Manual de Políticas y Procedimientos Dirección General de Soporte de Tecnologías de la Información y Comunicaciones

Transcripción

1 FORMATO MANUAL DE POLÍTICAS Y PROCEDIMIENTOS REFERENCIA: PR-DGDO-CADI-01 Y IT-DGDO-CADI-01 Clave: FO-DGDO-CADI-06 Revisión: 3 Anexo 8 Pág. 1 de 1 Manual de Políticas y Procedimientos Dirección General de Soporte de Tecnologías de la Información y Comunicaciones Cuernavaca, Mor., a 05 de mayo de 2014

2 FORMATO MANUAL DE POLÍTICAS Y PROCEDIMIENTOS REFERENCIA: PR-DGDO-CADI-01 Y IT-DGDO-CADI-01 Clave: FO-DGDO-CADI-06 Revisión: 3 Anexo 8 Pág. 1 de 1 II.- CONTENIDO Apartado Portada Contenido Autorización Introducción Políticas Procedimientos Indicadores Clave de Desempeño Directorio Colaboración Consecutivo del Apartado I II III IV V VI VII VIII IX

3 FORMATO MANUAL DE POLÍTICAS Y PROCEDIMIENTOS REFERENCIA: PR-DGDO-CADI-01 Y IT-DGDO-CADI-01 Clave: FO-DGDO-CADI-06 Revisión: 3 Anexo 8 Pág. 1 de 1 III.- AUTORIZACIÓN Se expide el presente Manual de Políticas y Procedimientos de la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones, el cual contiene información referente a su estructura y funcionamiento, y tiene como objetivo, servir de instrumento de consulta e inducción para el personal, con fundamento en los siguientes ordenamientos jurídicos: - Artículo 13 fracción VI y artículo 39 fracción XI de la Ley Orgánica de la Administración Pública del Estado de Morelos vigente; - Artículo 16 fracción IV y V del Reglamento Interior de la Secretaría de Administración del Poder Ejecutivo del Estado de Morelos vigente; AUTORIZÓ C. Carlos Riva Palacio Than Secretario de Administración REVISÓ Ing. Vladimir Orihuela Hernández Director General de Soporte de Tecnologías de la Información y Comunicaciones APROBÓ C. Carlos Riva Palacio Than Secretario de Administración VISTO BUENO C. Arturo Albarrán Salazar Director General de Desarrollo Organizacional Fecha de Autorización Técnica: 05 de mayo de 2014 Número de páginas: 51

4 FORMATO MANUAL DE POLÍTICAS Y PROCEDIMIENTOS REFERENCIA: PR-DGDO-CADI-01 Y IT-DGDO-CADI-01 Clave: FO-DGDO-CADI-06 Revisión: 3 Anexo 8 Pág. 1 de 1 IV.- INTRODUCCIÓN El Manual de Políticas y Procedimientos es un instrumento técnico administrativo, que se elabora con la finalidad de cumplir a lo estipulado en el Reglamento Interior de la Secretaría de Administración del Poder Ejecutivo del Estado de Morelos.. Este documento sirve para: Encomendar responsabilidades; Evitar duplicaciones y detectar omisiones en las funciones; Propiciar la uniformidad en el trabajo; Utilizar de manera racional los recursos humanos, financieros, materiales y tecnológicos; Facilitar la inducción al puesto del personal de nuevo ingreso y; Apoyar las auditorías internas de los órganos de control. El Manual de Políticas y Procedimientos está integrado por los siguientes apartados: autorización, políticas, procedimientos, indicadores clave de desempeño y colaboración.

5 FORMATO MANUAL DE POLÍTICAS Y PROCEDIMIENTOS REFERENCIA: PR-DGDO-CADI-01 Y IT-DGDO-CADI-01 Clave: FO-DGDO-CADI-06 Revisión: 3 Anexo 8 Pág. 1 de 1 PROCEDIMIENTO: Correspondencia Recibida V.- POLÍTICAS 1. La/El Profesional Ejecutivo C debe recibir de las Unidades Administrativas, la documentación que les sea presentada verificando los siguientes datos: Nombre de la Unidad Administrativa, Nombre y puesto a quien está dirigido, acusando de recibido al corroborar los puntos mencionados de lo contrario la documentación no será recibida. 2. La/el Profesional Ejecutivo C debe entregar la documentación recibida vía económica dos veces al día a La/El Subdirector/a Administrativo. 3. La/El Subdirector Administrativo debe revisar el contenido de las solicitudes de información y de servicio y distribuir la documentación al personal responsable para su aplicación, conocimiento o atención. una vez revisada la misma PROCEDIMIENTO: Correspondencia de Salida 1. La/El Auxiliar Administrativo debe asignar el número de oficio de la correspondencia de salida y realizar el llenado en la Bitácora de Correspondencia de salida, de acuerdo a las instrucciones del llenado de la misma, cuando se solicite la emisión de documento oficial expedido por la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones. 2. La/El Auxiliar Administrativo debe verificar que los datos del oficio concuerden con los plasmados en la Bitácora de Correspondencia de Salida, nombre, cargo y firma del Titular de la Unidad Administrativa; iniciales y rúbrica de quien elaboró el oficio, cuando se solicite la emisión de documento oficial expedido por la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones. 3. La/El Auxiliar Administrativo debe revisar al recibir los acuses de la correspondencia que estos cuenten con los sellos oficiales correctos de lo contrario serán devueltos PROCEDIMIENTO: Atención de Servicios de Seguridad Informática. 1. La Dirección General de Soporte de Tecnologías de la Información y Comunicaciones, debe recibir y atender incidentes en materia de seguridad informática, así como brindar soporte técnico de segundo nivel a todas las dependencias del Poder Ejecutivo central, en un lapso no mayor a 48 horas una vez recibida la solicitud vía telefónica, oficio, correo electrónico o sistema de tickets. 2. La Dirección de Seguridad Informática debe revisar que todas las solicitudes cumplan con la información necesaria para ser atendidas una vez que fueron recibidas, de lo contrario deberá notificar al usuario que no cumple con la información necesaria para ser atendidas en tiempo y forma. 3. La Dirección General de Soporte de Tecnologías de la Información y Comunicaciones debe verificar y validar que la solicitud de requerimiento, cuando se trate de privilegios de acceso a internet, cuentas VPN, acceso a recursos e información crítica sea enviada por oficio y cuente con la autorización previa del jefe inmediato suprior del área solicitante. de lo contrario no procederá la solicitud de requerimiento.

6 FORMATO MANUAL DE POLÍTICAS Y PROCEDIMIENTOS REFERENCIA: PR-DGDO-CADI-01 Y IT-DGDO-CADI-01 Clave: FO-DGDO-CADI-06 Revisión: 3 Anexo 8 Pág. 1 de 1 V.- PROCEDIMIENTOS Se documentan a continuación los procedimientos y sus respectivos anexos: Número de Procedimiento Nombre Clave Pág. 1 Correspondencia Recibida PR-DGSTIC-SA Correspondencia de Salida PR-DGSTIC-SA Atención de Servicios de Seguridad Informática PR-DGSTIC-DSInf El siguiente proceso con sus procedimientos forma parte del Sistema de Gestión de la Calidad y está documentado en el Manual de Gestión de la Calidad con Equidad de Género que resguarda la Dirección de Calidad: 1 Administración de Proyectos PR-DGSTIC-DSI Soporte y Mejora de Sistemas de Información PR-DGSTIC-DSD Telecomunicaciones PR-DGSTIC-DTEL Administración de Servicios y Aplicaciones de los Servidores PR-DGSTIC-SSP-01 7

7 PROCEDIMIENTO CORRESPONDENCIA RECIBIDA Clave: PR-DGSTIC-SA-01 Revisión:6 Pág. 1 de 7 HOJA DE CONTROL DE EMISIÓN Y REVISIÓN No. Rev. Pág (s). Afectadas Naturaleza del Cambio Motivo del Cambio Fecha de Autorización 0 N/A Emisión Emisión 21/Enero/08 1 Todas 2 Todas 3 Todas 4 Todas 5 Todas 6 Todas Cambio de orden y nombre de los responsables, fecha y claves Cambio de orden, fecha y cambio de nombre de procesos. Cambio de texto en el diagrama de flujo (actividad uno),completar texto en la descripción de actividades, se agregó un punto más en el registro de calidad Actualización del procedimiento Actualización del procedimiento Actualización del procedimiento Actualización del Manual Actualización del Manual Actualización del Manual Actualización del Manual Actualización del Manual Actualización del Manual 10/Octubre/08 8/Febrero/ /Abril/ /Marzo/ /Marzo/ /Mayo/2014

8 PROCEDIMIENTO CORRESPONDENCIA RECIBIDA Clave: PR-DGSTIC-SA-01 Revisión:6 Pág. 2 de 7 HOJA DE CONTROL DE COPIAS Esta es una copia controlada del procedimiento Correspondencia Recibida. El original de este documento queda bajo resguardo de la Dirección General de Desarrollo Organizacional. La distribución de las copias controladas se realiza de acuerdo a la siguiente tabla: Área Funcional Copia No. Dirección General de Coordinación y Desarrollo Administrativo 01

9 PROCEDIMIENTO CORRESPONDENCIA RECIBIDA Clave: PR-DGSTIC-SA-01 Revisión:6 Pág. 3 de 7 1. Propósito: Contar con un procedimiento que sirva de guía al personal responsable de la recepción de correspondencia y que describa las actividades a seguir para un adecuado control de la correspondencia recibida. 2. Alcance: Este procedimiento aplica a: Dirección General de Soporte de Tecnologías de la Información y Comunicaciones. Subdirección Administrativa. 3. Referencias: Este Procedimiento está basado en: Ley Estatal de Documentación y Archivos de Morelos Ley Estatal de Firma Electrónica Lineamientos Internos generados por la propia área. 4. Responsabilidades: Es responsabilidad del personal técnico y de apoyo apegarse a lo establecido en este procedimiento. Es responsabilidad de la/el Subdirector Administrativo, elaborar y mantener actualizado este procedimiento. Es responsabilidad de la/el Director General de Soporte de Tecnologías de la Información y Comunicaciones, revisar y vigilar el cumplimiento de este procedimiento. 5.- Definiciones: Área de Recepción: es el espacio asignado dentro de la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones para la recepción de correspondencia. Correspondencia: Es el intercambio recíproco entre las Dependencias, Secretarías y Organizaciones, en el cual mediante una serie de documentos que se generan quedan como soporte de información tanto para el interior como para el exterior de las mismas. 6.-Método de Trabajo: Elaboró Revisó Lic. Humberto Artemio Morales Herrera Subdirector Administrativo Ing. Vladimir Orihuela Hernández Director General de Soporte de Tecnologías de Información y Comunicaciones Fecha: 05 de mayo de 2014 Fecha: 05 de mayo de 2014

10 PROCEDIMIENTO CORRESPONDENCIA RECIBIDA Clave: PR-DGSTIC-SA-01 Revisión:6 Pág. 4 de Diagrama de Flujo: INICIO Correspondencia procedente de la Unidad Administrativa Emisora 1 Recibir la documentación dirigida al personal adscrito a esta Dirección General, verificando la información anexa que se indique Correspondencia Instructivo de trabajo de correspondencia Recibida (IT-DGSTIC-SA-01) Ver Instructivo de Trabajo de Correspondencia Recibida (IT-DGSTIC-SA-01) Cumple con los requisitos señalados? 2 NO 3 Devolver la Correspondencia a la Unidad Administrativa indicando el motivo Correspondencia SÍ FIN Sellar la correspondencia recibida y asignar número de folio según el control de bitácora de correspondencia recibida. 4 Correspondencia Bitácora Bitácora Correspondencia recibida 5 Escanear el documento, nombrar y salvar en la computadora de El/La responsable de recibir correspondencia. 6

