Política de Seguridad de la Información Sectorial

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Política de Seguridad de la Información Sectorial"

Transcripción

1 Política de Seguridad de la Información Sectorial Contenido OBJETIVO ALCANCE RESPONSABILIDADES CONTENIDO POLÍTICAS Y PRÁCTICAS INSTITUCIONALES DE SEGURIDAD DE INFORMACION Comité de Seguridad de la Información Asignación de Responsabilidades de Seguridad de la Información Facilidades para el procesamiento de datos Cooperación entre organizaciones Revisión Independiente de Seguridad de la Información Seguridad de acceso a terceros Contratos con terceros y servicios de Outsourcing Servicios de Outsourcing Inventario de activos de Información Clasificación de la información Etiquetado y manejo de la información Descripción de responsabilidades de seguridad Capacitación a usuarios Cultura de Seguridad de la Información Respuesta a Incidentes Facilidades para el procesamiento de datos Controles de acceso físico Seguridad en Oficinas Áreas de carga y descarga Seguridad de la infraestructura Escritorio Limpio Procedimientos operacionales Control de Cambios Manejo de incidentes Segregación de responsabilidades Planeación y aceptación de sistemas Uso de equipo de cómputo Protección contra software malicioso Protección de equipo de cómputo de usuarios críticos Integridad y disponibilidad de información Operación y administración de redes Administración de medios Intercambio de información Control de Acceso a la Información Administración de Identidades Responsabilidades del usuario Control de acceso a las redes Control de acceso a sistemas operativos Control de acceso a aplicaciones Monitoreo de sistemas

2 Cómputo móvil Especificaciones de los requerimientos de seguridad Seguridad en las aplicaciones Control de Cambios Administración de la Continuidad del Negocio Análisis de Impacto Documentación e implantación del plan de continuidad Prueba y mantenimiento Cumplimiento Legal Revisiones de Seguridad 6. SANCIONES

3 1. OBJETIVO Establecer las Políticas, prácticas y lineamientos Unidades de TI Secretaría del Agua y Obra Pública. 2. ALCANCE Las prácticas y lineamientos de Seguridad de la información de esta Política están orientadas a proteger en todo momento y circunstancia, los datos e información contra los riesgos de robo, divulgación, acceso no autorizado, modificación, pérdida, interrupción o mal uso, producidas en forma intencional o accidental. Aplica a todas las Unidades Administrativas del Sector, así como a las personas que directa o indirectamente, prestan sus servicios profesionales dentro de la misma y a toda la información obtenida, creada, procesada, almacenada o intercambiada dentro de la Dependencia RESPONSABILIDADES De acuerdo al manual general de Organización vigente la Coordinación de la UIPPEI (Coordinación Sectorial de TI) y las Unidades de TI del Sector son responsable de: a) Analizar y evaluar los riesgos de seguridad a los que está expuesta cada Unidad Administrativa para que la Oficina del C. Secretario determine los niveles de riesgos permitidos y las estrategias de protección a seguir. b) Desarrollar las Normas, Prácticas y Estándares de Seguridad de la Información que deberá adoptar la dependencia para la protección de los activos de información, su confidencialidad, integridad y disponibilidad. c) Coordinar y evaluar iniciativas, proyectos y planes institucionales de Seguridad de la Información de la Secretaría, así como crear y fomentar una cultura de trabajo orientada a la protección de la información. d) Adoptar las mejores prácticas y en su caso certificar, asegurar y soportar la implantación de las normas y estándares institucionales de Seguridad de la Información en cada Unidad Administrativa. 3.2 Las Unidades de TI del sector tienen las siguientes responsabilidades: a) Evaluar y seleccionar las herramientas de seguridad informática b) Definir los estándares tecnológicos de seguridad informática. c) Impulsar y promover la implantación de controles tecnológicos para proteger la información. Todas las personas que presten directa o indirectamente, sus servicios profesionales o de trabajo para la Secretaría, sin importar su función o jerarquía, son responsables por el cumplimiento de las políticas, normas y estándares institucionales de seguridad establecidos por el Comité Sectorial de TI, así como de las disposiciones, regulaciones o leyes a las que pudiera estar sometida. 4. CONTENIDO Cumplimiento El cumplimiento de las políticas, prácticas y lineamientos de seguridad de la información es obligatorio. Si un individuo u área viola las disposiciones de estas Políticas, por negligencia o intencionalmente, la alta Dirección de cada unidad administrativa en conjunto con el área de Recursos Humanos y en su caso el área jurídica se reserva el derecho de tomar las medidas correspondientes, tales como acciones disciplinarias internas, acciones legales, u otras que tuviera lugar. Excepciones Las excepciones a cualquier directriz deben ser aprobadas por la Comité Sectorial de TI y la Alta Dirección. Todas las excepciones a la Política deben

