Manual Seguridad Informatica

Instituto Nacional de Perinatologa
Direccin de Planeacin
Subdireccin de Desarrollo Organizacional
Departamento de Tecnologas de la Informacin
Manual de Polticas y Seguridad en Informtica

1



2

Contenido
Propsito ..............................................................................................................................................................4
Introduccin .........................................................................................................................................................4
Marco - Jurdico Administrativo ...........................................................................................................................4
Objetivo ................................................................................................................................................................5
Alcance .................................................................................................................................................................5
Justificacin ..........................................................................................................................................................5
Sanciones por incumplimiento .............................................................................................................................5
Beneficios .............................................................................................................................................................5
1. SEGURIDAD DE PERSONAL ...................................................................................................................................6
Poltica ..................................................................................................................................................................6
Obligaciones de los usuarios ................................................................................................................................6
Acuerdos de uso y confidencialidad .....................................................................................................................6
Entrenamiento en Seguridad en Informtica .......................................................................................................6
Medidas disciplinarias ..........................................................................................................................................6
2. SEGURIDAD FSICA Y AMBIENTAL .........................................................................................................................7
Poltica ..................................................................................................................................................................7
Resguardo y proteccin de la informacin ...........................................................................................................7
Controles de acceso fsico ....................................................................................................................................8
Seguridad en reas de trabajo ..............................................................................................................................8
Proteccin y ubicacin de los equipos .................................................................................................................8
Mantenimiento de equipo ...................................................................................................................................9
Prdida de Equipo ................................................................................................................................................9
Uso de dispositivos especiales .............................................................................................................................9
Dao del equipo ................................................................................................................................................ 10
3. ADMINISTRACIN DE OPERACIONES DE CMPUTO ......................................................................................... 11
Poltica ............................................................................................................................................................... 11
Uso de medios de almacenamiento .................................................................................................................. 11
Instalacin de software ..................................................................................................................................... 11
Identificacin de incidentes............................................................................................................................... 12
Administracin de la configuracin ................................................................................................................... 12

3

Seguridad para la red......................................................................................................................................... 12
Uso del Correo electrnico ................................................................................................................................ 12
Controles contra cdigo malicioso .................................................................................................................... 13
Internet .............................................................................................................................................................. 14
Uso de equipos ajenos al Instituto .................................................................................................................... 15
4. CONTROLES DE ACCESO LGICO ....................................................................................................................... 17
Poltica ............................................................................................................................................................... 17
Controles de acceso lgico ................................................................................................................................ 17
Administracin de privilegios ............................................................................................................................ 17
Equipo desatendido ........................................................................................................................................... 18
Administracin y uso de Passwords .................................................................................................................. 18
Control de accesos remotos .............................................................................................................................. 19
5. CUMPLIMIENTO DE SEGURIDAD EN INFORMTICA .......................................................................................... 20
Poltica ............................................................................................................................................................... 20
Derechos de propiedad intelectual ................................................................................................................... 20
Revisiones del cumplimiento ............................................................................................................................. 20
Violaciones de Seguridad en Informtica .......................................................................................................... 20


4

Propsito
El presente documento tiene como finalidad dar a conocer las polticas y estndares de Seguridad en
Informtica que debern observar los usuarios de servicios de tecnologas de informacin, para proteger
adecuadamente los activos tecnolgicos y la informacin del Instituto Nacional de Perinatologa Isidro Espinosa
de los Reyes.

Introduccin
La base para que cualquier organizacin pueda operar de una forma confiable en materia de Seguridad en
Informtica comienza con la definicin de las polticas y estndares.

La Seguridad en Informtica, es una funcin en la que se deben evaluar y administrar los riesgos, basndose
en polticas y estndares que cubran las necesidades del Instituto en materia de seguridad.

Este documento se encuentra estructurado en cinco polticas generales de seguridad para usuarios de
informtica, con sus respectivos estndares que consideran los siguientes puntos:

1. Seguridad de Personal
2. Seguridad Fsica y Ambiental
3. Seguridad y Administracin de Operaciones de Cmputo
4. Controles de Acceso Lgico
5. Cumplimiento
Marco - Jurdico Administrativo

La "Ley Federal de Responsabilidades Administrativas de los Servidores Pblicos", en el Artculo 8, Fraccin III
y V, seala las siguientes obligaciones: "Utilizar los recursos que tenga asignados y las facultades que les
hayan sido atribuidas para el desempeo de su empleo, cargo o comisin, exclusivamente para los fines a que
estn afectos;" y "Custodiar y cuidar la documentacin e informacin que por razn de su empleo, cargo o
comisin, tenga bajo su responsabilidad e impedir o evitar su uso, sustraccin, destruccin, ocultamiento o
inutilizacin indebidos"