11 PROCEDIMIENTO CORRESPONDENCIA RECIBIDA Clave: PR-DGSTIC-SA-01 Revisión:6 Pág. 5 de 7 Almacenar el documento en el espacio virtual (nube) 6 Las especificaciones técnicas requeridas para la aplicación del almacenamiento virtual debe estar apegada a la plataforma institucionalizada con el correo electrónico del gobierno del estado, y que tenga compatibilidad con dispositivos móviles y acceso web, contar con al menos 5 GB de espacio virtual. Entregar la correspondencia vía económica a La/El Subdirector/a Administrativo para su análisis y revisión 7 Correspondencia Identificar el área responsable de atención y entregar la correspondencia vía correo electrónico al responsable de área correspondiente para su atención. 8 Verificar con los responsables de área el seguimiento de la correspondencia recibida 9 Correspondencia En el caso de estar concluida la solicitud, el responsable de área genera la respuesta a la solicitud y la envía a El/La Subdirector Administrativo para su emisión. Firmar la correspondencia recibida una vez que se encuentra atendida y respondida. 10 Correspondencia Archivar la correspondencia en archivero una vez concluida su atención 11 Correspondencia FIN

12 PROCEDIMIENTO CORRESPONDENCIA RECIBIDA Clave: PR-DGSTIC-SA-01 Revisión:6 Pág. 6 de Descripción de Actividades: Paso Responsable Actividad 1 Profesional Ejecutivo C (PEC) 2 PEC 3 PEC 4 PEC Recibe de los diferentes remitentes la correspondencia y revisa que cumpla con los requisitos para su recepción. Nota: Ver Instructivo de Trabajo de Correspondencia recibida Cumple con los requisitos señalados en el Instructivo de trabajo de Correspondencia recibida? No, pasa a la actividad 3 Si, pasa a la actividad 4 Devuelve la correspondencia al remitente e indica el motivo de la devolución en forma verbal o por escrito. Con esta actividad finaliza el procedimiento. Sella la correspondencia recibida y asigna número de folio según el control de bitácora de correspondencia recibida. Tipo de Documento (No. de Control) Correspondencia Instructivo de trabajo de correspondencia recibida (IT-DGSTIC-SA-01) Correspondencia Correspondencia Bitácora de correspondencia recibida 5 PEC Escanea el documento, nombra y salva en la computadora bajo su resguardo. Almacena el documento en el espacio virtual (nube). 6 PEC 7 PEC Nota: Las especificaciones técnicas requeridas para la aplicación del almacenamiento virtual debe estar apegada a la plataforma institucionalizada con el correo electrónico del gobierno del estado, y que tenga compatibilidad con dispositivos móviles y acceso web, contar con al menos 5 GB de espacio virtual. Entrega la correspondencia vía económica a La/El Subdirector/a Administrativo para su análisis y revisión. Correspondencia 8 Subdirector/a Administrativo (SA) 9 SA 10 SA 11 PEC Identifica el área responsable de atención y entrega la correspondencia vía correo electrónico al responsable para su atención. Verifica con los responsables de área el seguimiento a la correspondencia recibida. Nota: En el caso de estar concluida la solicitud, el responsable de área genera la respuesta a la solicitud y la envía a La/El Subdirector Administrativo para su emisión. Firma la correspondencia recibida una vez que se encuentra atendida y respondida. Archiva la correspondencia en archivero una vez concluida su atención Con esta actividad da fin el procedimiento Correspondencia Correspondencia

13 PROCEDIMIENTO CORRESPONDENCIA RECIBIDA Clave: PR-DGSTIC-SA-01 Revisión:6 Pág. 7 de 7 7. Registros de Calidad: No. Documentos (Clave) Responsabilidad de su Custodia Tiempo de Retención 1 Bitácora de Correspondencia Recibida Subdirector Administrativo 5 años 2 Correspondencia Subdirector Administrativo 5 años 8. Anexos: Anexo No. Descripción Clave 1 Correspondencia recibida IT-DGSTIC-SA-01

14 INSTRUCTIVO DE TRABAJO CORRESPONDENCIA RECIBIDA Y DE SALIDA REFERENCIA: PR-DGSTIC-SA-01 Clave: IT-DGSTIC-SA-01 Revisión: 4 Anexo 1 Pág. 1 de 4 1. Propósitos: Describir la Metodología y lineamientos respecto a la organización y funcionamiento de los servicios documentales, archivísticos o de cualquier otra índole, coadyuvando en el ámbito de su competencia de las Dependencias y Entidades del Poder Ejecutivo. Contar con un documento guía para el personal designado del control y archivo de correspondencia recibida que integra cada Unidad Administrativa de las Dependencias del Poder Ejecutivo, que contenga la forma adecuada y ordenada de realizar las actividades para el logro de los objetivos establecidos 2. Alcance: Este Instructivo de Trabajo aplica a: Dirección General de Soporte de Tecnologías de la Información y Comunicaciones. 3. Referencias: Este instructivo está basado en: Ley General de Documentación para el Estado de Morelos Ley de Información Pública Estadística y Protección de Datos Personales del Estado de Morelos 4. Instrucciones: 4.1 Definiciones: Archivo: Es el conjunto de documentos, sea cual fuere su fecha, forma y soporte material, acumulados en un proceso natural por una persona, entidad pública o privada en el transcurso de su gestión, conservados respetando aquel orden para servir como testimonio e información a la persona o Institución que los produce y a los ciudadanos, o como fuentes de historia. Correspondencia: Es el conjunto de comunicaciones escritas o documentos por medio de los cuales se informan entre si las personas o Instituciones en el desarrollo de sus asuntos y que deben ser manejados organizadamente. Correspondencia de Entrada: Es toda aquella documentación que recibe el área de correspondencia de otras Instituciones, Dependencias y Entidades del Poder Ejecutivo; así como de la ciudadanía. Correspondencia digital: Es el conjunto de documentos y comunicaciones que se han digitalizado mediante dispositivos electrónicos para su almacenamiento y administración virtual. Documentos: Son los expedientes, reportes, estudios, actas, resoluciones, oficios, correspondencia, acuerdos, directrices, circulares, contratos, convenios, instructivos, notas, memoranda, estadísticas o bien, cualquier otro registro que compruebe el ejercicio de las facultades o la actividad de las Unidades Administrativas, sin importar su fuente o fecha de elaboración. Los documentos podrán estar en cualquier medio, sea escrito, impreso, sonoro, visual, electrónico, informático, holográfico u otro derivado de la innovación tecnológica. Gestión documental: es el conjunto de normas técnicas y prácticas usadas para administrar el flujo de documentos de todo tipo en una organización, permitir la recuperación de información desde ellos, determinar el tiempo que los documentos deben guardarse, eliminar los que ya no sirven y asegurar la conservación indefinida de los documentos más valiosos, aplicando principios de racionalización y economía. lipepdp: Ley de Información Pública, Estadística y Protección de Datos Personales

15 INSTRUCTIVO DE TRABAJO CORRESPONDENCIA RECIBIDA Y DE SALIDA REFERENCIA: PR-DGSTIC-SA-01 Clave: IT-DGSTIC-SA-01 Revisión: 4 Anexo 1 Pág. 2 de Instrucciones a) Entrada y/o Salida de Correspondencia: 1. En la recepción y/o emisión de correspondencia se deberá verificar que la documentación cumpla con los siguientes datos para iniciar su trámite: 1.1 Destinatario: Verificar que la documentación corresponda al Nombre de la persona a quien va dirigido. 1.2 Remitente: Revisar que el Nombre corresponda al Titular de la Dependencia o Unidad Administrativa y que este plasmada la firma autógrafa del mismo. 1.3 Número de Oficio: Asignado por la Dependencia o Entidad con la finalidad de dar contestación o seguimiento del mismo si se requiere. 1.4 Fecha en que se elaboró el documento: Verificar que no hayan transcurrido más de dos días desde su formulación 1.5 Copias: Que cumpla con el número de copias indicadas en el oficio y que estén debidamente señaladas. 1.6 Anexos: Si se hace referencia a paquetes y/o anexos, deberán estar correctamente empaquetados de acuerdo a las características de los mismos para evitar deterioro o extravíos. 2. Registrar los datos de la correspondencia de entrada en el Sistema de Bitácora de Control de Documentación (BITACORA). 2.1 Instrucciones para el llenado en el Sistema de Gestión de Control (BITACORA): Número de Empleado: Se anotará el número de empleado de la persona que está realizando la recepción del documento Número de folio: LA BITACORA de forma automática y consecutiva realiza la asignación del número de folio Recibió: En este rubro se plasmarán el nombre de quien recibió la correspondencia Destinatario: Se anota el nombre a quien va dirigido el documento Fecha y hora: LA BITACORA de forma automática coloca la fecha y la hora en la que se está recibiendo el documento Número de copias: Se anotará el número de copias que están anexas al documento Número de documento: Se anotará el número interno del documento completo, incluyendo el área que remite Nombre de quien firma: En este rubro se anotará el nombre de quien envía Mensaje: En este rubro se anotará un extracto del contenido del documento para hacer referencia en caso de requerirlo 3. Digitalizar la correspondencia recibida y salvar los documentos digitales en la computadora del área de recepción y posteriormente almacenar en el espacio virtual (nube) de la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones. bajo la nomenclatura 3.1 Instrucciones para la digitalización y almacenamiento en el espacio virtual (nube) Nomenclatura (documento digital): se asignará por la/el responsable de la recepción de correspondencia respetando el siguiente formato para su nombramiento: Oficio (de acuerdo al número de folio)- Dependencia y unidad emisora- fecha de recepción Almacenamiento en dispositivo físico: será responsabilidad de la/el encargado de la recepción de correspondencia almacenar el archivo digital en la computadora asignada a esta área Almacenamiento en el espacio virtual: será responsabilidad de la/el encargado de la recepción de correspondencia almacenar los documentos digitales en la aplicación designada por la Subdirección General para la gestión documental digital Clasificación de carpetas digitales: se clasificará la correspondencia virtual mediante carpetas semanales dentro de la aplicación designada para la gestión documental digital.

