. IntRopuccién: La amplia variedad de nuevos recursos, servicios e interconectividad disponibles a través de Ia Internet plantean nuevas oportunidades de negocio, asi como nuevos riesgos en materia de seguridad y privacidad. La politica oficial del Instituto de Seguridad y Servicios de los Trabajadores del Estado aqui descrita en relacién con la seguridad en Internet es una respuesta a estos riesgos. Ossetivo: La siguiente politica establece los lineamientos para el correcto uso de Internet que proporciona el Instituto, con el fin de evitar el uso indebido 0 prohibido, propiciando un ambiente de seguridad del uso de la informacion TERMINOS Y DEFINICIONES: ‘Autenticacién | Act? © Proceso para el establecimiento o confirmacién de algo (o alguien) como real : EI medio que permite garantizar técnica y legalmente la identidad una ene persona en Internet. Es un requisito indispensable para que las instituciones puedan ofrecer servicios de Internet. El procedimiento que utiliza un algoritmo con cierta clave y tiene la capacidad de transformar un mensaje, sin atender a su estructura Cifrado | linguistica o significado, de tal forma que sea incomprensible, o al menos dificil de comprender a toda persona que no tenga la clave secreta del algoritmo. | File Transfer Protocol por sus siglas en inglés (Protocolo de Transferencia Ftp | 0 Archivos). Es un protocolo de red para transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol) basado en la arquitectura cliente-servidor. | Http | Hypertext Transfer protocol por sus siglas en inglés (En espafol protocolo de transferencia de hipertexto) es el protocolo usado en cada transaccién Y ests Ga 140, Col Buenavista, CP 06350, Delegacién Cuauhtemoc. México, OF $) $140 9617 wwwissste gol inx iti oeDireccién de Tecnologia y Estrategia Digital Usuarios de los Servicios de informacion y Comwunicacion de la World Wide Web, Es un protocolo orientado a las transacciones y sigue el esquema de peticién-respuesta entre un cliente y un servidor. Unix to Unix CoPy, por sus siglas en inglés (copiador de Unix a Unix) hace uuep | 8eneralmente referencia a una serie de programas de computadoras y Protocolos que permiten la ejecucién remota de comandos y transferencia de archivos y correo electrdnico entre computadoras, En informatica, la World Wide Web (WWW) cominmente conocida como Web | la Web, es un sistema de distribucién de documentos de hipertexto o hipermedios interconectados y accesibles via Internet. IV. Propostto Proteger la confidencialidad, autenticidad o integridad de la informacién. Deben utilizarse sistemas y técnicas criptograficas para la proteccién de la informacion que se considera en estado de riesgo y para la cual otros controles no suministra una adecuada protecci6n. V. Potiticas DE Uso Y ACCESO A INTERNET Subdireccién de Tecnologia de | 1.1. Implantar la politica de internet para usuarios. la Informacién a través de la| 3.2. i ir 1 Soeeee ace coe | oe) correo electrénico, Se debe otorgar solamente a Telecomunicaciones aquellos trabajadores que tienen una necesidad justificada por razones laborales y basadas en las rormas Institucionales. | 1.2.1, La capacidad de acceder y de participar en otras actividades de Internet no es un incentivo al cual todos los trabajadores tienen derecho 1.2.2. Para recibir privilegios de acceso a Internet, todos los trabajadores deben completar un formato el cual deberd estar autorizado por su Subdirector de Area o en su caso, el Director de ssu centro de trabajo. craneISSSTE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologias dea Informacion y Comunicacion ‘nae 2.1, Confiabilidad de la informacin aa] 2.1.1 Toda la informacién adquirida de internet debe considerarse NO confiable hasta que se confirme con informacién proveniente de otra fuente. 2.1.2 Antes de emplear informacién suministrada Bratuitamente por internet para la toma de Gecisiones. institucionales, os trabajadores deben corroborar la informacién consultando otras fuentes 2.2. Verificacién antivirus 2.2.1. Todos los archivos no texto, (imagenes, PDF. presentaciones, archivos descargados de Internet) deben ser examinados con software antivirus institucional antes de usarlos. 2.1.3 Cuando el proveedor externo del software no es confiable, el software descargado debe probarse en una maquina independiente, no empleada para el trabajo cotidiano, que haya sido respaldada recientemente. Los archivos descargados deben—descifrarse descomprimirse antes de ser sometidos a la verificacién antivirus institucional 2.1.4 Los usuarios no podran desinstalar o cambiar el producto de antivirus institucional existente en 'u equipo, asi como ninguna de las aplicaciones precargadas 2.3. Descarga de software 2.3.1.6 ISSSTE ha implementado un sistema ‘automatic de distribucién de software para instalarlas versiones autorizadas mas recientes fen sus computadoras, tal como actualizaciones de antivirus, de sistema operativo y paqueteria de Microsoft por lo que en caso de detectarse software adicional al instalado podra ser sancionado de manera inmediata. 2.3.2. Los trabajadores no deben instalar software en los equipos de cmputo que no hubiesen sido suministrados por el Instituto que se descargaron de la internet o se hayan obtenido de otro modo, y que puedan provocar alguna vuinerabilidad en el equipo o inestabilidad en los servicios del mismo. 2.3.3.La utilizaci6n de software sin restriccién de licencia (software de dominio publico) o esarrollos Instituconales 0 particulares | \yJ l deberdn ser notificados a su area técnica o de émoc, México, DFISS. S STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de ecnologias de informacion y Comuni sistemas, mismo que deberd solicitar su registro y autorizacion ala STI (Texto tomado de las politicas basicas de uso de equipo de cémputo). 24. mai 2.4.1. Queda prohibida la actualizaci6n automatica de software 0 de informacién en los equipos de ‘cémputo del fabricante, a menos que el sistema del proveedor haya sido probado y autorizado por la Subdireccién de Tecnologia de la Informacién. 2.5. Confirmacién de identidad 25.1.Antes de que los trabajadores revelen informacién interna del Instituto, ya sea que celebren contratos 0 hagan pedidos de productos a través de redes publicas, debe asegurarse de la identidad de las personas y las organizaciones contactadas, Lo ideal es hacerlo mediante firmas 0 certificados digitales; sin embargo cuando éstos no estén disponibles, Podran emplearse cartas de crédito, referencias de terceros y conversaciones telefénicas. 2.6. Anonimato del usuario 2.6.1.Queda prohibido falsear, ocultar o sustituir ta identidad de un usuario en cualquier equipo de cémputo, en caso de que el usuario ya no labore en el Instituto por ningtin motivo debera ingresar con usuario y password de otra Persona, ya que esto representara una sancion inmediata, debera solicitar con su enlace informatico el cambio de usuario en el equipo 6 Internet 0 en cualquier sistema de Comunicaciones electrénicas del Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado. 2,6.2.E1 nombre del usuario, la direccién de correo electrénico, la afiliacién a la organizacion y otros detalles incluidos los mensajes o transcripciones deben seflalar al verdadero autor de los mismos. 2.6.3.5i los usuarios tienen necesidad de enviar 6 despachar correo y otras facilidades anénimas, deben hacerlo en su tiempo libre, con sus propios sistemas informaticos y cuentas de proveedores de servicio de Internet externos al Instituto. 