4 ser formalmente documentadas, registradas y comunicadas al Comité Sectorial de TI y a la Alta Dirección para su conocimiento y revisión. En los casos en donde la Unidad Administrativa se encuentre sujeta a regulaciones especiales o disposiciones legales en materia de seguridad de la información, podrán ampliar, modificar o excluir aquellas normas del Sector que contravengan las obligaciones a las que está sujeta, previa documentación y comunicación del área afectada a la Coordinación Sectorial de TI. Aplicabilidad Estas políticas y prácticas aplican a todo el personal, tanto interno como externo de las diferentes Unidades Administrativas del Sector. Los consultores, contratistas, temporales, clientes o terceras partes que acceden activos de información están sujetos a los mismos requerimientos de seguridad, y tienen las mismas responsabilidades de seguridad de información que el personal interno. Todos los individuos están obligados a continuar protegiendo la información propiedad privada de esta Dependencia aún después de terminada su relación laboral. Administración de las Políticas Las Políticas de seguridad de información, tanto generales como particulares deben ser revisadas por la Coordinación Sectorial de TI de forma periódica y como mínimo, una vez al año. Referencias Este documento esta basado en la norma ISO 17799, Antes BS7799-1:2005 (BS ISO/IEC 27001:2005) Código de Práctica para la Administración de Seguridad de Información con la finalidad de cumplir con los estándares internacionales en la materia. 5. POLÍTICAS Y PRÁCTICAS INSTITUCIONALES DE SEGURIDAD DE INFORMACION Comité de Seguridad de la Información La Seguridad de la Información debe ser entendida como una responsabilidad de todas las unidades administrativas que tiene que ser compartida por todos los integrantes de la Alta Dirección de la Dependencia La Dependencia debe establecer y formalizar un comité directivo que garantice la clara dirección, soporte y promoción de las iniciativas de Seguridad de la Información de las unidades administrativas Este comité será responsable de: a) Soportar las Políticas y Prácticas Institucionales de Seguridad de la Información definidas por el Comité Sectorial de TI. b) Revisar y aprobar las políticas y procedimientos de Seguridad de la información particulares para cumplir con regulaciones, leyes, obligaciones o disposiciones externas a las que está sujeta la Empresa. c) Monitorear cambios significativos en la exposición al riesgo por parte del activo de información críticos. d) Aprobar iniciativas particulares de seguridad de la información en la Unidad de Negocio Este Comité deberá ser presidido por algún miembro de la alta Dirección de la Dependencia e integrado al menos, por los responsables de las áreas de Finanzas, TI y Recursos Humanos. Se recomienda la participación de los responsables de las áreas de Jurídico y Contraloría Interna.

5 Asignación de Responsabilidades de Seguridad de la Información Las responsabilidades para la protección de activos de información y la conducción de procesos específicos de seguridad deben estar claramente definidas y comunicadas Los dueños o propietarios de la información son los responsables directos de la implantación de controles para la protección de los activos. Podrán delegar esta responsabilidad a otra persona, documentando y comunicándola apropiadamente, sin embargo, los dueños de la información nunca perderán su condición de responsables del activo Todas las personas que tengan bajo su responsabilidad un área dentro de la dependencia, deben identificar los activos de información que manejan y las obligaciones individuales de sus colaboradores Facilidades para el procesamiento de datos En caso de que alguna Unidad Administrativa requiera de nuevas facilidades para el procesamiento electrónico de datos, deberá existir un proceso formal de autorización por parte del Comité Sectorial de TI Toda nueva facilidad para el procesamiento electrónico de datos debe considerar lo siguiente: a) El cumplimiento de las normas y especificaciones de seguridad física, lógica y operativa definidas por la Dependencia para los centros de procesamiento de datos. b) La verificación previa de la funcionalidad y compatibilidad de los componentes tecnológicos críticos con otros sistemas y tecnologías existentes. c) La evaluación técnica para identificar nuevas vulnerabilidades en los sistemas Cooperación entre organizaciones Es indispensable que cada Unidad de TI tenga identificados y establecidos los contactos apropiados con organismos reguladores, autoridades gubernamentales, asociaciones, operadores de servicios y terceras partes para la pronta y efectiva actuación ante incidentes internos graves de seguridad Revisión Independiente de Seguridad de la Información En las Unidades Administrativas deberá revisarse periódicamente el cumplimiento de las normas y políticas de seguridad de la información establecidas por la Dependencia y por regulaciones específicas. Esta revisión deberá ser llevada a cabo por una entidad independiente a la Unidad Administrativa, misma que será determinada por la Coordinación Sectorial de TI Seguridad de acceso a terceros El acceso por parte de terceros a la información del Corporativo debe ser controlado. El tipo de acceso, sea físico o lógico debe estar plenamente justificado y los controles para el mismo deben ser acordados y establecidos con el tercero, por medio de un contrato Las terceras partes que requieran trabajar por algún tiempo dentro de las instalaciones de la Dependencia deben firmar previamente un contrato de confidencialidad aprobado por el área Legal y una carta de responsabilidad por el cumplimiento de las normas institucionales de seguridad de la información de la Dependencia. Así mismo, deben recibir instrucción formal de sus obligaciones dentro de la organización.