16 INSTRUCTIVO DE TRABAJO CORRESPONDENCIA RECIBIDA Y DE SALIDA REFERENCIA: PR-DGSTIC-SA-01 Clave: IT-DGSTIC-SA-01 Revisión: 4 Anexo 1 Pág. 3 de 4 b) Organización de Documentos: 1.- La documentación será integrada en expedientes en carpetas en forma ascendente, las cuales deberán contar con orden numérico controlado por la/el responsable de la recepción de correspondencia. c) Valor Documental 1.-Una vez clasificados los documentos es necesario ponderarlos de acuerdo a su información: Valor Administrativo: Se caracteriza en cuanto a la utilidad en la propia oficina para la gestión de sus asuntos ejemplo oficios, comunicados, etc. Valor Legal o Fiscal: Es aquel que ya esta establecido en leyes reglamentos o actos jurídicos, y que indica que el documento puede tener un valor demostrativo ejemplo expediente de impuestos. Valor Histórico: La información plasmada en los documentos puede servir para conocer mejor la historia de una Dependencia y sus antecedentes históricos. Nota: Los documentos de archivo son los mismos desde que se producen en la oficina hasta que son depositados en un archivo; sin embargo su valor y su función se va modificando en lo sucesivo a las fases de su ciclo de vida. d) Fases de vida de los documentos desde su creación: Se clasificarán los archivos de acuerdo a su vigencia, uso, conservación, consulta, etc. ver ejemplo Fase Función Duración Localización Documentación en trámite, con vigencia 0 a 5 años administrativa su uso es de acuerdo Archivos de oficina o 1 Activa: frecuente, reunidos y a su de gestión organizados forman el valoración archivo de oficina. 2.Semiactiva 3 Inactiva e) Préstamo de documentación: Los documentos carecen de valor administrativo pero su conservación es necesaria ya que tiene un valor legal y/o fiscal y son consultados con mucha frecuencia se denomina archivo intermedio Valor Histórico y conservación Permanente 0 a 25 años de acuerdo a su valoración A partir de 25 años su valor es permanente Archivo General (Instituto Estatal de Documentación del Estado de Morelos) Archivo General (Instituto Estatal de Documentación del Estado de Morelos) 1.- Para el préstamo de la documentación se deberá llenar el vale de resguardo de la información prestada especificando la fecha de entrega y firma de quien entrega y solicita. (Ver vale de préstamo) Una vez recibida la información prestada el Vale se integrará al control correspondiente. En el caso de la información confidencial ésta será autorizada para préstamo solamente por el Titular del Área, en el cual el vale deberá especificar la firma del mismo.

17 INSTRUCTIVO DE TRABAJO CORRESPONDENCIA RECIBIDA Y DE SALIDA REFERENCIA: PR-DGSTIC-SA-01 Clave: IT-DGSTIC-SA-01 Revisión: 4 Anexo 1 Pág. 4 de 4 f) Preparación de los documentos a transferir al archivo muerto Revisar los documentos: Antes de guardar los documentos en las cajas de archivo, se comprobará que no falta ningún documento dentro de los expedientes Ordenación: Verificar el orden (numérico, cronológico o alfabético) de los documentos. Nota: Los expedientes deben estar libres de clips, grapas, gomas, carpetas de plástico o cualquier otro elemento que pudiese afectar a su conservación. Las carpetas serán sustituidas por folders de cartulina y las carpetas plastificadas por cajas de archivo. Agrupar los documentos en expedientes: De acuerdo con la ordenación de los asuntos o actividades a los cuales se refieren. En el caso de que se considere imprescindible mantener unidos varios documentos en el interior del expediente se pueden utilizar subcarpetas. 2. Colocar los expedientes en carpetas de cartulina, en cuya cubierta se anotará la descripción del expediente mediante etiqueta en el que se harán constar los siguientes datos: 2.1 Nombre de la Dependencia o de la Unidad Administrativa 2.2 Denominación propia de la documentación que se transfiere y clasificación correspondiente. 2.3 Fechas extremas de los documentos que contiene el expediente. 2.4 Número de volumen cuando un expediente por su extensión ocupe más de una carpeta de cartulina. 3. Colocar las carpetas en cajas: 3.1 Las carpetas con los expedientes se guardarán en cajas de cartón las cuales deberán llenarse sin llegar a estar apretadas, evitando dejar cajas semivacías. 3.2 Los expedientes se guardarán de forma ordenada siguiendo un orden ascendente y cronológico en cajas correlativas ejemplo 1 de 3, 2 de 3 y 3 de 3. En los casos de documentación que, por su tamaño o características, no pueda ser introducida en las cajas, se utilizará el empaque más conveniente, de acuerdo a sus características. 4. Rotulación de las cajas: Para identificar cada caja se podrán utilizar las etiquetas en los que se hará constar los siguientes datos: 4.1 Número de identificación de la caja. 4.2 Dependencia y Unidad Administrativa emisora 4.3 Nombre de la documental que contiene 4.4 Años: Primera y última fecha de la documentación contenida en la caja anotar en el lomo de las cajas la numeración correlativa de las cajas que transfieren, con objeto de que el archivo pueda identificarlas dentro de la transferencia y cotejar el contenido de las mismas con los datos relacionados en la Hoja de transferencia. 4.5 Nombre, teléfono y dirección oficial del responsable que emite al Instituto Estatal de Documentación.

18 PROCEDIMIENTO CORRESPONDENCIA DE SALIDA Clave: PR-DGSTIC-SA-02 Revisión: 6 Pág. 1 de 7 HOJA DE CONTROL DE EMISIÓN Y REVISIÓN No. Rev. Pág (s). Afectadas Naturaleza del Cambio Motivo del Cambio Fecha de Autorización 0 N/A Emisión Emisión 21/enero/ Todas 2 Todas 3 Todas 4 Todas 5 Todas 6 Todas Cambio de orden y nombre de los responsables, fecha y nombre de la Dirección General Cambio de orden y nombre de los responsables, fecha y nombre de la Dirección General Se eliminó un punto en la Hoja de control de copias, cambio de texto en la descripción de actividades número 6. Actualización del Procedimiento Actualización del Procedimiento Actualización del Procedimiento Actualización del Manual Actualización del Manual Actualización del Manual Actualización del Manual Actualización del Manual Actualización del Manual 10/Octubre/08 8/febrero/ /abril/ /marzo/ /Marzo/ /Mayo/2014

19 PROCEDIMIENTO CORRESPONDENCIA DE SALIDA Clave: PR-DGSTIC-SA-02 Revisión: 6 Pág. 2 de 7 HOJA DE CONTROL DE COPIAS Esta es una copia controlada del procedimiento Correspondencia de Salida. El original de este documento queda bajo resguardo de la Dirección General de Desarrollo Organizacional. La distribución de las copias controladas se realiza de acuerdo a la siguiente tabla: Área Funcional Copia No. Dirección General de Coordinación y Desarrollo Administrativo 01

20 PROCEDIMIENTO CORRESPONDENCIA DE SALIDA Clave: PR-DGSTIC-SA-02 Revisión: 6 Pág. 3 de 7 1. Propósito: Proporcionar el servicio de correspondencia de salida para agilizar la comunicación y flujo de información de esta Dirección General con las Dependencias y Secretarías del Poder Ejecutivo u otras Instancias Gubernamentales, Civiles o no Gubernamentales. 2. Alcance: El presente procedimiento aplica a: Subdirector Administrativo/a 3. Referencias: Este Procedimiento está basado en Lineamientos y Políticas Internos generados por la propia área. 4. Responsabilidades: Es responsabilidad del personal técnico y de apoyo apegarse a lo establecido en este procedimiento. Es responsabilidad de la/el Subdirector Administrativo, elaborar y mantener actualizado este procedimiento. Es responsabilidad de la/el Director General de Soporte de Tecnologías de la Información y Comunicaciones, revisar y vigilar el cumplimiento de este procedimiento. 5. Definiciones: Área de Distribución de Correspondencia: Es el área encargada de la entrega oportuna de correspondencia a las Dependencias, Secretarías y Organizaciones. Correspondencia: Es el intercambio reciproco entre las Dependencias, Secretarías y Organizaciones, en el cual mediante una serie de documentos que se generan quedan como soporte de información tanto para el interior como para el exterior de las mismas. Responsable de solicitud de oficio: Personal dentro de la Dirección General de Soporte de Tecnologías de la Información y Comunicación que requiera emitir Oficio. Zonas: Son ubicaciones que pueden ser centro y foraneos. 6. Método de Trabajo: Elaboró Revisó Lic. Humberto Artemio Morales Herrera Subdirector Administrativo Ing. Vladimir Orihuela Hernández Director General de de Soporte Tecnologías de la Información y Comunicaciones Fecha: 05 de mayo de 2014 Fecha: 05 de mayo de 2014

21 PROCEDIMIENTO CORRESPONDENCIA DE SALIDA Clave: PR-DGSTIC-SA-02 Revisión: 6 Pág. 4 de Diagrama de Flujo: INICIO Viene del Procedimiento de recepción de Correspondencia 1 Recibir información y verificar redacción y ortografía Verificar y entregar el número consecutivo de la Bitácora de Correspondencia de salida al solicitante 2 Bitácora de Correspondencia de salida Cuando la persona responsable no se encuentre disponible para la entrega del No. de Oficio, el solicitante tomara el no. consecutivo del minutario. Realizar el llenado de Bitácora de Correspondencia de Salida y entrega numero al solicitante 3 Bitácora de Correspondencia de salida Cuando el solicitante tome el No. Consecutivo deberá llenar correcta y claramente los datos del mismo. 4 Recibir el oficio y revisar los datos. Oficio En caso de que algunos de los aspectos fueran incorrectos se turna al responsable de su elaboración para su corrección. 5 Entregar el. oficio a El/La Subdirector/a Administrativo para recopilar firma y sello del Director General en el documento Oficio 6

22 PROCEDIMIENTO CORRESPONDENCIA DE SALIDA Clave: PR-DGSTIC-SA-02 Revisión: 6 Pág. 5 de 7 Entregar una vez concluido el proceso El/La Auxiliar Administrativo la correspondencia a La/El Profesional Ejecutivo C para su entrega. 6 Correspondencia Entregar la correspondencia y anexos a su respectiva área 7 Acuses Correspondencia Recibir acuses de correspondencia entregada y verificar que contengan sellos oficiales 8 Acuses Integrar los acuses de la correspondencia en el Minutario de oficios Entregar copia al responsable del área funcional que emitió el oficio para su integración al expediente cuando así lo solicite. 9 Acuses.Integra el Minutario de Oficios una vez terminada su vigencia para su resguardo de acuerdo a los lineamientos establecidos en el Instructivo 10 Minutario de Oficios FIN

23 PROCEDIMIENTO CORRESPONDENCIA DE SALIDA Clave: PR-DGSTIC-SA-02 Revisión: 6 Pág. 6 de Descripción de Actividades: Paso Responsable Actividad 1 2 Auxiliar Administrativo (AA) AA 3 AA 4 AA Recibe la información del área solicitante para la elaboración de oficio y revisa redacción y ortografía. Verifica número consecutivo en Bitácora de Correspondencia de Salida y entrega el número que le corresponda al solicitante. Nota: Cuando la persona responsable no se encuentre disponible para la entrega del No. de oficio, el solicitante tomara el No. consecutivo de la Bitácora de Correspondencia de Salida Realiza el llenado de la Bitácora de Correspondencia de Salida, de acuerdo a las instrucciones de llenado del mismo. Número de oficio, destinatario, fecha y asunto y entrega al área solicitante. Nota: Cuando el solicitante tome el No. consecutivo deberá llenar correctamente y claramente los datos del mismo. Recibe oficio y revisa los siguientes aspectos: a) Que los datos del oficio concuerden con los plasmados en el libro. b) Rúbrica del Titular del Área funcional e iniciales. c) Iniciales de quien elaboró el oficio y rúbrica. d) Paquetes y/o anexos que se mencionen en el oficio y que estén debidamente integrados. Tipo de Documento (No. de Control) Bitácora de Correspondencia de salida Bitácora de correspondencia de salida Oficio 5 AA 6 AA 7 Profesional Ejecutivo C (PEC) 8 AA 9 AA 10 AA Nota: En caso de que algunos de los aspectos fueran incorrectos se turna al responsable de su elaboración para su corrección. Entrega el oficio a La/El Subdirector/a Administrativo para recopilar firma y sello en el documento del Director General Entrega la correspondencia a La/El Profesional Ejecutivo C para su entrega. Entrega la correspondencia y anexos en su caso a las Unidades Administrativas y recopila acuses de recibo. Recibe del Profesional Ejecutivo C los acuses de la correspondencia entregada y verifica que contengan los sellos oficiales correctos. Integra los acuses de la correspondencia en el Minutario de Oficios Nota: Entrega copia al responsable del Área funcional que emitió el oficio para su integración al expediente cuando así lo solicite. Integra el Minutario de Oficios una vez terminada su vigencia para su resguardo de acuerdo a los lineamientos establecidos en el Instructivo de Trabajo de Archivo y Correspondencia. Con esta actividad finaliza el procedimiento. Oficio Correspondencia Correspondencia Acuse Acuses Acuses Minutario de Oficios Minutario de Oficios