2.6.4.NO se permite el uso de conexiones anénimas | \y/ FTP. UUCP, HTTP 0 exploracién de la web \ ‘Av Jesis Garcia Corona 140, Col Buenavista, CP. 06350, Delegacién Cuauhtémoc. México, D:ISSSTE 27, Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologia dea Informacion y Comuicacisn ‘otros métodos de acceso establecidos donde se supone que los usuarios son anénimos y que Pongan en riesgo la informacién o pueda ser vulnerable informacién del Instituto, 2.7.1.Los usuarios deben abstenerse de abrir los archivos adjuntos a su correo electrénico salvo que provengan de un remitente confiable MO que es responsabilidad del usuario validar. 2.7.2.Cuando los trabajadores reciban archivos adjuntos de remitentes conocidos confiables, deben usar paquete antivirus institucional antes de abrirlos, 2.7.3, No responder, ni enviar correos tipo cadena. sin importar que tan plausible parezca su Propésito. (Texto tomado de las politicas basicas de uso de equipo de cmputo). 2.7.4.£n caso de necesitar enviar correos “muy pesados” estos no pueden exceder los 20Mb, Por lo cual se recomienda comprimir los archivos, Departamento de Publ Electrénica 29. 2.8.1.Los trabajadores no deben establecer nuevas paginas de Instituto externas sin una autorizacién por parte del area de Comunicacién Social del Instituto, en conjunto con el rea del Departamento de Publicacién Electrénica, la cual pertenece a la Subdirecci6n de Tecnologia de la Informacién 2.9.1.El Responsable del Departamento de Publicacién Electronica (Administrador Web), debe resguardar cada versién del sitio de Internet sugiriendo resguardarse en dos ubicaciones fisicamente separadas, para que en caso de necesitar presentar copias de paginas histéricas, lo pueda hacer. ea a Tana 31 Intercambio de Informacion 3.11 £1 software, la documentacién y toda tal informaci6n interna del Instituto no debe venderse ni transferirse de algin otro modo a ningun tercero que no pertenezca al Instituto para ningn propésito distinto a los propésitosISSSTE Direccién de Tecnologia y Estrategia Digi Guia de Operacién para Usuarios de los Servicios de de servicio expresamente autorizados por el Instituto, 3.1.2 Elintercambio de software o de datos entre el Instituto y cualquier tercero no debe proceder, ‘a menos que se haya suscrito un acuerdo por escrito que especifique los téminos del intercambio y la manera en que el software o los datos se van a manejar y proteger. a “ls B 3.2.1 Lainformacién del instituto no debe colocarse en ninguna computadora externa al mismo, a menos que las personas que tienen acceso a ella tengan necesidades justificadas por razones del servicio _expresamente autorizadas por la Direccién de su area. a a 3.3.1 La informacién secreta, privada 0 propiedad del Instituto no debe enviarse por Internet, a menos que haya sido cifrada con métodos autorizados. Salvo que se sepa que es del dominio publico, el cédigo fuente siempre debe cifrarse antes de enviarlo por Internet. Por las mismas razones, los servicios de teléfono de Internet no deben emplearse para los servicios del Instituto a menos que se sepa que la conexién esta cifrada. 3.4 Para 3.4.1 Los procesos de cifrado estan permitidos si estan autorizados por la Subdireccién de Tecnologia de la informa: 4.1.1 Se prohibe el copiado de software que no se Fealice conforme a la licencia del proveedor cuando el trabajador esté en su lugar de trabajo o cuando se estén empleando recursos de cémputo o de redes de la Institucién, al igual que la participacién en boletines de | anuncios de software pirata y actividades similares fuera del horario de trabajo, debido a que crean un conflicto de intereses con la Institucién, 4.12 La reproduccién, el reenvio 0 cualquier otro modo de re publicacién o redistribucién de palabras, graficos o cualquier otro material y Av. Jess Garcia Corona 140, Col Suienavista, CP 06350, Delegaciin Cuauntémoc, México, DF Tol. (55) $140 9617 www iesste goo ix a Lastal ISS) S S T E Direccién de Tecnologia y Estrategia Ade Operacién para Usuarios de los Servicios de Tecnologias de la Informacion y Comunicacion oe 4.2 Directorios modificables publicamente piblicamente en las computadoras del cémputo del Instituto no deben involucrarse olie euasy camera ce Usuario(s) Ss... icacié i cémputo internos del Instituto el Instituto a (Departamento de Redes) el cual puede cifrar | oid ees aat meer 5.12 Este software de VPN también deben 5.13 El proceso de autentificacién debe ica ‘Av ests Garcia Corona 140, Col. uensavista, CP. 06350, Delegacién Cuauhtémoc, México, DF Tel, (55) S140 9617 wwwissste isiny Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologias de la Informacién y Comunicacion ISSSTE 5.1.4 Los sistemas publicos designados no requleren de procesos de autentificacién de usuario Porque se supone que las interacciones son anénimas. 52 i 5.2.1 Los trabajadores que no hayan instalado las mejoras 0 parches requeridos al software o cuyos sistemas estén infectados por virus deben desconectarse automaticamente de la red del Instituto hasta que se restablezca una ambiente seguro de computacién, 5.2.2 Los equipos de cémputo usados por todos los trabajadores que empleen tecnologia VPN deben ser rastreados remotamente en forma automatica para determinar sie software est actualizado y si el sistema has sido protegido adecuadamente. 5.3 Restriccién de acceso de terceros 5.3.1 No deben otorgarse privilegios entrantes de acceso a Internet a terceros, incluyendo Proveedores, contratistas, "consultores, Personal temporal o personal de. organizaciones externas u otros terceros a menos que un Subdirector de area determine que estos individuos tienen una necesidad justificada de negocios para dicho acceso dentro del Instituto, 5.3.2 Los privilegios deben habilitarse Gnicamente para ciertos individuos y solo por el periodo de tiempo requerido para completar las tareas autorizadas 5.3.3 Endicho periodo deberdn ser tratados como un trabajador por lo que aplicaré cualquier recomendacién e inclusive podrén ser desalojados, en caso de recurrir en algun acceso indebido. 5.4 Autentificacién de usuario de explorador 541 Los trabajadores no deben guardar contrasefias fijas en sus exploradores web o en sus clientes de correo electrénico 54.2 Las contrasefas fijas debe ser suministradas cada vez que se invoca un explorador 0 un lente de correo electrénico. 5.43 Las contrasefias de explorador pueden ser guardadas cuando debe suministrarse una Contraseha_de aranque_cada_vez_que se] J ‘oronia 140, Col Buenavista, CP. 06350, Delegacién Cuauhtemoc. México, Tel, (55) 5140 9617 wwwissste gob mx iiaISS: STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologias de la informacién y Comunieacién ‘enciende el equipo de cémputo y cuando se solicita una contrasefia de protector de pantalla cada vez que el sistema permanece inactive después de un periodo especifico de tiempo, 5.4.4 Los usuarios de los equipos de cémputo del Instituto deben _rechazar todos los ofrecimientos del software de colocar cookies fen su equipo de cémputo para que puedan conectarse en forma automatica la préxima vez que visiten un sitio en particular de Internet. 55 5.5.1 Los trabajadores no deben suministrar sus identificadores de usuarios de Internet y las contrasefias a agrupadores de datos, a servicios de resumen de datos y de formato ni a ningiin otro tercero. 