La "Ley Federal de Derechos de Autor", que tipifica como delito el que reproduzca, distribuya, venda o arriende
un programa de computacin sin autorizacin del titular de los derechos de autor; as como lo que establece el
texto del artculo 103 "Salvo pacto en contrario, los derechos patrimoniales sobre un programa de computacin
y su documentacin, cuando hayan sido creados por uno o varios empleados en el ejercicio de sus funciones o
siguiendo las instrucciones del empleador, corresponden a ste" as corno lo establecido en el Artculo 105 "El
usuario legtimo de un programa de computacin podr realizar el nmero de copias que le autorice la licencia
concedida por el titular de los derechos de autor, o una sola copia de dicho programa siempre y cuando: 1. Sea
indispensable para la utilizacin del programa, o 2. Sea destinada exclusivamente como resguardo para
sustituir la copia legtimamente adquirida, cuando sta no pueda utilizarse por dao o prdida. La copia de
respaldo deber ser destruida cuando cese el derecho del usuario para utilizar el programa de computacin".


5

Y en caso de incumplir las presentes disposiciones, el responsable o responsables se podrn hacer acreedores
a una sancin, de acuerdo a lo establecido en el Artculo 231 Ttulo XII, Captulo II "Constituyen infracciones en
materia de comercio las siguientes conductas cuando sean realizadas con fines de lucro directo o indirecto:..."
VII. Usar, reproducir o explotar una reserva de derechos protegida o un programa de cmputo sin el
consentimiento del titular" y en el Artculo 232 del Ttulo XII, Captulo II. De las Infracciones en materia de
comercio de la mencionada Ley, y en materia de comercio previstas en la presente Ley, sern sancionadas por
el Instituto Mexicano de la Propiedad Industrial como multa:

De cinco mil hasta diez mil das de salario mnimo en los casos previstos en las fracciones I, III, IV, V, VII (Usar,
reproducir o explotar una reserva de derechos protegidos o un programa de cmputo sin el consentimiento del
titular); VIII y IX del Artculo anterior.

La "Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental", Artculo 63, Frac. I, que
seala la responsabilidad administrativa de los servidores pblicos por "Usar, sustraer, destruir, ocultar,
inutilizar, divulgar o alterar, total o parcialmente y de manera indebida informacin que se encuentre bajo su
custodia, a la cual tengan acceso o conocimiento con motivo de su empleo, cargo o comisin"

Objetivo
Difundir las polticas y estndares de Seguridad en Informtica a todo el personal del Instituto, para el
cumplimiento y observancia que sea de su conocimiento y cumplimiento en los recursos informticos utilizados
o asignados.

Alcance
El documento describe las polticas y los estndares de seguridad que debern observar de manera obligatoria
todos los usuarios para el buen uso del equipo de cmputo, aplicaciones y servicios informticos del Instituto.

Justificacin
El Departamento de Tecnologas de la Informacin est facultado de acuerdo a su objetivo y funciones, para
definir polticas y estndares en materia de informtica.

Sanciones por incumplimiento
El incumplimiento al presente Manual podr presumirse como causa de responsabilidad administrativa y/o
penal, dependiendo de su naturaleza y gravedad, cuya sancin ser aplicada por las autoridades competentes.

Beneficios
Las polticas y estndares de Seguridad en Informtica establecidas dentro de este documento son la base para
la proteccin de los activos tecnolgicos e informacin del Instituto.

6

1. SEGURIDAD DE PERSONAL

Poltica
Todo usuario de bienes y servicios informticos deben de firmar un convenio en el que acepte las condiciones
de confidencialidad, de uso adecuado de los recursos informticos y de informacin del Instituto.

Los usuarios debern cumplir con lo establecido en el Manual de Polticas y Estndares de Seguridad en
Informtica.

Obligaciones de los usuarios
Es responsabilidad de los usuarios de bienes y servicios informticos cumplir las Polticas y Estndares de
Seguridad en Informtica del presente Manual.

Acuerdos de uso y confidencialidad
Todos los usuarios de bienes y servicios informticos del Instituto deben firmar de aceptacin el convenio de
confidencialidad y uso adecuado de los recursos informticos y de informacin del Instituto, as como
comprometerse a cumplir con lo establecido en el Manual de Polticas y Estndares de Seguridad en
Informtica.

Entrenamiento en Seguridad en Informtica
Todo empleado del Instituto de nuevo ingreso deber de consultar con el Manual de Polticas y Estndares de
Seguridad en Informtica, a travs de la Intranet Institucional, donde se den a conocer las obligaciones para los
usuarios y las sanciones que pueden existir en caso de incumplimiento.