6 Contratos con terceros y servicios de Outsourcing Todos los contratos de servicios firmados entre la Dependencia y terceros deben incluir lo siguiente: a) Mención de la Política General de Seguridad de la Información de la Dependencia b) Especificación de los niveles de servicio aceptables e inaceptables c) Responsabilidades legales de ambas partes respecto a la protección de la información d) Derechos de propiedad intelectual, patentes y derechos de autor. e) Acuerdos para la transferencia de personal cuando sea apropiado f) Convenio de Confidencialidad g) Métodos de acceso permitidos, control y uso de cuentas y contraseñas h) Proceso de autorización para acceso y privilegios de usuario i) Derecho de la empresa para auditar las responsabilidades contractuales j) Proceso de escalamiento y resolución de problemas k) Estructura y formato de reporte y notificación El Área que contrate este tipo de servicios será la responsable de asegurar que se cumplan estos lineamientos. El departamento Jurídico del negocio deberá brindar asesoría al área solicitante para que se consideren los términos legales correspondientes Servicios de Outsourcing Si la Unidad Administrativa tuviera la necesidad de subcontratar los servicios de un externo para administrar, operar o controlar uno o varios de sus componentes del ambiente tecnológico productivo, deben considerarse adicionalmente los siguientes aspectos de seguridad en el contrato de servicios: a) Las obligaciones legales que en materia de seguridad de la información está sujeta la Dependencia. b) Los requerimientos específicos de seguridad de la Unidad Administrativa. c) Las responsabilidades de ambas partes en materia de seguridad de la información d) Tipo de controles físicos y lógicos que se utilizarán para proteger los activos de información. e) Las medidas para mantener la disponibilidad de los servicios ante cualquier contingencia. f) Apegarse a la normatividad aplicable en la materia, del GEM La Unidad Administrativa que contrate este tipo de servicios será la responsable de asegurar que se cumplan estos lineamientos. El área Jurídica de Dependencia deberá brindar asesoría al área solicitante para que se consideren los términos legales correspondientes Inventario de activos de Información Como aspecto fundamental en la administración de riesgos de seguridad, las Unidades Administrativas de la dependencia deberán tener plenamente identificados los activos de información que maneja, su valor y su importancia Los dueños o propietarios de la información deben mantener y actualizar un inventario de sus activos de información críticos, indicando para cada uno, sus sistemas asociados y su clasificación correspondiente Se entiende por activo de información crítico, cualquier información, sistema, equipo o servicio que la Unidad Administrativa que considera clave para soportar su operación, metas y objetivos. a) Activos de Información: Bases de datos, archivos de información, documentación de los sistemas, manuales, material de capacitación, procedimientos de operación o soporte, planes de continuidad.