5.6 Proveedores de servicio de Internet 5.6.1 A excepcién de los usuarios de equipos de cémputo méviles, los trabajadores no deben emplear cuentas de proveedores de servicio de Internet y lineas de discado para acceder a Internet para acceder a Internet con los equipos de cémputo de la Institucién. 5.6.2 Toda la actividad en Internet debe atravesar los firewalls 6 contrafuegos del Instituto y los demas mecanismos de seguridad. 5.6.3 Los usuarios deben emplear la direccién de correo electrénico del institute el Instituto para el correo electrénico de internet. 5.6.4 Queda prohibido el uso de la direccién personal de correo electrénico para este propésito. 5.7 Establecimiento de conexiones de red | 5.7.1 Amenos que se haya obtenido la autorizacion previa de la Subdirecci6n de Tecnologia de la Informacién, a través de la Jefatura de Servicios de Telecomunicaciones, los trabajadores no deben establecer conexiones de Internet 0 de otras redes externas que pudiesen permitir que usuarios no pertenecientes a la Institucién, obtengan acceso alos sistemas y ala informacién de la | \y) Institucién. Estas conexiones incluyen el establecimiento de sistemas de_archivo multiST Direccién de Tecnologia y Estrategia Guia de Operacién para Usuarios de las Servicios de Teenologias de a informacion y Con ISS computador, paginas de Internet, sistemas de comercio en internet y servidores FTP. a foes ; 5.8.1 Amenos que el Subdirector de Tecnologia de a Informacién lo haya autorizado previamente, los trabajadores no deben usar conexiones nuevas 0 existentes de Internet para establecer nuevos canales de negocios. Estos Canales incluyen acuerdos para el intercambio de datos electrénicos, centros comerciales electrénicos con compras en linea y servicios de base de datos en linea. 5.9 Realizacién de negocios a través de Internet 59.1 A menos que se haya obtenido una autorizacién previa del departamento de Adquisiciones, pertenecientes a la Direccién de Administracién. 5.9.2 Los trabajadores del Instituto NO deben comprar ningtin bien 0 servicio a través de Internet cuando estos son ofrecides por un negocio establecido 0 con operaciones en un pals extranjero. cal 1 Usuario(s) 6: Uso personal 6.1.1 Eluso de los recursos de cémputo del Instituto Para propésitos personales se permite siempre y cuando el aumento en el costo por dicho sea insignificante, no tenga prioridad sobre las actividades de! Instituto y no conlleve la creacin de un ambiente de trabajo desfavorable o un ejemplo de conducta deficiente 6.1.2 Los trabajadores no deben emplear Internet u otros sistemas internos de informacién de forma tal que afecte la productividad de otros trabajadores, 6.1.3 No esta permitido el envio de cartas en cadena, ni la difusion de peticiones de dinero para obras | de caridad. | 6.1.4 Los recursos de los equipos de cémputo del | Instituto no deben revenderse a otras partes ni tampoco emplearse para _propésitos personales de negocio, ee = biaISS! STE Direccién de Tecnologia y Estrategia Digital n para Usuarios de los Servicios de ; Tecnologias dea Informacion y Comunicacion 6.2 Sitios ofensivos dela Web 6.2.1 Elinstituto de Seguridad y Servicios Sociales de los Trabajadores no es responsable del contenido en los sitios de la Web, 6.2.2. Cuando los usuarios de los equipos de cmputo del Instituto usan Internet y se dan cuenta de que se han conectado en sitios que tienen contenido censurable, como por ejemplo material violento, sexista, racista_ 0 sexualmente explicito. _potencialmente ofensivo, deben desconectarse del sitio de inmediato. 62.3 Encaso de que se detecte en el monitoreo que se realiza por parte del Instituto, el ingreso indebido los sitios mencionados en el punto 6.2.2, puede sera acreedor a una sancién inmediata y a la deshabilitacién del recurso brindado para Internet, y serd reportado con su jefe inmediato para que se haga acreedor ala sancién administrativa que corresponda, por emplear mal los recursos que le brinda el Instituto. 63 6.3.1 La posibilidad de conectarse con un sitio especifico de la web no implica que se permita que los usuarios de los sistemas de! Instituto Visiten ese sitio. De hecho ésta puede a discrecién, restringir 0 bloquear la descarga de Ciertos tipos de archivo que pudiesen ocasionar tuna distorsién en el servicio de la red, incluyendo los sitios de redes sociales y la descarga 0 reproduccién de archivos gréficos, zal DE! Usuario(s) 7.1.1 Los trabajadores que usen los sistemas de informacién del Instituto o Internet deben tener presente que sus comunicaciones no estan ‘automaticamente protegidas de ser vistas por terceros. 7.1.2 Salvo que se utilice el cifrado, los trabajadores no deben enviar informacién a través oh, Internet si consideran que es confidencial 0 privada. Pagina | 38 fv. Jess Garcia Corona 140, Col Buenavista, CP. 06350, 55) S140 9617 www issste,god mxigital jos de Tecnologias de la Informacin y Comunieacion IS SST E Direccién de Tecnologia y Estrategia Guia de Operacién para Usuarios de los Servi Jefe de Servicios de 7.2 Telecomunicaciones 7.2.1 El Instituto registra rutinariamente los sitios visitados en la Web, los archivos descargados, el tiempo conectado a Internet e informacién relacionada. 7.2.2 Los reportes de la informacién anterior, se utilizan para determinar silos tipos de uso de Internet son apropiados para las actividades del Instituto 0 del Departamento al que pertenece el trabajador. Usuario(s) 73 el 7.3.1 Los usuarios no deben utilizar los sistemas de computacién del Instituto para transmitir anuncios por correo electrénico © mensajes comerciales no solicitados que puedan rovocar quejas por parte de los destinatarios. 7.3.2 Los mensajes prohibidos incluyen una amplia variedad de promociones y peticiones no solicitadas tales como cartas en cadena, planes de pirdmide y discursos de mercadeo directo. 7.3.3 Cuando los trabajadores reciban correo electrénico no deseado y no solicitado, deben abstenerse de responder directamente al remitente y reenviar el mensaje al administrador de correo electrénico a la siguiente cuenta dsi@issste.gob.mx que es administrado por personal del Departamento de Servicios de Internet del Instituto quien podré tomar las medidas necesarias para impedir transmisiones posteriores. i] eee Usuario(s) 8.1 Proceso de notificacién 8.1.1 Sila informacién confidencial del Instituto se Pierde, se divulga a partes no autorizadas 0 se tiene sospecha de cualquiera de las situaciones anteriores, debe notificarse al Responsable de ‘Seguridad de la Informacién de inmediato. 8.1.2 Si ha ocurrido cualquier uso no autorizado de los sistemas de informacién del Instituto o se sospecha que estd acurriendo, debe notificarse a la Subdireccién de Tecnologia de la informacién con prontitud 8.1.3 Cada vez que las contrasehas u otros ‘mecanismos de control de acceso al sistema se pierden son robadas o reveladas 0 existe (55) 51409617 www ssstegobirn an ae)I S S$ S al E Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Damage, Re ere Tecnologias de informacién y Comumicacisn sospecha de cualquiera de las situaciones anteriores, debe de solicitarse el cambio de la misma en'la Mesa de Ayuda Institucional de Servicios de TIC inmediatamente, en la extensién 18181 opcién 1. 