24 PROCEDIMIENTO CORRESPONDENCIA DE SALIDA Clave: PR-DGSTIC-SA-02 Revisión: 6 Pág. 7 de 7 7. Registros de Calidad: No. Documentos (Clave) Responsabilidad de su Custodia Tiempo de Retención 1 Bitácora de correspondencia de Salida Subdirector Administrativo/a 5 años 2 Oficio de salida Subdirector Administrativo/a 5 años 3 Correspondencia Subdirector Administrativo/a 5 años 4 Acuses Subdirector Administrativo/a 5 años 5 Minutario oficios. Subdirector Administrativo/a 5 años 8. Anexos: Anexo No. Descripción Clave Ninguno

25 PROCEDIMIENTO ATENCIÓN DE SERVICIOS DE SEGURIDAD INFORMÁTICA Clave: PR-DGSTIC-DSInf-01 Revisión: 1 Pág. 1 de 10 HOJA DE CONTROL DE EMISIÓN Y REVISIÓN No. Rev. Pág (s). Afectadas Naturaleza del Cambio Motivo del Cambio Fecha de Autorización 0 N/A Emisión Emisión 21/Marzo/ Todas Actualización del Procedimiento Actualización del Manual 05/Mayo/2014

26 PROCEDIMIENTO ATENCIÓN DE SERVICIOS DE SEGURIDAD INFORMÁTICA Clave: PR-DGSTIC-DSInf-01 Revisión: 1 Pág. 2 de 10 HOJA DE CONTROL DE COPIAS Esta es una copia controlada del Procedimiento Atención de Servicios de Seguridad Informática. El original de este documento queda bajo resguardo de la Dirección General de Desarrollo Organizacional. La distribución de las copias controladas se realiza de acuerdo a la siguiente tabla: Área Funcional Copia No. Dirección General de Coordinación y Desarrollo Administrativo. 01

27 PROCEDIMIENTO ATENCIÓN DE SERVICIOS DE SEGURIDAD INFORMÁTICA Clave: PR-DGSTIC-DSInf-01 Revisión: 1 Pág. 3 de Propósito: Contar con un procedimiento que sirva de guía a todo el personal del Poder Ejecutivo Central para la atención de incidentes de Seguridad Informática. 2. Alcance: Este procedimiento aplica a: Dirección de Seguridad Informática. Personal del Poder Ejecutivo Central. 3. Referencias: Este procedimiento está basado en: Ley Orgánica de la Administración Pública del Estado de Morelos Reglamento Interior de la Secretaría de Administración del Poder Ejecutivo del Estado de Morelos 4. Responsabilidades: Es responsabilidad del Personal Técnico y de Apoyo: apegarse a lo establecido en este procedimiento. Es responsabilidad de la/el Director de Seguridad Informática: elaborar y mantener actualizado este procedimiento. Es responsabilidad de la/el Director General de Soporte de Tecnologías de la Información y Comunicaciones: revisar y vigilar el cumplimiento de este procedimiento. 5. Definiciones: Antivirus: Es un programa informático que tienen el propósito de detectar y eliminar virus y otros programas perjudiciales antes o después de que ingresen al sistema. Control de Accesos Web: Es una aplicación de seguridad diseñada para bloquear y controlar los sitios en internet (Sitios Web), con diferentes finalidades: seguridad, rendimiento o performance de la red. Firewall: Es una aplicación de seguridad diseñada para bloquear las conexiones en determinados puertos del sistema, independientemente de si el tráfico es benigno o maligno. Incidente: Cualquier evento que no forma parte del desarrollo habitual del servicio y que causa, o puede causar una interrupción del mismo o una reducción de la calidad de dicho servicio. IDS: (Intrusion Detection System) Un sistema de detección de intrusos es aquel que determina cada vez que se está intentando realizar una actividad ilegal contra el sistema y guarda la evidencia de esta actividad para que el administrador pueda verificar y tomar medidas posteriores al intento de ataque. IPS: (Intrusion Prevention System). Un sistema de prevención de intrusos (IPS) va más allá de la determinación de una actividad o posible actividad ilegal. El IPS además bloquea el host que está intentando realizar esta actividad determinada como ilegal de forma tal que aún en caso de que la actividad pueda ser potencialmente peligrosa, el atacante se quedará impedido de entrar al servicio que ofrecemos puesto que el IPS le bloquea a nivel de red. SPAM: Se conocen con el nombre de correo SPAM a los mensajes no solicitados y de remitente desconocido, habitualmente con contenido publicitario, enviados en cantidades masivas. Estos mensajes tienen como objetivo enviar mails con phishing para efectuar fraudes, recolectar datos personales, persuadir al usuario para que descargue código malicioso, saturar las redes y, en el mejor de los casos, promocionar y comercializar un producto o servicio. Elaboró Revisó Lic. Andrea Corzas Felguérez Directora de Seguridad Informática Ing. Vladimir Orihuela Hernández Director General de Soporte de Tecnologías de la Información y Comunicaciones Fecha: 05 de mayo de 2014 Fecha: 05 de mayo de 2014

28 PROCEDIMIENTO ATENCIÓN DE SERVICIOS DE SEGURIDAD INFORMÁTICA Clave: PR-DGSTIC-DSInf-01 Revisión: 1 Pág. 4 de 10 Seguridad Informática: Conjunto de metodologías, políticas, técnicas, estrategias y procedimientos orientados a proteger un sistema informático procurado preservar la integridad, disponibilidad y confidencialidad de la información procesada en un sistema de computadoras. Sitios Web: (Website, en inglés) Lugar en Internet alojado en un servidor donde están múltiples páginas. Virus: Programa malicioso que puede incorporarse por sí mismo en un archivo o programa, e infectar una computadora sin el conocimiento del usuario. Para transmitirse de un equipo a otro no infectado, requiere de una acción del usuario. VPN: (Virtual Private Network) o Red Privada Virtual, es una tecnología de red que permite una extensión segura de la red local sobre una red pública o no controlada. 6. Método de Trabajo:

29 PROCEDIMIENTO ATENCIÓN DE SERVICIOS DE SEGURIDAD INFORMÁTICA Clave: PR-DGSTIC-DSInf-01 Revisión: 1 Pág. 5 de Diagrama de Flujo: INICIO Recibir solicitud de servicio y revisar que incluya el formato anexo de atención de servicios de seguridad informática. 1 Solicitud Atención de Servicios de Seguridad Informática FO-DGSTIC-DSInf-01 Solicitud por oficio, vía correo electrónico, vía telefónica o sistema de tickets: soporte.morelos.gob.mx. Revisar que el formato para la atención de servicios de seguridad informática venga llenado correctamente y contenga toda la información requerida para su atención. 2 FO-DGSTIC-DSInf-01 Contiene la información requerida para su atención? NO Notificar al usuario que su solicitud no cumple con lo necesario para ser atendida. La notificación puede ser vía oficio, correo electrónico, telefónica o sistema de tickets: soporte.morelos.gob.mx, dependiendo de cómo se haya recibido la solicitud. SI 3 4 Notificación del Servicio Determinar qué tipo de servicio es de acuerdo a la información del formato de Atención de Servicios de Seguridad Informática 5 FO-DGSTIC-DSInf-01 FIN La Información del formato hace referencia al tipo de servicio que se atiende (Ej.: Virus, Firewall, Accesos Web, VPN, IPS/IDS, etc.) 6

30 PROCEDIMIENTO ATENCIÓN DE SERVICIOS DE SEGURIDAD INFORMÁTICA Clave: PR-DGSTIC-DSInf-01 Revisión: 1 Pág. 6 de 10 Revisar que la solicitud incluya la autorización del Jefe inmediato para los casos que así se requiera. 6 Solicitud Oficio de Autorización La autorización debe incluir una breve justificación que responda a la preguntas Por qué? y Para qué?, aplica a las solicitudes donde se requiere el acceso a sitios (Paginas), Servidores, VPN, Aplicaciones y Servicios restringidos para la protección y salvaguarda de la información. En caso de que esta no se tenga para los casos que así requiera, se enviará Notificación del servicio al usuario. Turnar al responsable que llevará a cabo las acciones necesarias para su atención, conforme a las políticas, procedimientos o instructivos de trabajo internos con los que se cuenten. 7 La solicitud quedo resuelta? 8 NO Verificar que se haya informado al usuario las causas del por qué la solicitud no quedo resuelta. 9 Una solicitud puede no quedar resuelta debido a problemas ajenos, como son: conectividad, configuración del quipo de cómputo u otro no relacionado con lo solicitado. SI Verificar que se haya realizado la captura de la solicitud para llevar un registro en el sistema y archiva los documentos correspondientes. FO-DGSTIC-DSInf-02 FIN 10 11

31 PROCEDIMIENTO ATENCIÓN DE SERVICIOS DE SEGURIDAD INFORMÁTICA Clave: PR-DGSTIC-DSInf-01 Revisión: 1 Pág. 7 de 10 Verificar que se haya notificado al usuario que la solicitud ya fue atendida, especificando de manera general sobre el servicio que se proporcionó. 11 Notificación Del Servicio La notificación puede ser vía oficio, correo electrónico, telefónica o sistema de tickets: soporte.morelos.gob.mx, dependiendo de cómo se haya recibido la solicitud. FIN

32 PROCEDIMIENTO ATENCIÓN DE SERVICIOS DE SEGURIDAD INFORMÁTICA Clave: PR-DGSTIC-DSInf-01 Revisión: 1 Pág. 8 de Descripción de Actividades: Paso Responsable Actividad 1 Director de Seguridad Informática (DSInf) Recibe solicitud y revisa que incluya el formato Atención de Servicios de Seguridad Informática anexo de atención de servicios de seguridad Informática, necesarios para la realización del servicio. Nota: La solicitud puede ser vía oficio, correo electrónico, telefónica o sistema de tickets: soporte.morelos.gob.mx Tipo de Documento (No. de Control) Solicitud Atención de Servicios de Seguridad Informática FO-DGSTIC-DSInf-01 2 DSInf Revisa que el formato de atención de servicios de seguridad informática este requisitado correctamente y contenga toda la información requerida para su atención. FO-DGSTIC-DSInf-01 3 DSInf 4 DSInf 5 DSInf 6 DSInf 7 DSInf Contiene toda la información requerida para su atención? No, Ir a la actividad No. 4 Si, Ir a la actividad No. 5 Notifica al usuario que su solicitud no cumple con lo necesario para ser atendida y solicita complemente dicha información. Nota: La notificación puede ser vía oficio, correo electrónico, telefónica o sistema de tickets: soporte.morelos.gob.mx, dependiendo de cómo se haya recibido la solicitud. Con esta actividad da fin al procedimiento. Determina qué tipo de servicio se proporcionará de acuerdo a la información del formato de Atención de Servicios de Seguridad Informática y revisa si requiere oficio de autorización del Jefe inmediato. Nota: La Información del formato hace referencia al tipo de servicio que se atiende (Ej.: Virus, Firewall, Accesos Web, VPN, IPS/IDS, etc.) Revisa que la solicitud incluya la justificación y autorización del Jefe Inmediato para los casos que así se requiera. Nota: La autorización debe incluir una breve justificación que responda a las preguntas Por qué? y Para qué? y aplica a las solicitudes donde se requiere el acceso a sitios (páginas), servidores, VPN, aplicaciones, servicios restringidos para la protección y salvaguarda de la información. En caso de que esta no se tenga para los casos que así se requiera se enviará Notificación del servicio al usuario. Turna al responsable que llevará a cabo las acciones necesarias para su atención, conforme a las políticas, procedimientos o instructivos de trabajo internos con los que se cuente. Notificación del Servicio FO-DGSTIC-DSInf-01 Solicitud Oficio de Autorización.