7 b) Activos de software: Sistemas, aplicaciones, sistemas operativos, utilerías, programas fuente. c) Activos Físicos: Equipos de cómputo y comunicaciones, medios magnéticos (discos, cintas), equipos técnicos (aire acondicionado, fuentes de poder) mobiliario, instalaciones. d) Servicios: Servicios de cómputo y comunicaciones, iluminación, energía, aire acondicionado Clasificación de la información Las Unidades Administrativas de la Dependencia deben clasificar su información de acuerdo a su valor y sensibilidad. Esta clasificación debe realizarse de acuerdo a las necesidades que tiene el área de compartir o restringir la información, de sus requerimientos de seguridad en términos de confidencialidad, integridad y disponibilidad, y con base al impacto negativo que pudiera provocar al negocio en términos financieros, operativos, legales o de imagen pública y cualquier abuso en el manejo de la misma La responsabilidad de definir la categoría en la que cada activo de información se encuentra es del dueño o propietario del mismo, así como determinar si con el paso del tiempo, el activo de información requiere una reclasificación Todos los activos de información deben tener un dueño o propietario, el cual se haga responsable de asegurar su correcta clasificación e implantación de controles para su protección El GEM ha definido el siguiente esquema para el proceso de clasificación de la información: Restringida. Aquella información privilegiada en donde su divulgación no autorizada puede derivar en impactos financieros, legales, con la ciudadanía, con proveedores, con el propio gobierno entidades externas. Ejemplo: Planes Estratégicos, Estados Financieros, Datos de adquisiciones (antes de su anuncio), Negociaciones con proveedores, Desarrollo de nuevos servicios, Juicios. Confidencial. Aquella en donde su divulgación no autorizada puede derivar en impactos importantes para la operación de la Dependencia, perdiendo principalmente la oportunidad. Ejemplo: Información sobre operaciones y transacciones de la Dependencia, Presentaciones del Sector, Resoluciones y Actas de Comités, información de proveedores, presupuestos, nómina y compensaciones, reportes de auditoría, contraseñas, entre otras. Uso Interno. Es aquella información ordinaria de la Unidad Administrativa que apoya sus procesos internos y que no ha sido clasificada como restringida ni confidencial, por lo que puede ser conocida dentro de toda la organización. No puede ser difundida a proveedores ni a terceros. Su divulgación no autorizada representa un impacto menor para el negocio. Ejemplo: Directorio Telefónico, Comunicados Internos, Organigramas, Manuales de procedimientos. Pública. Es la información que ha sido autorizada expresamente para darse a conocer al público en general a través de canales aprobados. Ejemplo: Propaganda, Boletines de Prensa, Páginas de Internet, etc Por política general, toda la información que se maneja dentro de la Dependencia tiene carácter de CONFIDENCIAL hasta que se apruebe otro tipo de clasificación.

8 Etiquetado y manejo de la información Cada Unidad Administrativa debe contar con procedimientos formales para el Adecuado etiquetado y manejo de la información, sea física o electrónica, de acuerdo al esquema de clasificación anterior Por cada tipo de información, debe existir un claro procedimiento en cuanto al copiado, impresión, almacenamiento, transmisión electrónica, intercambio físico y destrucción de la misma que consideren los siguientes lineamientos: a) Los documentos con información del tipo restringida deben ser controlados por medio de copias individuales perfectamente numeradas y llevar un registro de las personas que las tienen. b) La copia o transferencia por cualquier medio (electrónico, magnético, en papel) de información restringida debe estar autorizada y controlada. c) Todos los documentos del tipo restringida y confidencial deben conservarse bajo llave. d) El envío de documentos con esta clasificación, debe hacerse por medio de canales seguros información tales como mensajería privada, correo electrónico encriptado, entrega personal. Es importante evitar el uso del servicio postal, fax, internet o medios no controlados para su envío. e) Toda recepción de información sensible debe acusar formalmente de recibido f) El envío físico de información sensible debe hacerse por medio de paquetes debidamente cerrados y que no permitan observar su contenido. g) De ser necesario, debe considerarse un centro de destrucción de documentos restringidos o confidenciales que garantice la no reutilización de la información. La destrucción de registros e información de la empresa debe ser formalmente autorizada por la alta dirección de la Unidad Administrativa a la que pertenece. h) La información sensible debe reflejar por medio de una leyenda apropiada, la clasificación a la que pertenece, sin importar la forma o medio en la que se encuentre. i) La información del Sector que se utilice para ofrecer conferencias, discursos o presentaciones abiertas debe llevar la autorización del dueño de la información y en su caso, de la Unidad Administrativa la Dependencia, a través de sus instancias correspondientes, se reserva el derecho de sancionar a la persona que divulgue o destruya ilícitamente la información de la empresa, en cualquier formato o medio, de acuerdo a la gravedad de la falta y en función de lo establecido por la Ley de Responsabilidades de los Servidores Públicos del GEM., y a la normatividad del Gobierno aplicable en la materia Descripción de responsabilidades de seguridad El área de Recursos Humanos debe asegurarse que las responsabilidades de seguridad de sus empleados esté claramente definidas, documentadas y comunicadas, incluyendo aquellas responsabilidades para la protección de activos particulares o la ejecución de ciertos procesos o servicios de seguridad Estas responsabilidades deben ser revisadas y actualizadas periódicamente a fin de mantener una congruencia con las funciones que desempeña cada persona dentro de la Organización También deberán estar claramente definidas las acciones disciplinarias que tomará la Unidad Aministrativa en caso de que se incumplan las responsabilidades de seguridad. Verificación de personal de nuevo ingreso El proceso de selección y reclutamiento de personal de nuevo ingreso debe considerar por lo menos los siguientes controles: estudios socio-económicos, referencias apropiadas del candidato, confirmación de los niveles académicos, Identificación oficial, revisión de antecedentes laborales Deberán establecerse controles adicionales para la selección y reclutamiento de posiciones críticas en la organización o posiciones que requieran manejar