Medidas disciplinarias
Cuando el Departamento de Tecnologas de la Informacin identifique el incumplimiento al presente Manual
remitir el reporte o denuncia correspondiente al rgano Interno de Control del INPer, para los efectos de su
competencia y atribuciones.

Se consideran violaciones graves el robo, dao, divulgacin de informacin reservada o confidencial del
Instituto, o de que se le declare culpable de un delito informtico.


7

2. SEGURIDAD FSICA Y AMBIENTAL

Poltica

Prevenir e impedir accesos no autorizados, daos e interferencia a las sedes, instalaciones e informacin del
Organismo.
Proteger el equipamiento de procesamiento de informacin crtica del Organismo ubicndolas en reas
protegidas y resguardadas por un permetro de seguridad definido, con medidas de seguridad y controles de
acceso apropiados. Asimismo, contemplar la proteccin del mismo en su traslado y permanencia fuera de las
reas protegidas, por motivos de mantenimiento u otros.
Controlar los factores ambientales que podran perjudicar el correcto funcionamiento del equipamiento
informtico que alberga la informacin del Organismo.
Implementar medidas para proteger la informacin manejada por el personal en las oficinas en el marco normal
de sus labores habituales.
Proporcionar proteccin proporcional a los riesgos identificados.

Adoptar controles adecuados de acceso para minimizar el riesgo de amenazas potenciales, como robos,
sustracciones, etc. Por lo que solo personal autorizado del Departamento de Tecnologas de la Informacin
tendr acceso a las instalaciones y reas restringidas del Instituto para salvaguardar algn bien o movimiento
dentro del rea o dentro del Instituto.

Adems de la proteccin de la informacin y la seguridad de los sistemas, tiene como objeto asegurar la
continuidad de la informacin, que deben actuar coordinadamente evaluando y tratando los riesgos para
implementar medidas con el fin de minimizar el impacto ante un incidente de seguridad de la informacin. Si
bien los trminos seguridad de la informacin tienen distintos significados, es necesario que converjan con el fin
de proteger la Confidencialidad, Integridad y Disponibilidad de la Informacin

Resguardo y proteccin de la informacin
El usuario deber reportar de forma inmediata al Departamento de Tecnologas de la Informacin, cuando
detecte que existan riesgos reales o potenciales para equipos de cmputo o comunicaciones, como pueden ser
fugas de agua, conatos de incendio u otros.

El usuario tiene la obligacin de proteger los discos, disquetes, cintas magnticas y CDROM que se encuentren
bajo su administracin, an cuando no se utilicen y contengan informacin reservada o confidencial.

Es responsabilidad del usuario evitar en todo momento la fuga de la informacin del Instituto que se encuentre
almacenada en los equipos de cmputo personal que tenga asignados.
Es responsabilidad del usuario el mantener un respaldo actualizado de la informacin almacenada en el equipo
de cmputo asignado.

8

Controles de acceso fsico
Cualquier persona que tenga acceso a las instalaciones del Instituto, deber registrar al momento de su
entrada, el equipo de cmputo, equipo de comunicaciones, medios de almacenamiento y herramientas que no
sean propiedad del Instituto, el cual podrn retirar el mismo da. En caso contrario deber tramitar la
autorizacin de salida correspondiente.

Las computadoras personales, las computadoras porttiles, mdems, y cualquier activo de tecnologa de
informacin, podr salir de las instalaciones del Instituto nicamente con la autorizacin de salida del
Departamento de Almacn, Farmacia e Inventarios.

Seguridad en reas de trabajo
El centro de cmputo (SITE) del Instituto es rea restringida, por lo que slo el personal autorizado por el
Departamento de Tecnologas de la Informacin puede acceder a l.

Proteccin y ubicacin de los equipos
Los usuarios no deben mover o reubicar los equipos de cmputo o de telecomunicaciones, instalar o desinstalar
dispositivos, ni retirar sellos de los mismos sin la autorizacin del Departamento de Tecnologas de la
Informacin, en caso de requerir este servicio deber notificarlo al mismo Departamento.

El rea de Activo Fijo adscrita al Depto. de Almacn, Farmacia e Inventarios ser la encargada de generar el
resguardo y recabar la firma del usuario informtico como responsable de los activos informticos que se le
asignen y de conservarlos en la ubicacin autorizada.

El equipo de cmputo asignado, deber ser para uso exclusivo de las funciones asignadas en el Instituto.

Ser responsabilidad del usuario solicitar la capacitacin necesaria para el manejo de las herramientas
informticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para aprovechar al mximo las
mismas.

Es responsabilidad de los usuarios almacenar la informacin nicamente en la carpeta de disco duro
identificada como "Mis Documentos", u otro nombre personal, ya que las otras estn destinadas para archivos
de programa y sistema operativo.