8.14 Cualquier comportamiento inusual de los sistemas, como por ejemplo el extravio de archivos, los colapsos frecuentes del sistema y los mensajes enviados equivocadamente, deben ser reportados de inmediato a la Mesa de Ayuda Institucional de Servicios de TIC. 8.1.5 Los detalles de los problemas de seguridad no deben discutirse —ablertamente sino compartirse basandose en la necesidad de asegurar. a2 8.2.1 Los trabajadores que reciban_informacién sobre aspectos vulnerables del sistema deben reenviarla a la Jefatura de Servicios de Telecomunicaciones (Departamento de Servicios de Internet) dsi@issste.gob.mx, quien determinara las acciones apropiadas a tomar. 82.2 Los trabajadores no deben redistribuir personalmente la informacién sobre la vulnerabilidad del sistema de otros usuarios. Pruebas de controles 8.3.1 Los trabajadores no deben probar o sondear los ‘mecanismos de seguridad en el Instituto o en ‘otros sitios de Internet a menos que hayan ‘obtenido un permiso por escrito de la Subdireccién de Tecnologia de la Informacién, de lo contrario sera acreedor a una sancién administrativa. 8.3.2 La posesién o el uso de herramientas para detectar los aspectos vulnerables del sistema de informacién o para comprometer los mecanismos de seguridad de la informacién estan prohibidos sin el permiso previo de la Subdireccién de Tecnologia de la Informacién, de lo contrario ser acreedor a una sancién administrativa Corona 140, Col Buenavista, © P-06350, Delegacién Cuauntémac, mexico, D Y 55) $1409617 wwwissstegob mx oeISSSTE eee eee. VI. PeRioDO DE REVISION Esta politica se revisara una vez al afio, o bien cuando se requiera modificar por alguna mejora significativa en el Instituto. Tel. (S5)'5140 9617 vow Est os 4Direccién de Tecnologia y Estrategia Digital Je Operacién para Usuarios de los Servicios de Teenologias de la Informacién y Con VII, BITACORA DE CONTROL DE CAMBIOS Y FIRMAS DE ACEPTACION: vi Fecha: Mayo 20, 2015. LILA. Coral A. Espinoza Perfecto| Lil. Arturo E. Guirao Aburto | Lil. Jorge A. Cano Félix Jefede Departagnento | Encargado del Despacho de la | Subdrector de Tecnologta deere acne Tefatura de Seri dela informacion ne Garcia Corona 140, Col Buenavista, CP, 06350, DelegaciSn Cuauhémnoc, M Tol (58)'5140 9617 www issstegoomnx Pagina | 42wy ISSSTE _Dresnerct POLITICAS DE USO DEL CORREO ELECTRONICO, PARA LOS TRABAJADORES DEL ISSSTE Pagina | 43,ireccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologia de la informacién y Comunicacién CONTENIDO: | Introduccién.......... 43 I. Objetivo... 43 ll Términos y Definiciones. 43 \V. Propésito.... ary V. Politicas de uso del Correo ElectréniCOwnsnsnnnsinssiinnnsinmnnnaninneninnnn 44 VI. Periodo de Revisién. 53 VI. Bitacora de Control de Cambios y Firmas de Aceptacién: 54 Pagina | 44ireccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de ia deta informacién y Comunicacién Como herramienta para aumentar la productividad, el ISSSTE estimula el uso institucional de los sistemas de comunicacién electrénica, especialmente Internet, el teléfono, el correo de voz y el correo electrénico por lo que es importante definir una politica que permita establecer de forma clara y precisa el uso adecuado de éste ultimo. Eluso adecuado de los recursos de red, de correo electrénico, internet y en general todo activo para procesamiento de informacion del Instituto es primordial. El uso adecuado proporciona garantia razonable de no exponer a riesgos adicionales a los activos de procesamiento y a la informacion misma Ml. OBseTivo: La siguiente politica establece los lineamientos para el correcto uso del Servicio de Correo Electrénico que proporciona el Instituto, con el fin de evitar el uso indebido o prohibido, propiciando un ambiente de seguridad del uso de la informacion. II, TERMINOS Y DEFINICIONES: Activo: | Cualquier cosa o bien que tiene valor para la instituci6n. Es un procedimiento que utiliza un algoritmo con clerta clave y tiene la capacidad de transformar un mensaje, sin atender a su estructura Gifrado: | linguistica o significado, de tal forma que sea incomprensible, 0 al menos dificil de comprender a toda persona que no tenga la clave secreta de! algoritmo ‘Aquellos correos institucionales que registran informacion relativa a un hecho, acto administrativo, juridico, fiscal 0 contable, generando, recibiendo 0 conservando bajo cualquier titulo en la organizacién del trabajo, en el ejercicio de atribuciones de las dependencias o entidades y Correo 2 ; Electroma de | [2 actividad o desemperio de los servidores piblicos,incluidos los procesos deliberativos respectivos. Los correos electronicos de archivo y sus Archivo (CEA) | documentos adjuntos se consideran documentos e informacion en términos de las definiciones contenidas en las fracciones Illy V del articulo 3 de la Ley Federal de Transparencia y Acceso a la Informacién Public Gubernamental nT yes ee / Pagina | 45,ISSSTE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologia de la Informacién y Comunicacién Epi: | (Electronic Data Interchange) por sus siglas en inglés, Intercambio de Datos Electrénicos Identidad; | £5 ¢! Conjunto de los rasgos propios de un individuo 0 de una comunidad * | tos cuales caracterizan al sujeto 0 a la colectividad frente alosdemas. _| IV. Propésito Proporcionar los criterios para hacer el uso adecuado de los recursos de red y correo electrénico por parte de los trabajadores del Instituto v. POLITICAS DEL USO DE CORREO ELECTRONICO Usuarios) Las cuentas de usuarios y contrasefias de acceso al equipo de cémputo, la red, Internet 0 cualquier otro recurso informatico, son propiedad del Instituto. Estas cuentas de usuarios y contrasefias son para uso estrictamente personal del usuario al que se le asignan y por lo tanto la responsabilidad por el uso correcto y debido cuidado de los mismos recae exclusivamente en el usuario mismo, Queda prohibido el uso de cuentas de usuario ‘invitado” o “anénimo" o cualquier otra similar, para acceder a la red del Instituto 0 a los diferentes recursos informaticos 113 0 Zea Usuario(s) 2..1.£n términos generales, los sistemas de comunicacién electrénica del Instituto deben usarse —Linicamente para _—_ actividades institucionales. 2.1,2,E1 uso personal adicional es permitido siempre y ‘cuando solo consuma una cantidad minima de los recursos del sistema, no interfiera con la productividad del trabajador y no tenga prioridad sobre otras actividades de la Institucién, Pagina | 46ecci6n de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los S ISSSTE Dae Be eas Tecnologia de la Informacién y Comunicacién 2.13.Los sistemas de comunicacion electronica no deben usarse para la organizacion de campafias de recaudacién de fondos para obras benéficas, actividades de defensa de intereses politicos o religiosos, actividades privadas de negocios 0 entretenimiento personal 2.1.4.Las fuentes de noticias, listas de direcciones de correo electrénico, actualizaciones automaticas de datos y otros mecanismos para la recepcién de la informacién a través de Internet deben restringirse a materiales que estén relacionados directamente con la operacién del Instituto y las tareas de los destinatarios 2.1.5.Se recuerda a los trabajadores que el uso de los recursos institucionales del sistema de informacion nunca debe crear la impresién o la realidad de que se estén empleando indebidamente. Usuario(s) 3.1, Cuenta de correo electrénico BLLEn términos generales, los sistemas de comunicacién electrénica del Instituto deben usarse Gnicamente para actividades institucionales. 3.2. Actividades de diferentes usuarios 3.2.1.