9 información sensible, de tal forma que se reduzcan riesgos en la elección del candidato. Esta regla aplica para la contratación de personal especializado de sistemas. Convenios de Confidencialidad Todos los empleados de las Unidades Administrativas de la Dependencia, deben firmar una carta o acuerdo de confidencialidad, en el que se den por enterados de que la información de la Dependencia es un activo privado propiedad del GEM, al que tendrán acceso en su carácter de empleados y al que se obligan a proteger de cualquier acto que pudiera atentar contra su confidencialidad, integridad y disponibilidad, aún después de romper su relación de trabajo con la Unidad Administrativa que lo contrató Los terceros que requieran el acceso a la información de la Dependencia también deben firmar previamente un contrato de confidencialidad. Términos y condiciones de empleo Los términos y condiciones de los contratos de personal deben establecer que las responsabilidades de seguridad sobre los activos de información de la Unidad Administrativa continuarán por un periodo razonable una vez que las partes terminan su relación laboral Las responsabilidades y derechos legales sobre la protección de la información deben estar especificadas dentro de los términos y condiciones del empleo Capacitación a usuarios Todos los empleados de las Unidades Administrativas, o en su caso, personal externo que presta algún tipo de servicio a la compañía, deben recibir el entrenamiento apropiado respecto al tema de la seguridad de la información en el que se incluya la instrucción sobre las políticas, prácticas y procedimientos vigentes, las responsabilidades y obligaciones particulares, los requerimientos legales en esta materia, la forma de minimizar riesgos y las consecuencias de no acatar la normatividad establecida Todo esto con la finalidad de fomentar una cultura de trabajo orientada a la unificación de criterios y al reforzamiento del comportamiento esperado de los empleados sobre la importancia de la seguridad de la información y sus obligaciones para reducir errores humanos y evitar abusos en el manejo de los bienes de información y sistemas asociados El personal que está directamente relacionado con la administración de la seguridad deberá recibir entrenamiento especializado Cultura de Seguridad de la Información Las Áreas de Recursos Humanos de la dependencia, es el área responsable de crear y fomentar a través de los diferentes canales de comunicación y difusión internos, una cultura de trabajo orientada a la protección de la información. Toda iniciativa que tenga que ver con la difusión de temas de seguridad de la información deberá ser coordinada y supervisada por el Comité Sectorial de TI Es responsabilidad y obligación de todo empleado de las Unidades Administrativas; mantenerse informado de las normas, disposiciones y prácticas de seguridad de la información que dicta Corporativo y la que exige la normatividad externa que tenga lugar Todo empleado de Corporativo deberá acreditar en forma regular la comprensión y entendimiento de sus obligaciones dentro de la compañía para proteger a la información, a través de la aplicación de los exámenes desarrollados por la Dirección de Sistemas y aplicados a través de la Inducción de RH, en las fechas que así defina y comunique.