Mientras se opera el equipo de cmputo, no se debern consumir alimentos o ingerir lquidos.

Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilacin del monitor o del CPU.

Se debe mantener el equipo informtico en un entorno limpio y sin humedad.

El usuario debe asegurarse que los cables de conexin no sean pisados o pinchados al colocar otros objetos

9

encima o contra ellos.

Cuando se requiera realizar cambios mltiples del equipo de cmputo derivado de reubicacin de lugares
fsicos de trabajo, stos debern ser notificados con una semana de anticipacin al Departamento de
Tecnologas de la Informacin a travs de un plan detallado de movimientos debidamente autorizados por el
Director del rea que corresponda.

Queda prohibido que el usuario abra o desarme los equipos de cmputo.

Mantenimiento de equipo
nicamente el personal autorizado por el Departamento de Tecnologas de la Informacin podr llevar a cabo
los servicios y reparaciones al equipo informtico, por lo que los usuarios debern solicitar la identificacin del
personal designado antes de permitir el acceso a sus equipos.
Los usuarios debern asegurarse de respaldar la informacin que consideren relevante cuando el equipo sea
enviado a reparacin y borrar aquella informacin sensible que se encuentre en el equipo, previendo as la
prdida involuntaria de informacin, derivada del proceso de reparacin.
Prdida de Equipo
El usuario que tenga bajo su resguardo algn equipo de cmputo, ser responsable de su uso y custodia; en
consecuencia, responder por dicho bien de acuerdo a la normatividad vigente en los casos de robo, extravo o
prdida del mismo.

El resguardo para las laptops, tiene el carcter de personal y ser intransferible. Por tal motivo, queda prohibido
su prstamo.

El usuario deber dar aviso inmediato a las reas de Asuntos J urdicos, Tecnologas de la Informacin, Activo
Fijo y Servicios de la desaparicin, as mismo levantar un acta del robo o extravo del equipo de cmputo o
accesorios bajo su resguardo.

Uso de dispositivos especiales
El uso de los grabadores de discos compactos y DVD es exclusivo para copias de seguridad de software que
est bajo contrato de licencia en el Instituto, para respaldos de informacin que por su volumen as lo justifiquen
y para la generacin de informacin para entregar a terceros institucionales.

El usuario que tenga bajo su resguardo este tipo de dispositivos ser responsable del buen uso que se le d.

Queda prohibido el uso de mdems, switches, routers externos en las computadoras de escritorio.

Si algn rea por requerimientos muy especficos del tipo de aplicacin o servicio de informacin tiene la
necesidad de contar con uno de ellos, deber ser justificado y autorizado por su Director de rea.


10

Los mdems internos debern existir solo en las computadoras porttiles y no se debern utilizar dentro de las
instalaciones del Instituto para conectarse a ningn servicio de informacin externo.

Dao del equipo
El equipo de cmputo o cualquier recurso de tecnologa de informacin que sufra alguna descompostura por
maltrato, descuido o negligencia por parte del usuario quien resguarda el equipo, deber cubrir el valor de la
reparacin o reposicin del equipo o accesorio afectado. Para tal caso el Departamento de Tecnologas de la
Informacin determinar la causa de dicha compostura.


11

3. ADMINISTRACIN DE OPERACIONES DE CMPUTO
Poltica
Los usuarios debern utilizar los mecanismos institucionales para proteger la informacin que reside y utiliza la
infraestructura tecnolgica del Instituto. De igual forma, debern proteger la informacin reservada o
confidencial que por necesidades institucionales deba ser almacenada o transmitida, ya sea dentro de la red
interna del Instituto o hacia redes externas como Internet.

Los usuarios del Instituto que hagan uso de equipo de cmputo, deben conocer y aplicar las medidas para la
prevencin de cdigo malicioso como pueden ser virus, caballos de Troya o gusanos de red, utilizando las
herramientas que el Instituto le proporcione.

Uso de medios de almacenamiento
Toda solicitud para utilizar un medio de almacenamiento de informacin compartido (File Share), deber contar
con la autorizacin del rea duea de la informacin. El personal que requiera estos medios debe justificar su
utilizacin. Dicha justificacin deber de presentarla al Departamento de Tecnologas de la Informacin firmada
por el jefe inmediato superior del solicitante.

Los usuarios debern respaldar diariamente la informacin relevante y crtica que se encuentre en sus equipos
de cmputo.

Los usuarios de informtica del Instituto deben conservar los registros o informacin que se encuentra activa y
aquella que ha sido clasificada como reservada o confidencial, de conformidad a las disposiciones que emita el
Comit de Informacin del Instituto en trminos de la Ley Federal de Transparencia y Acceso a la Informacin
Pblica Gubernamental.