33 PROCEDIMIENTO ATENCIÓN DE SERVICIOS DE SEGURIDAD INFORMÁTICA Paso Responsable Actividad 8 DSInf La solicitud quedó resuelta? No, Ir a la actividad No. 9 Si, Ir a la actividad No. 10 Clave: PR-DGSTIC-DSInf-01 Revisión: 1 Pág. 9 de 10 Tipo de Documento (No. de Control) Verifica que se haya informado al usuario las causas del por qué la solicitud no quedó resuelta. 9 DSInf Nota: Una solicitud puede no quedar resuelta debido a problemas ajenos, como son: conectividad, configuración del quipo de cómputo u otro no relacionado con lo solicitado. 10 DSInf 11 DSInf Con esta actividad da fin al procedimiento. Verifica que se haya realizado la captura de la solicitud en la bitácora de registro para la atención de incidentes de Seguridad Informática para llevar un registro en el sistema y archiva los documentos correspondientes. Verifica que se haya notificado al usuario que la solicitud ya fue atendida, especificando de manera general sobre el servicio que se proporcionó. Nota: La notificación puede ser vía oficio, correo electrónico, telefónica o sistema de tickets: soporte.morelos.gob.mx, dependiendo de cómo se haya recibido la solicitud. Con esta actividad da fin al procedimiento. FO-DGSTIC-DSInf-02 Notificación del Servicio

34 PROCEDIMIENTO ATENCIÓN DE SERVICIOS DE SEGURIDAD INFORMÁTICA Clave: PR-DGSTIC-DSInf-01 Revisión: 1 Pág. 10 de Registros de Calidad: No. Documentos (Clave) Responsabilidad de su Custodia Tiempo de Retención 1 Solicitud Director/a Seguridad Informática 5 años 2 Solicitud de Atención de Servicios de Seguridad Informática Director/a Seguridad Informática 5 años 3 Oficio de Autorización Director/a Seguridad Informática 5 años 4 Notificación del Servicio Director/a Seguridad Informática 5 años 5 Bitácora de registro para la atención de incidentes de Seguridad Informática. Director/a Seguridad Informática 5 años 8. Anexos: Anexo No Descripción Solicitud de Atención de servicios de Seguridad Informática. Bitácora de registro para la atención de incidentes de Seguridad Informática. Lineamientos en materia de Seguridad Informática en el Gobierno del Estado de Morelos Clave FO-DGSTIC-DSInf-01 FO-DGSTIC-DSInf-02 DT-DGSTIC-DSInf-01

35 FORMATO SOLICITUD DE ATENCION DE SERVICIOS DE SEGURIDAD INFORMATICA REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: FO-DGSTIC-DSInf-01 Revisión: 0 Anexo 1 Pág. 1 de 2 Fecha: Nombre del solicitante: Área/Departamento: Teléfono/Extensión: Dirección de Correo Electrónico: Domicilio: DATOS GENERALES Aceesos Web. (Permisos Internet). Firewall. (Accesos a la Red). Antivirus (Instalación, configuración y soporte). VPN (Cuentas de acceso remoto para la conexión a la red de gobierno desde Internet). IPS/IDS (Accesos no autorizados a la red de gobierno). TIPIFICACION DE INCIDENTES DE SEGURIDAD Spam (Mensajes no solicitados y de remitente desconocido). Otro. 7 DESCRIPCION DE LA SOLICITUD 8 Solicito: Autorizo: 9 10 (Usuario/a Nombre, Puesto) (Usuario/a Nombre, Puesto) Fecha: dd/mm/aa Fecha: dd/mm/aa

36 FORMATO SOLICITUD DE ATENCION DE SERVICIOS DE SEGURIDAD INFORMATICA REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: FO-DGSTIC-DSInf-01 Revisión: 0 Anexo 1 Pág. 2 de 2 INSTRUCCIONES DE LLENADO 1 Fecha CAMPOS ANOTAR Con número el año, mes y día en que el usuario llena la solicitud Nombre del solicitante Area / Departamento Teléfono / Extensión Dirección de correo electrónico Domicilio Tipificación de incidentes de seguridad Descripción de la solicitud Solicito Autorizo El nombre completo del usuario que hace la solicitud. El nombre completo de la dependencia en donde se encuentra el usuario que realiza la solicitud. El número telefónico y extensión en donde se puede localizar al usuario. La cuenta de correo electrónico oficial del usuario que hace la solicitud. El domicilio completo en donde se encuentra ubicada la dependencia. Con una X el tipo de incidente al que hace referencia la solicitud del usuario. Describir brevemente la problemática que se presenta o solicitud de servicio. Nombre completo y puesto/cargo del usuario que hace la solicitud. Nombre completo y puesto/cago del Jefe inmediato superior que autoriza la solicitud del usuario. REQUISITOS 1. Los datos contenidos en este formato deben corresponder a los del usuario que requiere la atención del servicio. 2. Todas las solicitudes para permitir y/o restringir accesos a Internet deberán incluir: URL, Dirección IP del usuario, nombre completo, dependencia y anexar autorización por escrito (Oficio) del jefe inmediato. 3. La autorización (Oficio) debe incluir una breve justificación que responda a las preguntas Por qué? y Para qué?, aplica a las solicitudes donde se requiere el acceso a sitios (Paginas), Servidores, VPN, aplicaciones y servicios restringidos para la protección y salvaguarda de la información. 4. La frecuencia de uso de este formato aplica siempre que se realice una solicitud para la atención de incidentes de seguridad, indistintamente el medio por el cual se haga acompañado el requerimiento (Oficio, correo electrónico, vía telefónica o sistema de tickets).

37 FORMATO BITÁCORA DE REGISTRO PARA LA ATENCIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA. REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: DT-DGSTIC-DSInf-01 Revisión: 0 Anexo 3 Pág. 1 de 2 BITACORA DE REGISTROS PARA LA ATENCION DE INCIDENTES DE SEGURIDAD INFORMATICA No. Solicitud Fecha de Solicitud Nombre del solicitante Área / Departamento Tipo de incidente Descripción No. Autorización Fecha de Atención Responsable

38 FORMATO BITÁCORA DE REGISTRO PARA LA ATENCIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA. REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: DT-DGSTIC-DSInf-01 Revisión: 0 Anexo 3 Pág. 2 de 2 DESCRIPCION DE CAMPOS CAMPOS DESCRIPCION 1 No. Solicitud El número de solicitud se asignará consecutivamente según se vayan recibiendo las solicitudes y es independiente al que se maneja en el sistema de tickets (soporte.morelos.gob.mx) ya que este número es únicamente para llevar un control interno de los incidentes de seguridad que son atendidos. 2 Fecha de solicitud Con número el año, mes y día en el que el usuario llevo a cabo su solicitud. 3 Nombre del solicitante Nombre completo del usuario que lleva a cabo la solicitud de servicio. 4 Área / Departamento El nombre completo de la dependencia en donde se encuentra el usuario que realiza la solicitud. 5 Tipo de incidente Tipificación del incidente al que hace referencia la solicitud. 6 Descripción Describir brevemente la problemática que se presenta o solicitud de servicio. 7 No. Autorización Número del oficio que se recibió con la autorización y justificación del jefe inmediato / responsable del área para la atención del servicio. 8 Fecha de atención Con número el año, mes y día en el que se atendió la solicitud. 9 Responsable Nombre completo de la persona que atendió la solicitud.

39 FORMATO LINEAMIENTOS EN MATERIA DE SEGURIDAD INFORMÁTICA EN EL GOBIERNO DEL ESTADO DE MORELOS REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: DT-DGSTIC-DSInf-01 Revisión: 0 Anexo 3 Pág. 1 de Propósito: Definir los lineamientos en materia de Seguridad Informática a las que deberán ajustarse los usuarios y administradores en el uso de la Infraestructura y servicios informáticos del Gobierno del Estado de Morelos. 2. Alcance: El presente documento es de observancia obligatoria para todas las Secretarías, Dependencias, Entidades, Organismos Descentralizados y Personal en general del Gobierno del Estado de Morelos. 3. Referencias: Este procedimiento está basado para su elaboración en: Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. Ley de Información Pública y Protección de datos Personales en el Estado de Morelos. Reglamento Interior de la Secretaria de Administración del Poder Ejecutivo del Estado de Morelos. Art. 18, Fracción I y VIII. Ley sobre adquisiciones, enajenaciones, arrendamientos y prestación de servicios del Poder Ejecutivo del Estado de Morelos, Art. 21 y Definiciones: Administrador: Son todas aquellas personas responsables de mantener la disponibilidad y la funcionalidad de la infraestructura y servicios de acuerdo a las necesidades de operación del Gobierno del Estado de Morelos. Ambiente de trabajo: Se refiere al conjunto de herramientas, utilerías, programas, aplicaciones e información que un usuario tiene disponible para el desempeño de sus funciones de manera controlada, en relación con los privilegios de su cuenta. Amenaza: Se le define a esta a todo elemento o acción capaz de atentar contra la seguridad de la información. Estas surgen a partir de la existencia de vulnerabilidades, es decir que una amenaza solo puede existir si existe una vulnerabilidad que pueda ser aprovechada, e independientemente de que se comprometa o no la seguridad de un sistema de información. Antivirus: Software especializado y diseñado para detectar, eliminar y prevenir intrusión de virus informáticos Aplicaciones: Son todos los sistemas desarrollados con la finalidad de automatizar los procesos sustantivos del Gobierno del Estado de Morelos. Activo de Información: Recurso de valor para el desarrollo de la actividad propia de la institución o dependencia que incluye la gestión de la información, el software para su tratamiento y los soportes físicos y lógicos de la información. Actualizaciones: Update en inglés. Módulo, paquete, hotfix o parche que permite actualizar una aplicación o un sistema operativo. Cadenas: Son mensajes enviados a través del servicio de correo electrónico que se caracterizan por solicitar dentro del cuerpo del mismo ser enviados a cierta cantidad de personas. Carpeta personal: Área de almacenamiento creada en la computadora personal del Usuario, donde se pueden almacenar mensajes del Correo Electrónico Institucional entre otros. Cifrar: Es el proceso de transformar un mensaje para ocultar su contenido, de tal manera que el receptor sea la única persona que pueda recuperar el mensaje original. Confidencialidad: Es uno de las características de la seguridad informática, el cual está encaminado a revelar el nivel y el tipo de información únicamente a las entidades autorizadas para acceder a la misma. Configuración de red: Son los valores asignados y las opciones habilitadas para el acceso a la red de un equipo de cómputo dentro de la infraestructura informática del Gobierno del Estado de Morelos. Contraseña: Son una serie de caracteres que en conjunto con una cuenta de usuario permiten el acceso a los recursos o servicios, misma que debe ser difícil de inferir por todas las personas a excepción del dueño de la cuenta. Contraseña de encendido: Es la contraseña asignada por el usuario, necesaria para que un equipo de cómputo inicie el proceso normal de encendido, y por lo tanto, la inicialización del Sistema Operativo. Control de Accesos Web: Es una aplicación de seguridad diseñada para bloquear y controlar los sitios en internet (Sitios Web), con diferentes finalidades: seguridad, rendimiento o performance de la red. Correo electrónico: Son el grupo de tecnologías encaminadas a habilitar un servicio que facilita el intercambio de mensajes, documentos e información de manera electrónica.