£stas opciones debe implementarse en aquellos casos en los que los sistemas de Ccomunicaci6n electrénica permita separar las actividades de diferentes usuarios 3.2.2. Los sistemas de correo electrénico deben utlizar los identificadores de usuario y las contrasefias correspondientes. 4.1, Contrasefias 4.1.1.Independientemente de las circunstancias, las contrasefias individuales nunca __deben. compartirse 0 revelarse a ninguna persona, excepto al usuario autorizado. 4.1.2.E1 personal del Departamento de Servicios de Internet de la Jefatura de Servicios de Telecomunicaciones no debe pedir alos usuarios que revelen sus contrasefias. Cuando éstos ecesiten compartir datos que se encuentran en la_computadora, deben utilizar opciones de ee uy Pagina | 47 Usuario(s) Av. Jess Garcia Corona 140, Cal Buenavista, CP.06350, De Tel, ($5) $140 9617 www sssteISSS STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologia de ta Informatién y Comunicacién reenvio de mensajes, los directorios publicos de servidores de red de area local, las bases de datos grupales y otros mecanismos autorizados para compartir informacién 4.13.Para_impedir que partes no autorizadas obtengan acceso a las comunicaciones electrénicas, las contrasefias elegidas por los usuarios deben ser dificiles de adivinar. Por ejemplo, los usuarios no deben incluir palabras que se encuentren en diccionarios, datos personales, nombres o algén otro término Felacionado con las actividades de trabajo. a ee i 5.1.1 Queda prohibido falsear, confundir, ocultar o sustituir la identidad de otro usuario en un sistema de comunicaciones electrénicas 5.1.2 1 nombre del usuario, la direccién de correo electrénico, la afiliacién a una organizacién y otros datos relacionados incluidos en los mensajes 0 anuncios electrénicos deben sefalar el verdadero origen de los mismos. 5.1.3 Como minimo todos los trabajadores deben suministrar su nombre y su numero de teléfono. en todas las comunicaciones electrOnicas. 5.14 Se recomiendan las firmas en el correo electrénico indicando el cargo, la aflliacién a la Institucién, la direccién y otros detalles asi como las certificaciones digitales para todos los ‘mensajes de correo electrénico. 5.1.5 Salvo que reciban informacién que indique lo contrario, los trabajadores deben asumir que el software y otros materiales tienen derechos 6.11 Salvo que se obtenga un permiso de la Subdireccién de Tecnologia de la Informacién, los trabajadores no deben usar sus cuentas personales de correo electrénico para los mensajes institucionales. 6.1.2 Los trabajadores no deben usar tampoco las opciones de correo electrénico que se encuentran en los exploradores de la web para las comunicaciones de la Institucién ‘Av. Jesis Garcia Corona 140, Col Buenavista, CP. 06350, Delegacién Cuauhtemoc, México, DF Tel. (55) S140 9617 www issste gob mx & PaginaIss S| STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de DeUTeID, Ce AR Tecnologia de la informacién y Comunicacin 6.1.3 Solamente se debe emplear el software de correo electrénico autorizado por la Institucién. Tn eee CEN 7.1.1 Se recuerda a los trabajadores del Instituto que los sistemas de comunicacién electrénica no estan cifrados de manera predeterminada 7.1.2 Si los sistemas de comunicacién electrénica deben enviar Informacién Confidencial 0 Secreta, se debe emplear un proceso de cifrado autorizado por el departamento de Seguridad Informatica. 7.1.3 Estos sistemas deben proteger la informacién en toda su extensién y no deben comprometer la decodificacién del contenido del mensaje antes de que el mismo llegue a su destino final 7.2 Equipos mévi 7.2.1 Las computadoras portatiles, los asistentes Personales digitales y equipos similares que almacenan informacién confidencial del Instituto el Instituto deben _emplear constantemente el cifrado de archivos para roteger esta informacién cuando se almacenan en estos equipos y cuando se almacenan en | ‘medios adjuntos de almacenamiento de datos. | 7.2.2 Los usuarios de estos equipos de cémputo que reciben informacién confidencial enviada por correo electrénico _deben eliminar esta informacién de sus sistemas si no tienen el software de cifrado que la pueda proteger adecuadamente. 7.2.3 Los trabajadores no deben usar el cifrado para ningun sistema de comunicaciones electrénicas de la operacién a menos que haya establecido Una clave de respaldo o un sistema de garantia de claves con la colaboracién de Seguridad Informatica. 7.3 Etiquetado uniforme de los mensajes de correo electronico 7.3.1 Todos los mensajes de correo electrénico que contengan informacién confidencial deben inclu la clasificacién adecuada del encabezado. 7.3.2 Esta etiqueta servird como recordatorio a =A destinatarios de que la informacién no debe 5) 5140 9617 www issste gob mx Pagina | 49ISSSTE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologia de la informacién y Comunicacién difundirse 0 usarse para propésitos no establecidos sin la debida autorizacin. Tn i i a 40, Col Buenavista, CP. 06350, Delegacién Cuauhtémoc, Méxco, DF we Tel (58)'5140 9617 www issste gob mx aeDireccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de dela Informacion y Comunicacin Usuario(s) 8.1 Respeto alos derechos de propiedad intelectual 8.1.1 Aun cuando Internet es un ambiente formal de comunicaciones, también hay que cumplir las leyes de derechos reservados, patentes y ‘marcas registradas. 8.1.2 Los trabajadores que usen los sistemas de correo electrénico del Instituto solamente deben reenviar 0 reproducir material después de obtener el permiso de la fuente, citar material de otras fuentes sélo si éstas logran identificar adecuadamente o revelar la informacién interna del Instituto en internet Gnicamente cuando haya sido autorizada oficialmente su divulgaci6n publica 8.1.3 Toda la informacién adquirida de internet se debe considerar no confiable hasta que haya sido confirmada por otra fuente. 82 8.2.1 Salvo que la Subdireccién de Tecnologia de la Informacién lo autorice especificamente de otra manera, los trabajadores no deben interceptar, revelar ni contribuir en la interceptacién 0 revelacién de las comunicaciones electrénicas 8.2.2 El Instituto se compromete a respetar los derechos de sus trabajadores incluyendo el respeto a su privacidad € igualmente se responsabiliza de la _operacién, el ‘mantenimiento y la proteccién de sus redes de ‘comunicaciones electrénicas. 8.2.3 Para alcanzar los objetivos en ocasiones serd necesario interceptar 0 revelar 0 contribuir en la interpretacién 0 revelacién de las comunicaciones electrénicas, para lo cual el Instituto puede emplear sistemas de evaluacién de contenido, sistemas de registro de mensajes y otras herramientas de gestién de sistemas electrénicos 8.2.4 Alhacer uso de los sistemas de la Institucién, los Usuarios dan su consentimiento para que toda la informacién que ellos almacenen en los sistemas se divulgue a las autoridades pertinentes, a discreci6n de la Direccién General Usuarios o1 i ivaci ‘esis Gaia Corona 140, Col Buenavista, CP. 06350, Deegan Cuauntémoc, Mle, OF w (55) 5140 9627 wow ssstegobmx fiaISSST, oe Guia de Operacién para Usuarios de las Servicios de Tecnologia de mn de Tecnologia y Estrategia Di informacién y Comunicaciin 9.1.1 El Instituto no puede garantizar que las comunicaciones electrénicas sean privadas. 