Las actividades que realicen los usuarios en la infraestructura de Tecnologa de Informacin del Instituto son
registradas y susceptibles de auditora.

Instalacin de software
Los usuarios que requieran la instalacin que no sea propiedad del Instituto, debern justificar su uso y solicitar
su autorizacin al Departamento de Tecnologas de la Informacin, a travs de un oficio firmado por el
Subdirector de adscripcin, indicando el equipo de cmputo, donde se instalar el software y el perodo de
tiempo que permanecer dicha instalacin.

Se considera una falta grave el que los usuarios instalen cualquier tipo de programa (software) en sus
computadoras, estaciones de trabajo, servidores, o cualquier equipo conectado a la red del Instituto, que no
est autorizado por el Departamento de Tecnologas de la Informacin.

12

Identificacin de incidentes
El usuario que sospeche o tenga conocimiento de la ocurrencia de un incidente de Seguridad en Informtica
deber reportarlo al Departamento de Tecnologas de la Informacin lo antes posible, indicando claramente los
datos por los cuales lo considera un incidente de Seguridad en Informtica.

Cuando exista la sospecha o el conocimiento de que informacin confidencial o reservada ha sido revelada,
modificada, alterada o borrada sin la autorizacin de las unidades administrativas competentes, el usuario
informtico deber notificar a su Subdirector de adscripcin.

Cualquier incidente generado durante la utilizacin u operacin de los activos de tecnologa de informacin del
Instituto debe ser reportado al Departamento de Tecnologas de la Informacin.

Administracin de la configuracin
Los usuarios de las reas del Instituto no deben establecer redes de rea local, conexiones remotas a redes
internas o externas, intercambio de informacin con otros equipos de cmputo utilizando el protocolo de
transferencia de archivos (FTP), u otro tipo de protocolo para la transferencia de informacin empleando la
infraestructura de red del Instituto, sin la autorizacin del Departamento de Tecnologas de la Informacin.

Seguridad para la red
Ser considerado como un ataque a la Seguridad en Informtica y una falta grave, cualquier actividad no
autorizada por el Departamento de Tecnologas de la Informacin, en la cual los usuarios realicen la exploracin
de los recursos informticos en la red del Instituto, as como de las aplicaciones que sobre dicha red operan,
con fines de detectar y explotar una posible vulnerabilidad.

Uso del Correo electrnico
El servicio de correo electrnico, es un servicio gratuito, y no garantizable, se debe hacer uso de l, acatando
todas las disposiciones de seguridad diseadas para su utilizacin y evitar el uso o introduccin de software
malicioso a la red institucional.

Los usuarios no deben usar cuentas de correo electrnico asignadas a otras personas, ni recibir mensajes en
cuentas de otros. Si fuera necesario leer el correo de alguien ms (mientras esta persona se encuentre fuera o
de vacaciones) el usuario ausente debe re direccionar el correo a otra cuenta de correo interno, quedando
prohibido hacerlo a una direccin de correo electrnico externa al Instituto, a menos que cuente con la
autorizacin de la Subdireccin de adscripcin.

Los usuarios debern saber que la informacin de los correos electrnicos y archivos adjuntos son propiedad
del Instituto.


13

Los usuarios podrn enviar informacin reservada y/o confidencial va correo electrnico siempre y cuando, de
ser posible de manera encriptado y destinada exclusivamente a personas autorizadas y en el ejercicio estricto
de sus funciones y atribuciones.

El Instituto se reserva el derecho a acceder y revelar todos los mensajes enviados por este medio para
cualquier propsito y revisar las comunicaciones va correo electrnico de personal que ha comprometido la
seguridad, violado las polticas de seguridad o realizado acciones no autorizadas.
El usuario debe de utilizar el correo electrnico del Instituto nica y exclusivamente a los recursos que tenga
asignados y las facultades que les hayan sido atribuidas para el desempeo de su empleo, cargo o comisin,
quedando prohibido cualquier otro uso.

La asignacin de una cuenta de correo electrnico, deber solicitarse por escrito a la Direccin de Planeacin,
sealando los motivos por los que se desea el servicio, as como sus datos personales y el rea adscrita que lo
solicita. Esta solicitud deber contar con el visto bueno del jefe inmediato del rea que corresponda.

Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un usuario de correo electrnico, as
como interceptar, revelar o ayudar a terceros a interceptar o revelar las comunicaciones electrnicas.

El usuario deber cuidar en todo momento la utilizacin de un lenguaje apropiado, evitando palabras ofensivas
o altisonantes.
Todo uso indebido del servicio de correo electrnico, ser motivo de suspensin temporal de su cuenta de
correo o segn sea necesario la eliminacin total de la cuenta dentro del sistema.
Controles contra cdigo malicioso
Para prevenir infecciones por virus informtico, los usuarios del Instituto no deben hacer uso de cualquier clase
de software que no haya sido proporcionado y validado por el Departamento de Tecnologas de la Informacin.