40 FORMATO LINEAMIENTOS EN MATERIA DE SEGURIDAD INFORMÁTICA EN EL GOBIERNO DEL ESTADO DE MORELOS REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: DT-DGSTIC-DSInf-01 Revisión: 0 Anexo 3 Pág. 2 de 10 Copia de Seguridad o Respaldo (Back up): Duplicado de información que suele guardarse en un sitio lógico y/o físico distinto de aquel en el cual reside la información original. La importancia de tener copias de seguridad radica en poder recuperar la información de forma íntegra frente a una contingencia. Cuenta de usuario: Es el identificador único y personal que está asociado a un usuario, mismo que en conjunto con una contraseña permite el acceso a recursos o servicios. Cuenta de dominio: Usuario y Contraseña que un usuario utiliza para acceder a la Red. Centro de Datos: Es un espacio exclusivo cuya misión es alojar y proveer el espacio adecuado para mantener un ambiente de operación apropiado para los equipos de procesamiento de datos, telecomunicaciones y otros sistemas de soporte, así mismo las área diseñadas deben proporcionar una infraestructura adecuada en base a estándares y mejores prácticas con la finalidad de aumentar la confiabilidad y asegurar la disponibilidad elevada de la información. Dial-Up: Acceso remoto que comúnmente utiliza un MODEM y una línea telefónica para acceder a una red Disco duro: es un dispositivo magnético que almacena todos los programas y datos de la computadora. Disponibilidad: Es uno de las características de la seguridad informática, encaminado a mantener los servicios habilitados y listos para su uso en el momento en que sean requeridos por los usuarios. DGSTIC: Dirección General de Soporte de Tecnologías de la Información y Comunicaciones. Dominio: Es el nombre que identifica un sitio web. Cada dominio tiene que ser único en Internet. Por ejemplo, " es el nombre de dominio de la página web de DGSTIC Morelos. Un solo servidor web puede servir múltiples páginas web de múltiples dominios, pero un dominio sólo puede apuntar a un servidor. Download: En español "Descargar" es la acción informática por la cual un archivo que no reside en la máquina de un usuario pasa a estarlo mediante una transferencia a través de una red desde otra computadora que sí lo alberga. Equipo de cómputo: Es un aparato electrónico que tiene el fin de recibir y procesar datos para la realización de diversas operaciones a partir de un grupo de instrucciones denominado programa. Encriptar: Es el proceso mediante el cual cierta información o texto sin formato es cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Es una medida de seguridad utilizada para que al momento de almacenar o transmitir información sensible ésta no pueda ser obtenida con facilidad por terceros. Firewall: Un firewall es una aplicación de seguridad diseñada para bloquear las conexiones en determinados puertos del sistema, independientemente de si el tráfico es benigno o maligno. Un firewall debería formar parte de una estrategia de seguridad estándar de múltiples niveles. Hardware: Son los componentes físicos que conforman un equipo de cómputo y más ampliamente de cualquier dispositivo electrónico. Integridad: Uno de los tres principios básicos (los otros dos son el principio de confidencialidad y el de disponibilidad) de la implementación de la seguridad de la información. La integridad implica que se debe salvaguardarse la totalidad y la exactitud de la información que se gestiona. Infraestructura: Son el grupo de componentes tecnológicos que habilitan y soportan los servicios informáticos. Internet: Conjunto de redes de computadoras que a nivel mundial son utilizadas para el intercambio de información. Intruso: Se designa así a la entidad que utilizando recursos tecnológicos obtiene acceso sin tenerlo permitido a bienes informáticos, de los cuales puede extraer información, con lo cual se compromete los principios o atributos de integridad, confidencialidad y autenticidad. Inalámbricos: (Wireless). Que no utiliza cables. Cualquier tecnología que permite una comunicación entre dispositivos sin ninguna conexión física visible IDS: (Intrusion Detection System) Un sistema de detección de intrusos es aquel que determina cada vez que se está intentando realizar una actividad ilegal contra el sistema y guarda la evidencia de esta actividad para que el administrador pueda verificar y tomar medidas posteriores al intento de ataque. IPS: (Intrusion Prevention System). Un sistema de prevención de intrusos (IPS) va más allá de la determinación de una actividad o posible actividad ilegal. El IPS además bloquea el host que está intentando realizar esta actividad determinada como ilegal de forma tal que aún en caso de que la actividad pueda ser potencialmente peligrosa, el atacante se quedará impedido de entrar al servicio que ofrecemos puesto que el IPS le bloquea a nivel de red. Lista de control de acceso: Es una lista donde se asignan permisos de acceso a los archivos y directorios por usuario.

41 FORMATO LINEAMIENTOS EN MATERIA DE SEGURIDAD INFORMÁTICA EN EL GOBIERNO DEL ESTADO DE MORELOS REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: DT-DGSTIC-DSInf-01 Revisión: 0 Anexo 3 Pág. 3 de 10 Lineamientos de seguridad: Mejor conocidas como: política de seguridad informática, es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización. Lista negra: (black list). Es una lista donde se registran las direcciones IPs que generan spam de forma voluntaria o involuntaria Incidente de Seguridad de Información: Se refiere a un evento adverso en un sistema de computadoras, o red de computadoras, que compromete la confidencialidad, integridad o disponibilidad de la información. Ingeniería social: Es un método basado en el engaño y la persuasión que puede llevarse a cabo a través de canales tecnológicos o bien en persona y que se utiliza para obtener información significativa o lograr que la víctima realice un determinado acto. Un ejemplo de la aplicación de esta técnica es el phishing. Mensajería instantánea: (Chats). Son aplicaciones o software que permiten comunicarse mediante el envío de mensajes en tiempo real, así como por medio del intercambio de archivos. Medio de almacenamiento: Es un dispositivo para grabar o almacenar información (datos). Modem: (MOdulador-DEModulador) Periférico de entrada/salida, que puede ser interno o externo a una computadora, y sirve para a conectar una línea telefónica con la computadora. Se utiliza para acceder a internet u otras redes, realizar llamadas, etc. Performance: Desempeño, rendimiento. Plan de Contingencia: Documento donde constan los procedimientos a seguir, la tecnología y las personas requeridas para la atención de la situación adversa y la recuperación de las actividades de la organización o dependencia frente a la ocurrencia de un desastre, plasmados en una estrategia de continuidad de las operaciones Periféricos: Son todos los dispositivos que están conectados físicamente a un equipo de cómputo. Proxy: Es un ordenador que intercepta las conexiones de red que un cliente hace a un servidor de destino. Protector de pantalla: Se trata de un programa que se ejecuta después de un periodo de tiempo determinado y de manera automática, a falta de la presencia de un operador. Política de Seguridad: (PSI). Conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en términos generales qué está y qué no está permitido en el área de seguridad durante la operación general de dicho sistema. Phishing: Es la técnica diseñada para obtener información confidencial, como lo son números de tarjetas de crédito, claves de acceso, datos de cuentas bancarias u otros datos personales. Este tipo de fraude se realiza en la mayoría de los casos a través de mensajes de correo electrónico. Dichos mensajes contienen enlaces a páginas web que son una réplica de la página web de la organización por la cual se hace pasar el estafador. En dicha página web falsa se solicita algún tipo de información confidencial que puede ser usada para hacer compras, solicitar crédito o, en el peor de los casos, robo de identidad Riesgo: Es la posibilidad de que una amenaza aproveche una vulnerabilidad y dañe un activo de información Redes Sociales: Comunidad de usuarios en línea (que acceden a un sitio web) que comparten intereses e interactúan entre ellos compartiendo contenidos en la red. Sitios tales como Facebook, Myspace, LinkedIn, Sonico, Hi5 y otros similares constituyen ejemplos de redes de este tipo. Red: Grupo de bienes informáticos que comparten información, recursos y servicios. Ruteador: Dispositivo hardware o software para interconexión de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la información de la capa de red. Seguridad Lógica: Es todo lo relacionado con la protección de los datos, proceso y programas, así como la del acceso ordenado y autorizado de los usuarios a la Información. Seguridad Física: Es todo lo relacionado con la seguridad, la prevención de riesgos y protección de los recursos físicos informáticos, incluyendo la protección a los accesos al centro de datos. Servidor: Es un nodo que, formando parte de una red, provee servicios a otros nodos denominados clientes. SPAM: Se conocen con el nombre de correo SPAM los mensajes no solicitados y de remitente desconocido, habitualmente con contenido publicitario, enviados en cantidades masivas. Estos mensajes tienen como objetivo enviar mails con phishing para efectuar fraudes, recolectar datos personales, persuadir al usuario para que descargue código malicioso, saturar las redes y, en el mejor de los casos, promocionar y comercializar un producto o servicio.