9.12Los trabajadores deben saber que las comunicaciones _electrénicas pueden, dependiendo de la tecnologia ser reenviadas, interceptadas, impresas y guardadas por otros y que personas distintas a los destinatarios pueden acceder a las _comunicaciones. lectrénicas por efecto de esta politica 9.1.3 Debido a que los mensajes se pueden almacenar fn respaldos, las comunicaciones electrénicas pueden de hecho ser recuperadas, 9.1.4 Los trabajadores deben tener cuidado con los asuntos tratados en las comunicaciones electrénicas del Instituto y no deben enviar ningun mensaje cuyo contenido les pudiese causar incomodidad al verio publicado en la primera pagina del periédico © medios informativos. 92 i 9.2.1 Los trabajadores no deben usar frases irreverentes, palabras obscenas o comentarios Peyorativos en los mensajes de correo electronico en referencia a los empleados, los Derechohabientes u otras personas, ya que estos comentarios pueden crear problemas legales tales como la difamacién y la calumnia en contra de empresas y personas. 9.2.2 En las comunicaciones electrénicas de la Institucién, los trabajadores deben ocuparse de los asuntos relacionados con la Institucién. 9.2.3 Como parte de las practicas normales de las actividades de la Institucién, todas esas Comunicaciones deben adherirse a las normas convencionales de conducta, de ética y de cortesia. Jefatura de Servicios de 93 Telecomunicaciones 9.3.1 El Instituto recopila datos estadisticos sobre sus sistemas de comunicaciones electrénicas 9.3.2 Mediante el empleo de estos datos, el personal de la Jefatura. de Servicios de Telecomunicaciones debe evaluar el uso de las comunicaciones electrénicas para asegurar la continua —disponibilidad, confiabilidady seguridad de estos sistemas. 2. CP 06350, Detegacién Cuauhtémoc, México, DF Yy Pagina | 52ISS: S STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de os Servicios de Daye, oe Seana Tecnologia de la Informacion y Comunicacién 9.3.3 El Instituto emplea sistemas de computacion que analizan estos datos estadisticos para detectar usos no autorizados, fraudes, ataques de negacién de servicio y otros problemas. 9.4 Di in 9.4.1 El personal de la Jefatura de Servicios de Telecomunicaciones no debe revisar el contenido de las comunicaciones de un trabajador en particular, bien por simple curiosidad 0 a solicitud de individuos que no hayan utilizado los canales adecuados. 9.4.2 Para realizar esta evaluaci6n, se requiere una autorizacién previa de la Subdireccién de Tecnologia de la informacién. Usuario’s) 9.5 Notas enel correo electrénico saliente 9.5.1 Las siguientes notas al pie debe anexarse en forma automética a todo el correo electrénico de salida que se genera desde las computadoras del Instituto: “Este mensaje, y en su caso, cualquier archivo ‘anexo al mismo, puede contener informacion confidencial, siendo para uso exclusivo del destinatario, quedando prohibida su divulgacién copia 0 distribucién a terceros sin. fa ‘autorizacién expresa del remitente. Si Ud. ha recibido este mensaje erréneamente, se ruega lo notifique al remitente y proceda a su borrado “La informacién de este correo asi como la ccontenida en los documentos que se adjuntan, puede ser objeto de solicitudes de acceso a fa informacién” No imprima este e-mail a menos que sea ‘absolutamente —necesario, lo anterior atendiendo las medidas de austeridad y de proteccién al medio ambiente. Usuiariots) 9.6 Manejo de los archivos anexos 9.6.1 Cuando los trabajadores envien archivos adjuntos a un tercero, deben tratar de usar un formato de texto ampli o archivo de texto simple cada vez que sea posible. 9.6.2 Se debe estimular a los terceros para que uttlicen este mismo formato en los archivos que les envian cuando se considere practico razonable. 9.6.3 Todos los dems archivos adjuntos deben ser examinados con un paquete de software fv ess aria Corona 140, Col Wiens CP. 06380, Deleacon Cuneta, Mono, OF y Pagina | $3ISSSTE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de pear Tecnologia de la informacion y Comunicacién antivirus autorizado antes ejecutarios. 9.6.4 En algunos casos, los archivos adjuntos deben descifrarse o descomprimirse antes de realizar la verificacién de virus. 9.6.5 Los trabajadores deben desconfiar de los archivos adjuntos recibidos de terceros, aun ‘cuando los conozcan y confien en ellos 9.7 Reenvio de mensajes 9.7.1 Los usuarios de las comunicaciones electrénicas deben ser precavidos. cuando reenvien mensajes. 9.7.2 La informacién confidencial o secreta del Instituto no debe enviarse a ningun tercero fuera del Instituto sin la autorizaci6n previa de un gerente departamental 9.7.3 Queda prohibido el reenvio general de mensajes a terceros fuera del Instituto a menos que se haya obtenido un permiso con anticipacién de la Subdireccién de Tecnologia de la Informacién. 9.7.4 Los mensajes enviados por terceros no deben feenviarse a otros terceros salvo que el remitente tenga un claro propésito y el envio es necesario para alcanzar los objetivos Institucionales normales 9.7.5 En todos los demas casos, el reenvio de mensajes enviados por personas fuera det Instituto a otros terceros debe realizarse si el remitente esta expresamente de acuerdo con dicho reenvio. ENP de abrirlos o i | Usuario(s) 10.1, 10.1.1 _Siun mensaje de correo electrénico contiene informacién esencial para completar una transaccién de negocios, informacién de referencia de importancia potencial o que sea valiosa como prueba para sustentar decisiones tomadas por la Direccién General de la Institucién, 0 Directores de Area u Organos Desconcentrados. se debe guardar para referencias futuras, 10.1.2 Cuando un correo electrénico sea considerado de archivo (CEA), deberé cumplir, con lo establecido en las Recomendaciones paral la_onganizacién_y conservacién de correos Pagina | 54-ccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologia dela Informacién y Comunicacin electrOnicos institucionales de las dependencias y entidades de la Administraci6n Publica Federal 10.1.3 Los usuarios deben trasladar con regularidad la informacién de los archivos de mensajes de correo electrOnico a documentos procesados en texto, bases de datos y otros archivos, 10.1.4 Las bandejas de entrada del correo electrénico no deben usarse para el almacenamiento de informacién importante. 10.2 i 10.2.1 Todos los mensajes oficiales de correo ‘electrénico de la Institucién, incluyendo aquellos que contienen una aprobacién formal, autorizacién, delegacién 0 manejo de las responsabilidades 0 transacciones similares ‘emanadas de la Direccién General o Direcciones de Area, deben resguardarse en el Sistema de Archivo fisico. 10.2.2 Todos los contratos legales, estados financieros, anuncios piblicos, anuncios de empleo, declaraciones de impuesto y otras comunicaciones deben resguardarse en el Sistema de Archivo fisico. 10.3 Materiales ofensivos 10.3.1 Los sistemas de comunicaciones y de computacién del Instituto no estan destinados ni deben usarse para el ejercicio del derecho ala libre expresién del trabajador. 10.3.2 Estos sistemas no deben usarse como foro abierto para discutir cambios organizacionales del Instituto o asuntos de politica. 10.3.3 Queda estrictamente prohibido el acoso sexual, étnico y racial incluyendo llamadas telefénicas, correo electrénico y correo interno, no deseados. 10.3.4 Los trabajadores que reciban material ofensivo no solicitado proveniente de fuentes externas no deben reenviarlo 0 redistribuirlo, bien sea a personas dentro del Instituto o a terceros a menos que este reenvio o fedistribucién se haga a la Subdireccién de Personal del instituto con el objeto de colaborar en la investigacién de quejas. 