10 Los resultados serán calificados por RH, de no acreditar estos exámenes, el empleado estará sujeto a medidas disciplinarias internas que establezca Recursos Humanos de Corporativo Respuesta a Incidentes Todos los empleados y terceros que presten algún servicio dentro de la Unidad de Negocio están obligados a reportar inmediatamente las deficiencias, vulnerabilidades, fallas o violaciones de seguridad que identifiquen durante el procesamiento, almacenamiento, intercambio o disposición de los activos de información, aún y cuando se trate de una simple sospecha Los incidentes de seguridad pueden ser algunos de los siguientes, aunque no se limitan a ellos: a) Fraude y robo de activos de información o de cómputo. b) Divulgación, manipulación, destrucción o modificación no autorizada de la información de la compañía. c) Interrupción de procesos y sistemas críticos del negocio. d) Fallas en la seguridad de los sistemas de información. e) Fallas en la seguridad física de las instalaciones. f) Deficiencias o mal funcionamiento de los sistemas. g) Acceso no autorizado a los recursos de la compañía. h) Uso indebido de los privilegios dentro de un sistema. i) Propagación de virus cibernéticos o código malicioso. j) Intrusiones externas a la red (hackeo). k) Instalación de software no autorizado por la Unidad de Negocio. l) Uso irracional de los recursos informáticos de la Unidad de Negocio Los mecanismos para el reporte de incidentes de seguridad deben ser los siguientes: a) Por escrito. b) por correo electrónico Los reportes deberán estar lo más completo posible, aportando la mayor cantidad de evidencias a fin de facilitar la atención del mismo. Opcionalmente las personas podrán mantener el anonimato durante su reporte o denuncia Todos los reportes deberán ser manejados con estricta confidencialidad y podrán ser dados a conocer internamente siempre y cuando la Alta Dirección de la Dependencia así lo determine Queda estrictamente prohibido divulgar cualquier información sobre un incidente a personal externo a menos de que por disposiciones legales la dependencia se vea obligada a hacerlo. De ser así, deberá ser bajo la aprobación de la Alta Dirección de la Dependencia La persona que por negligencia no reporte a tiempo un incidente de seguridad o que aproveche deficiencias de seguridad y haga mal uso de la información, será sancionada de acuerdo a la gravedad. Aprendizaje de seguridad La Coordinación Sectorial de TI deberá generar una Base de Datos de conocimientos, en la que se almacene la información de los incidentes de seguridad que permita identificar eventos repetitivos o tendencias de los incidentes de seguridad que se presentan Facilidades para el procesamiento de datos Todas las facilidades para el procesamiento electrónico de datos o información de las Unidades Administrativas del Sector deben estar protegidas contra accesos no autorizados, daños o interrupción, sean estos producto de una acción deliberada, accidente o siniestro.

11 Las Unidades de TI de cada Unidad Administrativa del Sector deberá certificar la seguridad de todas las facilidades para el procesamiento de datos, sean existentes o nuevas Controles de acceso físico El acceso físico a los edificios, instalaciones y oficinas de las Unidades Administrativas de la Dependencia deberá ser restringido y controlado por medio de las siguientes medidas: a) Los empleados deben registrar su entrada por medio de su gafete de identificación y portarlo siempre en un lugar visible. De no traerlo, deberá registrarse como visitante y portar el gafete correspondiente. b) El personal externo o visitante deberá registrarse en la recepción de la empresa y presentar su gafete de visitante al momento de ingresar a las instalaciones. También es obligatorio portarlo en un lugar visible durante su permanencia en los edificios u oficinas. c) Queda prohibido el ingreso a cobradores, vendedores, boleros, así como a personal que se encuentre en estado inconveniente por efecto de estupefacientes o bebidas alcohólicas. d) Tanto empleados como visitantes deberán pasar por una revisión o inspección física en la zona de acceso, estando obligados a no introducir cámaras de video, de fotografía, animales, armas, equipos y objetos ostensiblemente peligrosos, así como materiales sólidos, líquidos o gaseosos que representen riesgos al personal o al patrimonio de la Dependencia. El personal de vigilancia podrá realizar una inspección de portafolios, bolsas y bultos que ingresan a las instalaciones Todas aquellas áreas restringidas dentro de la Unidad de Negocio deben estar identificadas y protegidas por medio de los siguientes controles: a) El acceso a las áreas restringidas deberá estar permitido solamente a personal autorizado, mediante mecanismos de identificación y validación de accesos. b) Los visitantes deberán ser registrados, tanto al momento de ingresar como al momento de salir de ella, así como ser supervisados durante su permanencia y otorgarles el acceso solamente a los lugares que autorice el responsable del área segura. Entrada de automóviles Todos los automóviles de los empleados deben ser registrados al momento de ingresar y salir del estacionamiento, cuando aplique Todos los automóviles de visitantes que requieran acceso a las instalaciones de la empresa deben ser registrados e inspeccionados previamente por el personal de vigilancia a fin de evitar la entrada de equipos y objetos peligrosos que representen riesgos al personal o al patrimonio de la compañía, cuando aplique. Revisión de salida de las instalaciones La salida de personal de las instalaciones y oficinas de la Dependencia debe ser controlada por medio de las siguientes medidas: a) Los empleados deben registrar su salida por medio de su gafete de identificación. b) El personal externo o visitante deberá mostrar su gafete de visitante y registrar su salida del edificio. c) El personal de vigilancia debe asegurarse de que ninguna persona extraiga mobiliario, equipo de cómputo/electrónico, herramientas de trabajo o documentos sin la autorización formal del área responsable del bien. d) El personal de vigilancia podrá realizar una inspección de los portafolios, bolsas y bultos que salen de las instalaciones a fin de identificar la sustracción no autorizada de este tipo de activos La salida de vehículos de visitantes deberá pasar por una inspección física de parte del personal de vigilancia en la que se asegure que no llevan consigo ningún