42 FORMATO LINEAMIENTOS EN MATERIA DE SEGURIDAD INFORMÁTICA EN EL GOBIERNO DEL ESTADO DE MORELOS REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: DT-DGSTIC-DSInf-01 Revisión: 0 Anexo 3 Pág. 4 de 10 Spyware: Programa que se instala en forma oculta en una computadora para monitorear, interceptar o tomar control de la interacción del usuario con la computadora, sin que éste tenga conocimiento de esas acciones. Este código malicioso puede recolectar información ingresada en formularios en la web, los sitios que se visitan y también interferir con el control del equipo mediante la instalación de software adicional, la redirección de ciertos sitios web o el despliegue de publicidades y anuncios no solicitados. Software: Termino general que designa los diversos tipos de programas utilizados en computación. Sitios Web: (Website, en inglés). Lugar en Internet alojado en un servidor donde están múltiples páginas. Seguridad Informática: Conjunto de metodologías, políticas, técnicas, estrategias y procedimientos orientados a proteger un sistema informático procurado preservar la integridad, disponibilidad y confidencialidad de la información procesada en un sistema de computadoras. Servicios: Son todas las aplicaciones que están habilitadas y soportadas en la infraestructura tecnológica Institucional. Sistema operativo: Es un conjunto de programas de computadora, destinado a permitir una administración eficaz de los recursos de un equipo de cómputo. Switch: Es el dispositivo analógico que permite interconectar redes operando en la capa 2 o de nivel de enlace de datos del modelo OSI u Open Systems Interconnection. Un conmutador interconecta dos o más partes de una red, funcionando como un puente que transmite datos de un segmento a otro. Su empleo es muy común cuando existe el propósito de conectar múltiples redes entre sí para que funcionen como una sola. Twist look: Es una pieza metálica que forma parte del equipo de estiba y seguridad de los contenedores. Es un elemento que permite la sujeción entre contenedores, encajando unos con otros. URSI: Unidad Responsable de Soporte Informático UPS: Es una fuente de suministro eléctrico que posee una batería con el fin de seguir dando energía a un dispositivo en el caso de interrupción eléctrica. Los UPS son llamados en español SAI (Sistema de alimentación ininterrumpida). UPS significa en inglés Uninterruptible Power Supply. Upload: En español subir es la acción informática por la cual se transmiten datos de un ordenador a un foro, red, etc. Vulnerabilidad: debilidad en un activo que lo hace susceptible de ser atacado. VPN: Virtual Protocol Network. Virus: Programa malicioso que puede incorporarse por sí mismo en un archivo o programa, e infectar una computadora sin el conocimiento del usuario. Para transmitirse de un equipo a otro no infectado, requiere de una acción del usuario. 6. Lineamientos: 6.1 Consideraciones Generales: Los lineamientos contenidos en el presente documento son de observancia general y obligatoria para todas las secretarías y dependencias del poder ejecutivo central, que utilice y/o administre sobre la infraestructura y servicios informáticos dentro de las instalaciones de cada dependencia y dependencias Las violaciones que lleven a cabo los usuarios a los lineamientos definidos en el presente documento, pueden resultar en acciones de tipo disciplinario que determine el área de Recursos Humanos de la Secretaría de Administración Los usuarios deberán apoyarse de su URSI correspondiente y/o de la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones para la adecuada aplicación de los lineamientos que se establecen en el presente documento Los usuarios deben estar al pendiente de la presencia de personas extrañas, sin identificación visible dentro de las instalaciones del Poder Ejecutivo Central y en ese caso reportar inmediatamente a la Seguridad Cualquier solicitud y/o duda relacionada con la conexión y desconexión de equipos de computo dentro del centro de datos, especificaciones técnicas de cableado, suministro eléctrico, dispositivos de comunicaciones, aire acondicionado, tipo contactos, voltaje, UPS, deberá ser consultada a la URSI correspondiente y/o a través de la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones quien aprobara y/o establecerá la forma más conveniente para realizarla.

43 FORMATO LINEAMIENTOS EN MATERIA DE SEGURIDAD INFORMÁTICA EN EL GOBIERNO DEL ESTADO DE MORELOS REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: DT-DGSTIC-DSInf-01 Revisión: 0 Anexo 3 Pág. 5 de Todas las Dependencia y/o Secretaria del Poder Ejecutivo Central, que por sus facultades administrativas soliciten y/o pretendan adquirir dispositivos de Seguridad (Firewall, IPS/IDS, Antivirus, Aplicaciones de Control de Acceso, etc.) deberán apoyarse de la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones para la revisión, validación y dictaminación de los mismos, en base a los lineamientos y políticas establecidas con la finalidad de dar apoyo en el cumplimiento a las necesidades de operación de la Dependencia y/o Secretaria que lo solicita. Así mismo, las propuestas que generen los usuarios para la compra de equipo de seguridad deben ser de Proveedores y Marcas reconocidas y registradas y los contratos para la compra y/o adquisición de estos equipos, deberán incluir la parte de licenciamiento, soporte técnico y actualizaciones por al menos 2 años Los usuarios deberán solicitar Soporte Técnico a su URSI y/o a Dirección General de Soporte de Tecnologías de la Información y Comunicaciones en cualquiera de los siguientes casos: Cuando sospechen que su equipo se encuentra infectado por algún virus informático. Cuando requieran la instalación de un nuevo Software. Cuando requieran el alta, baja o cambio de cuentas de usuario, para el acceso a la red, sistemas operativos o aplicaciones. Cuando soliciten acceder a un sitio/s específico/s en Internet y que se encuentre establecido en la política de seguridad como un sitio no seguro o definidos como restringidos para la protección y salvaguarda de la información. Cuando tengan problemas para acceder a un servicio y/o aplicación dentro de la red. Cuando requieran solicitar el uso y configuración de una cuenta de acceso remoto vía Internet (VPN) para acceder a los recursos de la red. Cuando su equipo tenga alguna falla de hardware. Cuando soliciten mantenimiento del equipo de cómputo y/o periféricos. Cuando necesiten introducir algún equipo de cómputo al centro de datos. Cuando requieran el alta, baja o cambio de cuentas de usuario, para el acceso al centro de datos Todas las solicitudes que se realicen a la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones a través de la Dirección de Seguridad Informática para la atención de servicios en materia de seguridad informática deberá llevarse a cabo vía oficio, correo electrónico o sistema de tickets (soporte.morelos.gob.mx) y deberán incluir la solicitud para la atención de servicios de seguridad informática que se encuentra disponible en el sistema de Tickets El Secretario, Director General, Directores, Coordinadores, Contralor Interno, Subdirectores serán los únicos que podrán autorizar o cancelar el acceso al servicio de Internet y solicitar asignación de cuentas de acceso VPN del personal que se encuentre a su cargo. La solicitud deberá anexar la justificación y autorización (Oficio) del jefe inmediato superior, este deberá incluir una breve justificación que responda a las preguntas Por qué? y Para qué? 6.2. Para el acceso a la red de Gobierno y uso de los recursos informáticos: El personal y/o dependencia que requiera de los servicios de personal externo (Auditores, Proveedores, etc.) y que utilice un equipo dentro de la red del Gobierno del Estado, se asegurará de que al prestar sus servicios de manera permanente o temporal cumpla con los lineamientos establecidos en el presente documento y hagan buen uso de los recursos que se le confieran Los usuarios podrán utilizar la red del Gobierno del Estado, única y exclusivamente para acceder a los equipos locales o remotos a los que tengan autorización Los usuarios deberán asegurarse de que el equipo de cómputo que utilizan para conectarse a la red se encuentre libre de virus informáticos, cuente con un antivirus instalado y actualizado, así como con todas las actualizaciones del sistema operativo correspondientes Los usuarios que se conectan a la red a través de dispositivos inalámbricos, deberán asegurarse de que la comunicación establecida sea cifrada.

44 FORMATO LINEAMIENTOS EN MATERIA DE SEGURIDAD INFORMÁTICA EN EL GOBIERNO DEL ESTADO DE MORELOS REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: DT-DGSTIC-DSInf-01 Revisión: 0 Anexo 3 Pág. 6 de Los recursos disponibles a través de la red, serán de uso exclusivo para asuntos relacionados con las actividades sustantivas al ámbito laboral, teniendo estrictamente prohibido utilizar el Internet de manera que puedan deshonrar al Gobierno del Estado de Morelos o causar disgusto, vergüenza o turbación a sus servidores públicos, prestadores de servicio y usuarios en general Los usuarios tienen estrictamente prohibido el acceso a sitios web de entretenimiento, como son: juegos, música, videos, imágenes, deportes, sexo, pornográfica, redes sociales, chats y todas aquellas definidas en la política de seguridad que determine la DGSTIC y que no tienen relación con las funciones o actividades que el servidor público o usuario realiza para desempeñar su trabajo Los usuarios tienen estrictamente prohibido el uso de servidores Proxy Los usuarios tienen estrictamente prohibido otorgar (transferencia de privilegios) los accesos a Internet a personal no autorizado, asignados previamente al personal que haya causado baja de alguna Dependencia y/o Secretaría Los usuarios tienen estrictamente prohibido efectuar un download para: Poseer, distribuir o copiar software o datos ilegales (piratas) con derechos reservados de copia (copyright) en conocimiento de ello, utilizando las facilidades de la Red de Gobierno Estatal, como por ejemplo: programas de computación, documentos, fotografías, piezas de música, videos, etc. Es una clara infracción a los derechos de copia, salvo que se tenga debidamente autorizado por quien tiene esos derechos (Autor u Organismo). El usuario es responsable de checar antes de utilizar archivos obtenidos por medio de download o de cualquier otro mecanismo que inspire desconfianza, la no existencia de virus. Obtener archivos de tipo imagen, audio o video desde internet utilizando las facilidades de la Red de Gobierno estatal, excepto para casos estrictamente autorizados y de uso relacionado con actividades propias de la operación. En este caso, deberá realizarse fuera de horas pico y acordadas con la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones (DGSTIC) Los usuarios tienen estrictamente prohibido efectuar un Upload y/o ningún otro tipo de transferencia de software o datos licenciados por o de propiedad del Gobierno del Estado o cualquier dato que se aloje en directorios personales, sin la autorización de su correspondiente Dirección Las operaciones realizadas a través de Internet pueden generar responsabilidad por parte de las dependencias del Poder Ejecutivo central, por lo que los usuarios que tengan acceso a Internet a través de los servicios para ello, podrán ser sujetos en cualquier momento de monitoreo supervisión por parte de la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones o a través de la Dirección de Seguridad Informática Para el uso y configuración de los equipos de cómputo: Los usuarios no deben alterar la configuración de red que les fue asignada al momento de la instalación de su equipo Los usuarios deben verificar que su equipo de cómputo tenga configurado el protector de pantalla con contraseña, con la finalidad de evitar el acceso no autorizado a su información en caso de retiro temporal o en su defecto bloquear la sesión de usuario Los usuarios deben asignar contraseñas personalizadas, estableciendo los permisos de lectura y escritura, o utilizar la lista de control de acceso personalizado cuando requieran compartir archivos a través de la red con otros usuarios Los usuarios son los responsables de la información contenida en discos duros y demás medios de almacenamiento con los que cuente su equipo, por tanto, son los únicos responsables de respaldar periódicamente y recuperar su información en caso de alguna eventualidad.