10.3.5 En caso de que terceros notifiquen o informen gue_han_recibido_correos _electrénicos _no sis Garcia Corona 140, Col Buenavista, CP. 06350, Dek Tel (55) 5140 9617 wwwisssteg \Cuauttémoc, México, DF-ecin de Tecnologia y Estrategia Digital de Operacién para Usuarios de los Servicios de Demme, pe aA Tecnologia de ta Informacién y Comuniacién © 2 solicitados. Estos deberdn ser canalizados a la Jefatura de Servicios de Internet para dar seguimiento y corregir desviaciones a estas actividades que pudieran afectar el prestigio del Instituto. 10.4 Respuesta directa al remitente 10.4.1 Los trabajadores deen _ responder directamente al autor de los mensajes de correo electrénico, lamadas telefénicas y otras comunicaciones que contengan material ofensivo. 10.4.2 Si éste no deja de enviar los mensajes Cofensivos con prontitud, los trabajadores deben Teportar las comunicaciones a su Jefe de Servicios y a su Coordinacién Administrativa correspondiente. 10.4.3 El Instituto se reserva el derecho de remover de sus sistemas de informacién cualquier material que considere ofensivo o potencialmente ilegal 10.5 Uso por cuenta y riesgo 10.5.1 Los trabajadores acceden a Internet con las facilidades del Instituto bajo su propia responsabilidad. 105.2 El Instituto no se hace responsable del material visto, descargado 0 recibido por los usuarios a través de Internet. 105.3 Los sistemas de correo electrénico pueden Presentar mensajes no solicitados con Contenido ofensivo. 10.5.4 Los trabajadores que tengan sospechas y/o tengan confirmado que la_informacién felacionada con su correo electrénico se encuentre en riesgo y/o haya sido vulnerada es. su responsabilidad el reportar y dar seguimiento de inmediato al departamento de seguridad informatica vl |. PERIODO DE REVISION Esta politica se revisara una vez al afo, o bien cuando se requiera modificar por alguna mejora significativa en el Instituto. Pagina | 56I SS ST E Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Dau, pe SeaIaRD Tecnologia de la informacién y Comunicacién BITACORA DE CONTROL DE CAMBIOS Y FIRMAS DE ACEPTACION: N/A N/A Versién: v1 Fecha: Mayo 20, 2015 ILA Coral A. Espinoza Perfecto Jefa de Departamento-de Servicios Lil. Jorge A. Cano Fél Subdirector de Tecnologia de la Informacién, Encargado del-Despacho dela Jefatura’de Bervicios de FIRMA. ‘Ay, Jess Garcia Corona 140, Col uenavsta, CP. 06350, Delegacian Cuauhtemoc, México, DF Tel. ($5) 5140 9617 wwwissste gob mm Pagina | S7ey ISSSTE POLITICAS DE USO DE CUENTAS PERSONALES EN MEDIOS DIGITALES, PARA LOS TRABAJADORES DEL ISSSTE \ Pagina | $8ISSSTE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologia de la nformacién y Comunicacién CONTENIDO: | Introduccién..... I Objetivo 57 I Términos y Definiciones...... IVE *PROPOSItO neat catechins ee 3 V. Politics de uso de Equipo de Cémputo. VI. Periodo de Revision. Vil. Bitacora de Control de Cambios y Firrnas de Aceptacién: 63 7 wwwissste,gob mx Pagina | $9ISSSTE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Peee, Be aera Tecnologia de la tnformacién y Comunicacion 1 Intropuccion: Cada vez es mas generalizado el uso de cuentas personales en redes sociales como Facebook, twitter, YouTube, Instagram, Pinterest, FlickR, Linkedin, Tumblr entre otras; en sitios web como blogs, paginas de fans, chats, wikis, o cualquier otra plataforma o servicio en linea existente o por existir (en adelante, "Medios Digitales), es un ambito en el que también debemos asumir esa responsabilidad, considerando que las publicaciones que realizamos a través de esas herramientas de comunicacién, pueden incidir en nuestra imagen individual y por ende, en la imagen de la institucién Es importante reflexionar sobre las implicaciones y alcances de participar en los Medios Digitales, teniendo siempre presente que la informacién que por esta via compartimos y difundimos, se vuelve publica de manera inmediata, permanente y es susceptible a ser vinculada con la imagen de la Instituci6n, aun cuando ese no haya sido nuestro propésito original por lo que el uso de los Medios Digitales se debera hacer de forma responsable. Opsetivo: La siguiente politica establece los lineamientos para el correcto uso de las Cuentas Personales en Medios Electrénicos, con el fin de evitar el uso indebido o prohibido, propiciando un ambiente de seguridad del uso de la informacién y la imagen de la Institucién. II, TERMINOS Y DEFINICIONES: Es la accién de explorar y buscar las limitantes de un c6digo 0 de una maquina e interrumpir o entrar de manera forzada a un sistema de cémputo o una red Se considera bajo este concepto a sitios web como blogs, paginas de fans, chats wikis, 0 cualquier otra plataforma o servicio en linea existente 0 por existir Trabajadores del Instituto y personal en general, aqui se incluye personal cuyas labores implican participacién en actividades piblicas; es decir aquellos involucrados en tareas editoriales y que son figuras publicas (en adelante “Figuras Pablicas"), quienes por tener un vinculo directo con la imagen piblica del Instituto, deberan cumplir con regias especificas adicionales a las que Figen al personal en eneral Hackear: Medios digitales: Usuarios: Pagina | 60ISSSTE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de las Servicios de Tae, BL ay Tecnologia de la Informacién y Comunicacién IV. Propésito Establecer directrices en el manejo cotidiano de las cuentas personales en Medios Digitales a través de las cuales se relacionan socialmente los trabajadores del Instituto y sus Organos Desconcentrados, V. PoLiTICAS DE USO DE CUENTAS PERSONALES EN MEDIOS DIGITALES Usuario(s) la actividad personal en Medios Digitales de los trabajadores del Instituto puede relacionarse con el mismo y tener un impacto en su reputacién, por lo que el uso de los Medios Digitales se deberd realizar de forma responsables, En congruencia con ello y para contribuir a proteger y fortalecer la imagen de la Institucién, todo el personal 2.1.1 Toda la informacién que se genera o a la que se tiene acceso como parte de las labores realizadas para el Instituto (incluyendo sin limitar, noticias, contenidos audiovisuales, proyectos, negociaciones, asuntos relacionados con el desempefio de la Institucién, entre otros), es confidencial_y privilegiada, y es propiedad ‘exclusiva de la Instituci6n, por lo que bajo ninguna circunstancia debe ser objeto de difusién a través de cuentas personales en Medios Digitales, 2.2 Informacién de instalaciones 0 equipo 2.2.1.No se deben difundir imagenes, videos o la descripcién de instalaciones, equipo técnico u otros materiales € insumos de trabajo de las diversas areas y Unidades Administrativas de la Institucion 2.3. Informacién noticiosa | 2.3.1 Como excepcién Gnica a lo dispuesto en el numeral 2.1.1, la informaci6n generada por el Instituto que es directamente difundida a través de canales oficiales del Instituto en medios de comunicacién y Medios Digitales, podra ser feproducida por los trabajadores de _las ‘A. Jests Garcia Corona 140, Col. Buenavista, CP. 06350, Delegacion Cuauhtemoc. México, D yw Tel. ($5) $140 9617 wwwissste gob.mx Pagina | 61ISSSTE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de aes oR Tecnologia de la Informacion y Comuni dependencias de la Institucion, Unicamente por medio de la copia de la liga correspondiente en la ‘que se contenga la informacién de que se trate. Es decir, a través de ligas que direccionen de forma directa al usuario a las cuentas oficiales en Medios Digitales de la Institucién, en las que se realiza la publicacién del material en cuestion. 