12 activo, equipo, material o documento propiedad de la compañía sin la autorización expresa del área responsable del bien, cuando aplique Seguridad en Oficinas Todas las oficinas e instalaciones de la dependencia deben cumplir con los siguientes controles: a) Oficinas sensibles deben evitar el acceso al público b) Los equipos departamentales de fotocopiado, impresión o fax deberán estar preferentemente dentro de áreas seguras y bajo la supervisión de personal autorizado. Nunca en lugares donde se pueda comprometer la seguridad de la información. c) Las puertas y ventanas deben permanecer cerradas en ausencia del personal que labora en las oficinas. d) El uso de equipo fotográfico, de video o de audio grabación no está permitido a menos de que exista una autorización expresa de la Alta Dirección, exceptuando el caso que sus funciones así lo requieran. e) Las medidas de Seguridad Física Institucional vigentes en la Unidad Administrativa Áreas de carga y descarga Las áreas de carga y descarga deben estar controladas y de ser posible, aisladas, esto con la finalidad de evitar el acceso de personal no autorizado y solo en las áreas de administración Las personas que se encuentren en áreas de espera deben ser identificadas y Supervisadas, cuando así lo amerite el caso El ingreso de material a las instalaciones debe ser inspeccionado previamente a fin de evitar posibles peligros y amenazas La carga y descarga de equipo o materiales, deberá ser controlado por el área Administrativa correspondiente en cada unidad administrativa de la Dependencia La transportación de este tipo de activos fuera de las instalaciones deberá ser autorizada por las Unidades de TI y notificadas al personal de seguridad de la dependencia para su seguimiento Seguridad de la infraestructura Los equipos de cómputo e infraestructura tecnológica destinados a empleados de las Unidades Administrativas del Sector deben ser ubicados y protegidos de tal forma que se reduzcan los riesgos potenciales de daño, robo o accesos no autorizados Todos los equipos de cómputo destinados al procesamiento y almacenamiento de información deben estar ubicados dentro de un centro de cómputo que cuente con mecanismos de protección adecuados. Equipo de cómputo Las instalaciones, equipo de cómputo y accesorios que proporciona la Dependencia para el desarrollo de sus actividades deben ser conservadas y utilizadas en forma correcta Solamente las Unidades de TI podrán asignar, instalar, configurar y mantener el equipo de cómputo que usará el personal para el cumplimiento de sus funciones. El resto del personal queda excluido incurriendo en una falta grave a la seguridad de la información y del propio activo. Energía eléctrica El equipo tecnológico debe estar protegido de las fallas en el suministro de energía eléctrica. Aquellos equipos críticos deben contar con: a) Múltiples fuentes de alimentación de electricidad. b) Fuente ininterrumpida de poder (UPS). c) Generador de energía de respaldo.