Los usuarios del Instituto deben verificar que la informacin y los medios de almacenamiento, considerando al
menos discos flexibles, CD's, cintas, cartuchos, estn libres de cualquier tipo de cdigo malicioso, para lo cual
deben ejecutar el software antivirus autorizado por el Departamento de Tecnologas de la Informacin.

Todos los archivos de computadora que sean proporcionados por personal externo o interno considerando al
menos programas de software, bases de datos, documentos y hojas de clculo que tengan que ser
descomprimidos, el usuario debe verificar que estn libres de virus utilizando el software antivirus autorizado
antes de ejecutarse.

Ningn usuario del Instituto debe intencionalmente escribir, generar, compilar, copiar, propagar, ejecutar o tratar
de introducir cdigo de computadora diseado para auto replicarse, daar, o en otros casos impedir el
funcionamiento de cualquier memoria de computadora, archivos de sistema, o software. Mucho menos
probarlos en cualquiera de los ambientes o plataformas del Instituto. El incumplimiento de este estndar ser
considerado una falta grave.Ningn usuario, empleado o personal externo, podr bajar o descargar software de
sistemas, boletines electrnicos, sistemas de correo electrnico, de mensajera instantnea, redes de
comunicaciones externas, sin la debida autorizacin del Departamento de Tecnologas de la Informacin.

14

Cualquier usuario que sospeche de alguna infeccin por virus de computadora, deber dejar de usar
inmediatamente el equipo y llamar al Departamento de Tecnologas de la Informacin para la deteccin del
virus.

Los usuarios no debern alterar o eliminar, las configuraciones de seguridad para detectar y/o prevenir la
propagacin de virus que sean implantadas por el Instituto: Antivirus, Outlook, office, Navegadores u otros
programas.

Debido a que algunos virus son extremadamente complejos, ningn usuario del Instituto debe intentar borrarlos
de las computadoras.
Internet
El acceso a Internet provisto a los usuarios del Instituto es exclusivamente para las actividades relacionadas
con las necesidades del puesto y funcin que desempea.

La asignacin del servicio de Internet, deber solicitarse por escrito al Departamento de Tecnologas de la
Informacin, sealando los motivos por los que se desea el servicio. Esta solicitud deber contar con el visto
bueno del jefe inmediato del rea correspondiente.

Todos los accesos a Internet tienen que ser realizados a travs de los canales de acceso provistos por el
Instituto, en caso de necesitar una conexin a Internet especial, sta tiene que ser notificada y aprobada por el
Departamento de Tecnologas de la Informacin.

Los usuarios de Internet del Instituto tienen que reportar todos los incidentes de Seguridad en Informtica al
Departamento de Tecnologas de la Informacin inmediatamente despus de su identificacin, indicando
claramente que se trata de un incidente de Seguridad en Informtica.

El acceso y uso de mdem en el Instituto tiene que ser previamente autorizado por el Departamento de
Tecnologas de la Informacin.
Los usuarios del servicio de navegacin en Internet, al aceptar el servicio estn aceptando que:

Sern sujetos de monitoreo de las actividades que realiza en Internet.
Saben que existe la prohibicin al acceso de pginas no autorizadas.
Saben que existe la prohibicin de transmisin de archivos reservados o confidenciales no autorizados.
Saben que existe la prohibicin de descarga de software sin la autorizacin del Departamento de
La utilizacin de Internet es para el desempeo de su funcin y puesto en el Instituto y no para
propsitos personales.

15

Uso de equipos ajenos al Instituto
El uso de equipos de cmputo que no son propiedad del Instituto en la red institucional deber ser avalado y
justificado por escrito por el responsable del rea al que pertenece el usuario ante el Departamento de
Tecnologas de la Informacin, quin autorizar siempre y cuando se cumplan los siguientes requisitos:
Contar con sistemas operativos de acuerdo a las caractersticas que en su momento se determinen
adecuadas para un buen servicio. (Linux, Windows 2000, Windows XP, Windows Vista, Windows 7).
El equipo de cmputo deber contar con todas las actualizaciones crticas de seguridad del sistema
operativo.
El equipo de cmputo deber contar con un software antivirus actualizado con las ltimas firmas virales.
El equipo de cmputo no deber tener instalado software de intercambio punto a punto (Kazaa,
gnutella, emule, edonkey, imesh, napster, Ares, etc.) que pudieran comprometer la integridad de la red
institucional.
El equipo de cmputo deber contar con accesorios de conectividad como cables de red, tarjetas de red
y adaptadores, estos accesorios no sern proporcionados por el Departamento de Tecnologas de la
Informacin.