2.3.2 En ninglin caso se podré anticipar informacién ‘mediante cuentas personales en Medios Digitales. 24 Perfiles 2.4.1 Las marcas y logotipos que son propiedad del Instituto y sus Organos Desconcentrados no deben ser incluidos en el nombre, imagen de usuario o en cualquier contenido o imagen que se incluya en su cuenta personal en Medios Digitales. 2.4.2 Los perfiles de los trabajadores del Instituto y sus Organos Desconcentrados en sus cuentas personales en Medios Digitales no podran contener marcas 0 logotipos propiedad de la Institucién 2.4.3 En caso de que un trabajador indique que trabaja para alguna Unidad Administrativa del Instituto, en ese mismo espacio deberd precisar que las publicaciones que se emitan por dicha persona, a través de esa cuenta personal, no reflejan la posicién de la Institucién, 2.5 Comentarios y aseveraciones 2.5.1 Todas las publicaciones que se hacen en cuentas personales en Medios Digitales se consideraran opiniones personales de quien las realiza; no debe existir en ellas ningtin elemento que las haga parecer posturas de la Institucion. 2.6 Interaccién con compaferos de trabajo 2.6.1 La interaccién en los Medios Digitales entre Personas que laboran en las dependencias del Instituto no podré usarse para dirimir conflictos relacionados con su actividad profesional, ni para divulgar actividades y asuntos internos de la Institucion 2.7 Formas de expresién 2.7.1 Eluso que los trabajadores del Instituto hagan de sus cuentas personales en Medios Digitales, deberd mantenerse dentro de un marco de libertad de expresion y respeto a los derechos fundamentales de las personas. ‘Av Jest Garcia Corona 140, Col Buenavista, CP, 06350, Delegacién Cuauhtérmoc. Méxi Tel. (55) 5140 9617 wow issste goo mx Pagina | 62ISSS STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Seales eee Tecnologia de Informacién y Commun 2.7.2 Deben evitarse expresiones, lenguaje 0 contenides — difamatorios, _discriminatorios, ofensivos, engafiosos 0 que pueden ser violatorios de la ley. 2.8 Asociaciones_con_individuos, organizaciones_o grupos 2.8.1 Los colaboradores de! Instituto deberan evitar asociaciones con usuarios 0 grupos que fomenten © representen algin modo de discriminacién, intolerancia, terrorismo o violencia. 29 i ir is sus labores 2.9.1 El uso personal de Medios Digitales durante las, jornadas laborales no debe interferir con el desarrollo de actividades, 0 ser motivo de omisiones, errores, distracciones, actitudes indolentes o cualquier otra falta que afecte el desempefic del personal de las dependencias del Instituto 0 los objetivos de la misma 3.11 Las figuras pdblicas deberan cumplir las siguientes disposiciones para el uso de sus cuentas personales en Medios Digitales 3.2 Cuidado editorial 3.21 las noticias, —_primicias__informativas, informaciones exclusivas y cualquier contenido de las mismas deberdn difundirse siempre con apego a las necesidades y estrategias de! Instituto y de los servicios que ofrece, a través de los canales especificamente designados por el Instituto para tales efectos, y en ningun caso a través de cuentas personales en Medios Digitales 3.3, Identificacion 3.3.1 No se deben difundir imagenes, videos 0 la descripcién de instalaciones, equipo técnico u otros materiales e insumos de trabajo de las diversas areas y dependencias de la Institucién. | 34 i 3.4.1 Las figuras publicas deberan abstenerse de realizar expresiones de caracter discriminatorio u ofensivo hacia persona o grupo alguno. 3.5 Promocién de los canales y contenidos oficiales 3.5.1 Las figuras publicas deben dar seguimiento a las acciones institucionales en Medios Digitales, y en ws GP 6350, Deegan Cutters Ment, DF wy Pagina 16342 43 Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologia de la Informacién y Comunicacién SU caso sumarse ala promocion y difusién de las noticias, contenidos y servicios que ofrece, bajo los criterios especificos que para cada caso determine el Instituto y conforme a los lineamientos de la Direccién de Comunicacién Social con el apoyo de la Direccién Tecnologia y Estrategia Digital Seguridad 4.1.1 Las cuentas personales en Medios Digitales son altamente vuinerables para ser objetos de ataques 0 hackeos (vulneracién de la seguridad de una cuenta), particularmente en el caso de las, figuras publicas. 4.1.2 Por lo anterior, las figuras publicas que estan relacionadas con alguna dependencia del Instituto deberan extremar las precauciones al momento de utilizarlas, 4.2.1 Para contar con una contrasefia segura en cualquier plataforma digital, se recomienda que incluya: ‘Almenos 10 caracteres Una o mas mayiisculas ~ Nimeros ‘Al menos un signo 4.2.2 Se sugiere cambiar la contrasefia cada dos meses y que ésta no incluya informacién piiblica u obvia 4.3.1 Una cuenta puede estar hackeada o en riesgo de estarlo cuando: No se pueda acceder con la contrasefia con la que se dio de alta la cuenta o de su ultima actualizacién, = _ Existen publicaciones que no fueron hechas Por el titular de la cuenta, = Sereciben mensajes directos o privados con informacién falsa 4.3.2 Cuando se esté en alguna de las situaciones anteriores, se debe intentar cambiar de inmediato su contrasefia 5.1.1 Para hacer uso de los Medios Digitales, todos los, trabajadores del_instituto deberén aceptar los ol Buenavista, CP 06350, Delegacion Cuauhtémoc, México, DFireccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de ISSSTE Deus oe aR Tecnologia de la informacién y Comunicacién términos y condiciones de uso en sefal de aceptacién y compromiso. 5.1.2 Todos los trabajadores del Instituto y sus dependencias aceptan su compromiso para respetar lo dispuesto en esta politica 5.1.3 La aceptaci6n podra realizarse a través de ligas que direccionen de forma directa al usuario a las cuentas oficiales en Medios Digit Instituci6n, en las que se realiza la publicacién del material en cuestién. Sarl Direccién de Tecnologia y Estrategia Digital 6.1.1 Esta politica seré administrada por la Direccién de Tecnologia y Estrategia Digital 6.1.2 Esta politica no es exhaustiva, sin embargo establece principios basicos y generales para el manejo y uso personal de Medios Digitales. CEM 7.1.1 Cualquier conducta contraria a lo especificado en ‘sta politica se considerara como incumplimiento de las responsabilidades asignadas al personal del Instituto. y sus dependencias y sera motivo de aplicacién de las sanciones correspondientes que determine el area de Auditoria Interna con la ‘opini6n del representante juridico. Tr i as Usuario(s), Auditoria interna, Suridico VI. Periopo DE REVISION Esta politica se revisara una vez al afio, o bien cuando se requiera modificar por alguna mejora significativa en el Instituto. 140, Col Buenavista, CP. 06350, Delegacién Cuauhtemoc, México, DF iN Pagina | 65ISSSTE cud NEN sans cx VII. BrTAcorA DE CONTROL DE CAMBIOS Y FIRMAS DE ACEPTACION: N/A N/A Fecha: Mayo 20, 2015 LLA Coral A. Espinoza Perfecto | L,I. Arturo E. Guirao Aburto | LI. Jorge A. Cano Félix Jefa de Departamento de Servicios |Jefe de Departamento de Redes y| Subdirector de Tecnologia la de la Informacién Jefatura de S FIRMA CP.06350, 0