REDES

C O N T E N I D O

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA

PROPÓSITO INTRODUCCIÓN

MARCO – JURÍDICO ADMINISTRATIVO OBJETIVO

ALCANCE JUSTIFICACIÓN

SANCIONES POR INCUMPLIMIENTO BENEFICIOS

1. POLÍTICAS Y ESTÁNDARES DE SEGURIDAD DEL PERSONAL

1.1. OBLIGACIONES DE LOS USUARIOS

1.2. ACUERDOS DE USO Y CONFIDENCIALIDAD

1.3. ENTRENA-MIENTO EN SEGURIDAD INFORMÁTICA

1.4. MEDIDAS DISCIPLINARIAS

2. POLÍTICAS Y ESTÁNDARES DE SEGURIDAD FÍSICA Y AMBIENTAL

2.1. RESGUARDO Y PROTECCIÓN DE LA INFORMACIÓN

2.2. CONTROLES DE ACCESO FÍSICO

2.3. SEGURIDAD EN ÁREAS DE TRABAJO

2.4. PROTECCIÓN Y UBICACIÓN DE LOS EQUIPOS

2.5. MANTENIMIENTO DE EQUIPO

2.6. PÉRDIDA DE EQUIPO

2.7. USO DE DISPOSITIVOS ESPECIALES

2.8. DAÑO DEL EQUIPO

3. POLÍTICAS Y ESTÁNDARES DE SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO

3.1. USO DE MEDIOS DE ALMACENAMIENTO

3.2. INSTALACIÓN DE SOFTWARE

3.3. IDENTIFICACIÓN DEL INCIDENTE

3.4. ADMINISTRACIÓN DE LA CONFIGURACIÓN

3.5. SEGURIDAD PARA LA RED

3.6. USO DEL CORREO ELECTRÓNICO

3.7. CONTROLES CONTRA CÓDIGO MALICIOSO

3.8. INTERNET

4. POLÍTICAS Y ESTÁNDARES DE CONTROLES DE ACCESO LÓGICO

4.1. CONTROLES DE ACCESO LÓGICO

4.2. ADMINISTRACIÓN DE PRIVILEGIOS

4.3. EQUIPO DESATENDIDO

4.4. ADMINISTRACIÓN Y USO DE PASSWORDS

4.5. CONTROL DE ACCESOS REMOTOS

5. POLÍTICAS Y ESTÁNDARES DE CUMPLIMIENTO DE SEGURIDAD INFORMÁTICA

5.1. DERECHOS DE PROPIEDAD INTELECTUAL

5.2. REVISIONES DEL CUMPLIMIENTO

5.3. VIOLACIONES DE SEGURIDAD INFORMÁTICA

Propósito

El presente documento tiene como finalidad dar a conocer las políticas y estándares de Seguridad Informática que deberán observar los usuarios de servicios de tecnologías de información, para proteger adecuadamente los activos tecnológicos y la información de la Empresa.

Introducción

La base para que cualquier organización pueda operar de una forma confiable en materia de Seguridad Informática comienza con la definición de las políticas y estándares.

La Seguridad Informática, es una función en la que se deben evaluar y administrar los riesgos, basándose en políticas y estándares que cubran las necesidades de la Empresa en materia de seguridad.

Este documento se encuentra estructurado en cinco políticas generales de seguridad para usuarios de informática, con sus respectivos estándares que consideran los siguientes puntos:

• Seguridad de Personal.

• Seguridad Física y Ambiental.

• Administración de Operaciones de Cómputo.

• Controles de Acceso Lógico.

• Cumplimiento.

En términos generales estas políticas de seguridad

Informática,

Pretende englobar los procedimientos más adecuados, tomando como lineamientos principales cuatros criterios, que se detallan a continuación:

Seguridad Organizacional: Dentro de este, se establece el marco formal de seguridad que debe sustentar la Empresa

incluyendo servicios o contrataciones externas a la infraestructura de seguridad, integrando el recurso humano con la tecnología, denotando

responsabilidades y actividades complementarias como respuesta ante situaciones anómalas a la seguridad.

Seguridad Lógica: Trata de establecer e integrar los mecanismos y procedimientos, que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, selección y aceptación de sistemas, hasta el control de software malicioso.

Seguridad Física: Identifica los límites mínimos cumplir en cuanto a perímetros de seguridad, de

que se deben forma que se

puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en la importancia de los activos.

Seguridad Legal: Integra los requerimientos de seguridad que deben cumplir todos los funcionarios, asociados y usuarios de la red institucional bajo la reglamentación de la normativa interna de la Empresa; en cuanto

al recurso humano, tendrá sanciones aplicables

ante faltas

cometidas de acuerdo con la Ley o la normativa interna estipulada.

Cada

uno de los criterios anteriores, sustenta un

entorno de

administración de suma importancia, para la seguridad de la información dentro de la red institucional de la Empresa.

Objetivo

Difundir las políticas y estándares de seguridad informática a todo el personal de la Empresa para que sea de su conocimiento y cumplimiento en los recursos

informáticos utilizados o asignados y establecer las responsabilidades, principios, criterios, directrices y conductas dentro de los lineamientos de ética y el buen gobierno de la Empresa, que orientan la gestión segura de la información.

Sanciones por

Incumplimiento

El incumplimiento al presente Manual podrá presumirse como causa de responsabilidad administrativa y/o penal, dependiendo de su naturaleza y gravedad, cuya sanción será aplicada por las autoridades competentes.

Beneficios:

Las políticas y estándares de seguridad informática establecidas dentro

de este documento son la base para la protección

de los activos

tecnológicos e información de la Empresa.

1. POLÍTICAS Y ESTÁNDARES DE SEGURIDAD DEL PERSONAL

Todo

usuario de bienes y servicios informáticos deben

de firmar un

convenio en el que acepte las condiciones de confidencialidad, de uso adecuado de los recursos informáticos y de información de la Empresa, así como el estricto apego al Manual de Políticas y Estándares de Seguridad Informática para Usuarios.

Los usuarios deberán cumplir con lo establecido en el Manual de Políticas y Estándares de Seguridad Informática para Usuarios.

1.1 Obligaciones de

Los usuarios

Es responsabilidad de los usuarios de bienes y servicios informáticos cumplir las Políticas y Estándares de Seguridad Informática para Usuarios del presente Manual.

1.2 Acuerdos de uso y

Confidencialidad

Todos los usuarios de bienes y servicios informáticos de

la Empresa

deben firmar

el convenio de confidencialidad y uso adecuado de

los recursos

informáticos y de información de la Empresa

así como comprometerse a cumplir con lo

establecido en el Manual de Políticas y Estándares

Informática para Usuarios.

de Seguridad

1.3 Entrenamiento en

Seguridad informática

Todo empleado de la Empresa . de nuevo ingreso deberá de contar con la inducción sobre el

Manual de Políticas y Estándares de Seguridad Informática para Usuarios, a través de la Dirección de Sistema y Estadística donde se den a conocer las obligaciones para los usuarios y las sanciones que pueden existir en caso de incumplimiento.

1.4 Medidas

Disciplinarias

1.4.1.

Cuando la Dirección de Sistemas y Estadísticas

identifique el

incumplimiento al presente Manual remitirá el reporte o denuncia

correspondiente al Órgano Interno de Control de la empresa.

1.4.2. Se consideran violaciones graves el robo, daño, divulgación de

información reservada o confidencial de la empresa, o de que se le declare culpable de un delito informático.

2. POLÍTICAS Y ESTÁNDARES DE SEGURIDAD FÍSICA Y AMBIENTAL

...