Si se detecta que el equipo de cmputo del usuario genera conflicto con otro equipo le ser suspendido el
servicio inmediatamente.
El propietario del equipo ser responsable de instalar el software y hardware que utilizar dentro del Instituto; el
Departamento de Tecnologas de la Informacin no proporcionar software con Licencia comercial
(MICROSOFT OFFICE, SPSS, etc.) y dems fuentes que violen la ley de derechos de autor.

Con el fin de evitar la propagacin de virus a otros usuarios del Instituto el propietario del equipo deber
reportar al Departamento de Tecnologas de la Informacin a la brevedad posible cualquier sospecha de virus
en su equipo. Se le indicar el da y la hora para analizar su computadora y verificar que sea eliminado el virus;
en caso de ser posible erradicarlo ser responsabilidad del propietario del equipo realizar los procesos
necesarios para eliminar por completo el virus de su sistema.

Queda prohibido utilizar programas que no sean requeridos para los procesos institucionales tales como juegos,
chats (IRCL hackers, brekers y similares; as como para realizar copias de CD o DVD de video, audio, juegos o
software con licencia comercial.

Queda prohibido cambiar los parmetros de configuracin de red asignados por el Departamento de

No se permite la instalacin, descarga o visualizacin de imgenes o textos en el equipo de cmputo o sus
perifricos que puedan resultar ofensivos a terceros y que puedan perturbar el orden en las reas
institucionales.
El uso de los servicios de la red institucional es monitoreado por lo que el uso incorrecto de la misma resultar
en la suspensin del servicio.
El Instituto no se hace responsable por daos fsicos a los equipos o por prdida de informacin ya sea por

16

fallas de energa elctrica, virus informticos, robo o extravo de los mismos.

El servicio de red local estar sujeto a disponibilidad y ubicacin de los equipos de comunicaciones, salidas de
red y energa elctrica.


17

4. CONTROLES DE ACCESO LGICO

Poltica
Cada usuario es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, de su
identificador de usuario y password necesarios para acceder a la informacin y a la infraestructura tecnolgica
del Instituto, por lo cual deber mantenerlo de forma confidencial.

El permiso de acceso a la informacin que se encuentra en la infraestructura tecnolgica del Instituto, debe ser
proporcionado por el dueo responsable de la informacin, con base en el principio de la "necesidad de saber"
el cual establece que nicamente se debern otorgar los permisos mnimos necesarios para el desempeo de
sus actividades

Controles de acceso lgico
El acceso a la infraestructura tecnolgica del Instituto para personal externo debe ser autorizado al menos por
un Subdirector del Instituto, quien deber notificarlo al Departamento de Tecnologas de la Informacin quien lo
habilitar.

Est prohibido que los usuarios utilicen la infraestructura tecnolgica del Instituto para obtener acceso no
autorizado a la informacin u otros sistemas de informacin del Instituto o instituciones externas.

Todos los usuarios de servicios de informacin son responsables por el UserlD y/o password que recibe para el
uso y acceso de los recursos.

Los usuarios no deben proporcionar informacin a personal externo, de los mecanismos de control de acceso a
las instalaciones e infraestructura tecnolgica del Instituto, a menos que se tenga la autorizacin del
responsable dueo de la informacin y del Departamento de Tecnologas de la Informacin.

Cada usuario que acceda a la infraestructura tecnolgica del Instituto debe contar con un identificador de
usuario (UserID) nico y personalizado. Por lo cual no est permitido el uso de un mismo UserlD por varios
usuarios.
Los usuarios son responsables d todas las actividades realizadas con su identificador de usuario (UserID). Los
usuarios no deben divulgar ni permitir que otros utilicen sus identificadores de usuario, al igual que tiene
prohibido utilizar el UserlD de otros usuarios.

Administracin de privilegios
Cualquier cambio en los roles y responsabilidades de los usuarios que modifique sus privilegios de acceso a la
infraestructura tecnolgica del Instituto, debern ser notificados al Departamento de Tecnologas de la
Informacin, con el visto bueno del Subdirector correspondiente.


18

Equipo desatendido
Los usuarios debern mantener sus equipos de cmputo con controles de acceso con passwords y protectores
de pantalla (screensaver) previamente instalados y autorizados por el Departamento de Tecnologas de la
Informacin.

Administracin y uso de Passwords
La asignacin del password debe ser realizada de forma individual, por lo que el uso de password compartidos
est prohibido.

Cuando un usuario olvide, bloquee o extrave su password, deber levantar un reporte al Departamento de
Tecnologas de la Informacin para que se le proporcione un nuevo password y una vez que lo reciba deber
cambiarlo en el momento en que acceda nuevamente a la infraestructura tecnolgica.