45 FORMATO LINEAMIENTOS EN MATERIA DE SEGURIDAD INFORMÁTICA EN EL GOBIERNO DEL ESTADO DE MORELOS REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: DT-DGSTIC-DSInf-01 Revisión: 0 Anexo 3 Pág. 7 de Los usuarios deberán utilizar únicamente el software institucional bajo su resguardo con su respectiva licencia de uso, únicamente para la realización de sus funciones laborales, por ningún motivo podrán instalar software que no sea autorizado por la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones (DGSTIC), ni desinstalar software que les haya sido instalado previamente Los usuarios deberán notificar los movimientos en caso de que existan, extravío o robo del equipo de cómputo y/o periféricos que tengan bajo su resguardo a las áreas que administran los bienes, así como a la Unidad Responsable de Soporte Informático (URSI) Los usuarios deben proteger sus equipos de fallas de potencia u otras anomalías de tipo eléctrico. Los sistemas de abastecimiento de potencia deben cumplir con las especificaciones de los fabricantes de los equipos Los usuarios son responsables por el uso y conservación del equipo de cómputo que tengan bajo su resguardo Los usuarios por ningún motivo podrán quitar o cambiar componentes de los equipos de cómputo que tengan asignados Los usuarios deberán mantener sus equipos de cómputo dentro de su área de trabajo y ubicarlos en lugares y/o muebles que no representen riesgo de daño físico Los usuarios deben utilizar los equipos de cómputo, periféricos y el software que tengan instalado, sólo para el desempeño de las actividades que le fueron conferidas, relacionadas con el desempeño de su empleo, cargo o comisión Los usuarios no deben fumar, tomar bebidas o ingerir alimentos en las áreas donde se encuentren instalados los equipos de cómputo y/o periféricos, ya que estos pueden sufrir daños significativos Los usuarios son los responsables de la protección física de los equipos de cómputo y periféricos que tengan bajo su resguardo, bajo ese entendido, no deben causar daño físico a los mismos. Aquellos que sean sorprendidos en un hecho de este tipo, serán remitidos a las autoridades pertinentes Los usuarios no deben alterar o dañar los identificadores de los equipos de cómputo y/o sus periféricos, tales como números de serie, números de inventarios, licencia del sistema operativo y otros que hayan sido instalados para un propósito específico Las computadoras, estaciones de trabajo y módems podrán conectarse mediante clavija polarizada (3 hilos) No se deberán emplear barras multicontactos, debido a que por sobrecarga pueden ocasionar la interrupción inesperada de algún equipo de operación critica conectado a este mismo circuito Los usuarios no deben nunca enviar información clasificada como altamente confidencial a una impresora de la red, sin que exista una persona autorizada para cuidarla durante y después de la impresión Los usuarios deberán enviar información sensitiva o confidencial vía fax o Módems solo cuando no existan otros medios que confieran una mejor seguridad, ambos, el dueño y el receptor deben autorizar la transmisión de antemano Para el uso del servicio de correo electrónico: Los usuarios deberán reportar cualquier abuso o problema con el buen uso y manejo de las cuentas de correo electrónico a la Dirección General de Soporte de tecnologías de la Información y Comunicaciones

46 FORMATO LINEAMIENTOS EN MATERIA DE SEGURIDAD INFORMÁTICA EN EL GOBIERNO DEL ESTADO DE MORELOS REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: DT-DGSTIC-DSInf-01 Revisión: 0 Anexo 3 Pág. 8 de Los usuarios deberán utilizar los servicios de correo electrónico única y exclusivamente para propósitos de comunicación, relacionados estrictamente con las actividades laborales y funciones asignadas en particular a cada usuario Los usuarios son completa e íntegramente responsables sobre todas las actividades realizadas con sus cuentas de correo electrónico, dejando al Poder Ejecutivo Central fuera de cualquier responsabilidad penal o civil en la cual incurriera Los usuarios tienen estrictamente prohibido facilitar u ofrecer su cuenta de correo electrónico a personas no autorizadas, su cuenta es personal e intransferible Los usuarios tienen estrictamente prohibido abrir correos de dudosa procedencia o no solicitados Los usuarios tienen estrictamente prohibido el envió de información encriptado a través de su cuenta de correo electrónico a menos que sea autorizada por la Dirección General de Tecnologías de la Información y Comunicaciones Los usuarios serán los responsables del perjuicio que pueda ocasionarle el no poder recibir o enviar más correos en caso de que se agote el espacio que tiene asignado Los usuarios deberán utilizar un cliente de correo como: Outlook que permite descargar su información a través de carpetas personales, liberando espacio en su buzón para una mejor administración de la cuenta Los usuarios deberán mantener su recipiente de elementos eliminados continuamente vacio, ya que esto representa espacio de correo utilizado innecesariamente, debido a que implica la saturación de la capacidad de almacenamiento del servidor o el equipo de cómputo Los usuarios tienen estrictamente prohibido el envío masivo de correos electrónicos ya que esto pone en riesgo el servicio al ser identificado como Spam y catalogado dentro de las Listas Negras empleadas para el bloqueo del dominio completo por otros servicios de correo El único servicio de correo electrónico que se tiene autorizado para el envío y recepción de información dentro del Gobierno del Estado es el que pertenece al dominio: morelos.gob.mx Las cuentas de correo electrónico dadas de alta bajo el dominio: morelos.gob.mx contarán con la siguiente estructura: primer nombre + primero apellido del usuario, Ejemplo: gustavo.perez@morelos.gob.mx En caso de que ya exista se utilizaran variantes con el nombre o usando el apellido materno Todos los usuarios del Poder Ejecutivo Central, indistintamente de la plaza que tenga o tipo de contratación tienen derecho a contar con una cuenta de correo electrónico bajo el dominio: morelos.gob.mx siempre y cuando cuenten con un equipo conectado a la red y este tenga Internet Los archivos que sean enviados por correo electrónico y que por sus características, imágenes, datos, etc., sean de gran tamaño, deberán estar comprimidos a fin de reducir el tiempo de envío y recepción.

47 FORMATO LINEAMIENTOS EN MATERIA DE SEGURIDAD INFORMÁTICA EN EL GOBIERNO DEL ESTADO DE MORELOS REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: DT-DGSTIC-DSInf-01 Revisión: 0 Anexo 3 Pág. 9 de Los usuarios tienen estrictamente prohibidas las siguientes actividades: Utilizar el correo electrónico para cualquier propósito comercial o financiero Participar en la propagación de cadenas de índole político, religioso, etc. Distribuir de forma masiva grandes cantidades de mensajes con contenidos inapropiados. Difundir o utilizar el correo electrónico para dañar la moral, insultar o difamar a cualquier persona, instituto, grupo político, religioso, civil, etc Los usuarios tienen estrictamente prohibido enviar cualquier tipo de información personal como: información de identidad, información sobre cuentas bancarias, nip o usuarios y claves de accesos, esta información generalmente es solicitada con uso fraudulento por un atacante, nunca será solicitada por una empresa, institución o banco. Este tipo de correos son considerados como Phishing (robo de identidad) Todos los correos pueden ser monitoreados Para el uso enlaces a Internet distintos a los que provee la DGSTIC (Red de Gobierno): Los usuarios no podrán hacer uso de accesos telefónicos (dial-up), enlaces ADSL u otros para acceder a Internet diferentes a los que la Dirección General de Soporte de Tecnologías y Comunicaciones tiene contemplado para dicho propósito, ya que se compromete la seguridad de la información. (ó en caso de que si se trabaje de esta forma definir una política de seguridad en coordinación con la Dirección de Seguridad para la interconexión a la red del gobierno y acceso a los servicios y aplicaciones) El uso de conexiones remotas vía Internet hacia la red del Gobierno del Estado por parte de algún usuario y/o administrador de sistemas deberá ser justificado y solicitado por escrito a la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones para previa revisión y autorización. Cuando se trate de un proveedor, la solicitud deberá originarse de una Secretaria o Dependencia del Poder Ejecutivo Central, la cual fungirá como responsable del uso que se le dé a la cuenta Para el uso de Centros de Datos: Los centros de datos de Oficinas Centrales permanecerán cerradas con el fin de resguardar de sabotaje los equipos de computo y telecomunicaciones e información (ruteadores, switches, concentradores, firewalls, etc.) y su acceso será controlado, por tal motivo, el acceso a los mismos con fines de mantenimiento, instalación o desinstalación, deberá ser solicitado previamente vía oficio o con 24 horas de anticipación a la Dirección General de Soporte de Tecnologías de la Información y Comunicaciones (DGSTIC) Los centros de datos escogidos para colocar los sistemas de información, equipos de cómputo y comunicaciones, deberán estar protegidos por barreras y controles físicos (salidas de emergencia, cámaras de vigilancia, alarmas sonoras, detectores de calor y humo, tecnologías de autenticación para el acceso) para evitar intrusión física, inundaciones, incendios, y otro tipo de amenazas que afecten su normal operación Los sistemas de control de acceso utilizados para la autenticación de los usuarios autorizados a los centros de datos, deberán permitir la consulta y el acceso por áreas, fechas y horarios de trabajo, así mismo, deberá establecer un registro histórico de entradas y salidas Los centros de datos deben adoptar y mantener al día controles para minimizar el riesgo potencial de Interferencia eléctrica y/o radiación electromagnética. El cableado de la red debe ser protegido de interferencias, por ejemplo usando canaletas y/o ducteria que lo protejan. Los cables de potencia deben estar separados de los de comunicaciones Todos los equipos que se instalen dentro de las instalaciones del centro de datos deberán contar con terminal para conectarse a tierra física, para evitar corrientes adversas y mantener condiciones de seguridad para el usuario y/o equipo Los usuarios no deben conectar equipo considerado como cargas resistivas y/o inductivas (calentadores, taladros, motores, soldaduras, etc.) en contactos regulados.

48 FORMATO LINEAMIENTOS EN MATERIA DE SEGURIDAD INFORMÁTICA EN EL GOBIERNO DEL ESTADO DE MORELOS REFERENCIAS: PR-DGSTIC-DSInf-01 Clave: DT-DGSTIC-DSInf-01 Revisión: 0 Anexo 3 Pág. 10 de Los equipos computo y telecomunicaciones a instalar no deben obstruir los accesos a las salidas de emergencia No deberá instalarse equipo con un peso concentrado y/o rodante mayor de 250kg/m La estructura de falso plafón no deberá usarse como soporte para equipo o cableado En caso de requerir el uso de algún equipo o herramienta considerada como carga capacitiva y/o inductiva, deberán ser conectados en contactos de energía eléctrica de emergencia No introducir líquidos, los cuales al derramarse puedan ocasionar fallas y/o corto circuito en las instalaciones eléctricas bajo el piso falso El tamaño del área para un centro de datos será determinado por la cantidad de hardware necesario para el procesamiento y almacenamiento de la información. Los requerimientos de tipo ambiental deben ser especificados por los diferentes fabricantes de los equipos. Las medidas de seguridad que se deben tomar, dependerán directamente del valor de los activos de información, su nivel de confidencialidad y los valores requeridos de disponibilidad Los centros de datos deben contar con aire acondicionado de precisión, con el fin de proporcionar condiciones de temperatura y humedad favorables para la buena operación de los equipos de cómputo y telecomunicaciones No deben existir indicadores, ni señales de ningún tipo sobre la ubicación del centro de datos No se permite tomar fotografías al interior del centro de datos Deberán resguardarse y controlarse todas las áreas donde exista equipos de comunicaciones información (ruteadores, switches, concentradores, firewalls, etc.) de la Red Estatal, tales como: Centros de datos, Municipios y Oficinas de enlace Los centros de datos, deberán mantenerse siempre limpios, libres de material inflamable, no almacenar cajas de papel y equipo de manera permanente Los centros de datos y áreas de telecomunicaciones deberán contar con dos tipos de suministro eléctrico: suministro eléctrico de emergencia y suministro eléctrico regulado e ininterrumpido Los centros de datos y áreas de telecomunicaciones deberán contar con los siguientes tipos de servicio eléctrico de energía regulada: monofásicos, Bifásico y trifásico Todos los equipos de operación crítica deberán ser conectados al suministro eléctrico regulado e ininterrumpido El suministro eléctrico a servidores y racks de telecomunicaciones deberá realizarse por medio de conexión de seguridad tipo Twist Look, dependiendo de las especificaciones del fabricante Solo tendrán acceso los centros de datos los operadores del sistema de la Red Estatal, los administradores de aplicaciones o servidores residentes y el personal que designe la Dirección General de Soporte de tecnologías y Comunicaciones o su URSI.