La obtencin o cambio de un password debe hacerse de forma segura, el usuario deber acreditarse ante el
Departamento de Tecnologas de la Informacin como empleado del Instituto.

Est prohibido que los passwords se encuentren de forma legible en cualquier medio impreso y dejarlos en un
lugar donde personas no autorizadas puedan descubrirlos.

Sin importar las circunstancias, los passwords nunca se deben compartir o revelar. Hacer esto responsabiliza al
usuario que prest su password de todas las acciones que se realicen con el mismo.

Todos los usuarios debern observar los siguientes lineamientos para la construccin de sus passwords:

Deben estar compuestos de al menos seis (6) caracteres y mximo diez (10), estos caracteres deben
ser alfanumricos.
Deben ser difciles de adivinar, esto implica que los passwords no deben relacionarse con el trabajo o la
vida personal del usuario, y no deben contener caracteres que expresen listas secuenciales y
caracteres de control.
No deben ser idnticos o similares a password que hayan usado previamente.

El password tendr una vigencia de 90 das, finalizando este periodo el usuario deber realizar el cambio de
contrasea.

Todo usuario que tenga la sospecha de que su password es conocido por otra persona, deber cambiarlo
inmediatamente.

Los usuarios no deben almacenar los password en ningn programa o sistema que proporcione esta facilidad.
Los cambios o desbloqueo de password solicitados por el usuario al Departamento de Tecnologas de la
Informacin sern notificados con posterioridad por correo electrnico al solicitante con copia al jefe inmediato
correspondiente, de tal forma que se pueda detectar y reportar cualquier cambio no solicitado.


19

Control de accesos remotos
Est prohibido el acceso a redes externas va dial-up, cualquier excepcin deber ser documentada y contar
con el visto bueno del Departamento de Tecnologas de la Informacin.

La administracin remota de equipos conectados a Internet no est permitida, salvo que se cuente con la
autorizacin y con un mecanismo de control de acceso seguro autorizado por el dueo de la informacin y del
Departamento de Tecnologas de la Informacin.


20

5. CUMPLIMIENTO DE SEGURIDAD EN INFORMTICA
Poltica
El Departamento de Tecnologas de la Informacin tiene como una de sus funciones la de proponer y revisar el
cumplimiento de normas y polticas de seguridad, que garanticen acciones preventivas y correctivas para la
salvaguarda de equipos e instalaciones de cmputo, as como de bancos de datos de informacin automatizada
en general.

Derechos de propiedad intelectual
Est prohibido por las Ley leyes de derechos de autor y por el Instituto, realizar copias no autorizadas de
software, ya sea adquirido o desarrollado por el Instituto.
Los sistemas desarrollados por personal interno o externo que controle el Departamento de Tecnologas de la
Informacin son propiedad intelectual del Instituto.
Revisiones del cumplimiento
El Departamento de Tecnologas de la Informacin realizar acciones de verificacin del cumplimiento del
Manual de Polticas y Estndares de Seguridad en Informtica.

La Direccin de Planeacin, junto con la Subdireccin de Desarrollo Organizacional y el Departamento de
Tecnologas de Informacin, podr implantar mecanismos de control que permitan identificar tendencias en el
uso de recursos informticos del personal interno o externo, para revisar la actividad de procesos que ejecuta y
la estructura de los archivos que se procesan. El mal uso de los recursos informticos que sea detectado ser
reportado conforme a lo indicado en la Poltica de Seguridad de Personal.

Los dueos de los procesos establecidos en el Instituto deben apoyar las revisiones del cumplimiento de los
sistemas con las polticas y estndares de Seguridad en Informtica apropiadas y cualquier otro requerimiento
de seguridad.
Violaciones de Seguridad en Informtica
Est prohibido el uso de herramientas de hardware o software para violar los controles de Seguridad en
Informtica, as como realizar pruebas a los controles de los diferentes elementos de Tecnologa de
Informacin. Ninguna persona puede probar o intentar comprometer los controles internos.

Ningn usuario del Instituto debe probar o intentar probar fallas de la Seguridad en Informtica identificadas o
conocidas, a menos que estas pruebas sean controladas y aprobadas por el Departamento de Tecnologas de
la Informacin.

No se debe intencionalmente escribir, generar, compilar, copiar, coleccionar, propagar, ejecutar o intentar
introducir cualquier tipo de cdigo (programa) conocidos como virus, gusanos caballos de Troya, diseado
para auto replicarse, daar o afectar el desempeo o acceso a las computadoras, redes o informacin del
Instituto.

Manual Seguridad Informatica

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual Seguridad Informatica

Transféré par

Droits d'auteur :

Formats disponibles

Instituto Nacional de Perinatologa

Vous aimerez peut-être aussi