13 Los UPS y Generadores de energía de respaldo deberán ser probados y revisados periódicamente de acuerdo a las especificaciones del fabricante Los interruptores de energía eléctrica deben estar localizados cerca de las salidas de emergencia para facilitar la rápida actuación en caso de una emergencia Iluminación de emergencia debe ser considerada como apoyo en fallas en la energía eléctrica. Cableado El cableado eléctrico, de datos y telefonía debe ser protegido contra cualquier intercepción o daño Las líneas de energía eléctrica y comunicaciones dentro de los centros de procesamiento de datos deben estar instaladas de acuerdo a los estándares, debajo del piso, sobre rieles, canaletas o conductos y sujetas a medidas adicionales de protección Los cables de electricidad deben separarse forzosamente de los de comunicaciones a fin de evitar interferencias. Mantenimiento de equipo Todo el equipo e infraestructura tecnológica debe contar con programas de mantenimiento para asegurar su correcto funcionamiento y disponibilidad con el paso del tiempo El mantenimiento de equipo debe llevarse a cabo de acuerdo a las especificaciones del fabricante y solamente a través de personal autorizado El responsable del equipo debe asegurarse de llevar un registro de las fallas o funcionamiento anormal para determinar con oportunidad las medidas preventivas o correctivas El mantenimiento de equipo de cómputo fuera de las instalaciones de la Unidad de Administrativa requiere pasar por un control previo de seguridad y visto bueno de las Unidades de TI, para la protección de la información que contiene. Instalación de equipo fuera de oficinas La instalación y uso de equipo de cómputo o infraestructura tecnológica para el manejo de información fuera de la compañía debe ser aprobado por la Alta Dirección de la Unidad Administrativa correspondiente Para estos equipos deben aplicar las mismas medidas de seguridad que las establecidas para el equipo en sitio, además de realizar una evaluación de riesgos que permita identificar medidas adicionales Los equipos que sean llevados fuera de las instalaciones de la Unidad de Negocio no podrán ser desatendidos en lugares públicos, deberán observarse las instrucciones del fabricante respecto a los cuidados físicos para evitar la exposición al calor o campos electromagnéticos y de ser necesario, se deberá contratar un seguro de daños contra el equipo en cuestión. Reutilización de equipo de cómputo Las Unidades de TI del Sector deberán Considerar un procedimiento para la disposición y reutilización de equipo de cómputo así como la destrucción apropiada de toda la información que pudiera tener, a fin de evitar malos manejos en un futuro Escritorio Limpio Todas las personas que trabajan en la Dependencia están obligadas a cumplir con las siguientes normas de seguridad al ausentarse de su lugar de trabajo o finalizar su jornada laboral: a) En caso de contar con una oficina con puerta, cerrar ésta con llave.

14 b) Retirar de los escritorios o lugares visibles la información sensible que haya sido utilizada sin importar el medio en que se encuentre (papel, discos, medios magnéticos) y resguardarla en gabinetes apropiados, cajones con llave o cualquier otro mueble con acceso controlado. c) Destruir aquella información sensible que ya no será utilizada a través de los medios adecuados para ello (trituradoras de papel, destructor de medios magnéticos, etc.). d) No dejar documentos con información restringida o confidencial sobre impresoras, copiadoras y fax. e) No utilizar la información impresa que sea confidencial o de uso restringido para reciclaje. f) Activar el protector de pantalla con contraseña en su computadora y terminar las sesiones abiertas con los sistemas (no aplica solo para las Aplicaciones productivas de Sistemas) Procedimientos operacionales Las Unidades de TI deberán segregar claramente las responsabilidades para el manejo y operación de las facilidades de cómputo y comunicaciones Las Unidades de TI responsables de la operación y administración de cómputo y comunicaciones de la Dependencia deberán desarrollar todos aquellos procedimientos operativos que se requieran para asegurar que los ambientes productivos cumplan con los requerimientos de confidencialidad, integridad y disponibilidad Esta documentación deberá incluir: a) Procedimientos para el manejo de información sensible. b) Procedimientos e instrucciones para el manejo de errores o condiciones excepcionales que surjan durante la ejecución de tareas, incluyendo restricciones en el uso de utilerías del sistema. c) Contactos de soporte en el caso de un evento inesperado en la operación o problemas técnicos. d) Procedimientos de re-arranque y recuperación de los sistemas en el caso de una falla de éstos Control de Cambios Las áreas responsables del desarrollo de sistemas y de la operación de la infraestructura de cómputo de cada Unidad Administrativa deberán definir los mecanismos de comunicación que permitan la evaluación coordinada de los impactos en los nuevos elementos tecnológicos, los nuevos desarrollos o las mejoras en los sistemas, a fin de prever lo necesario para su buen desempeño y funcionalidad Cualquier cambio en la infraestructura y los sistemas aplicativos deberá seguir un proceso formal que considere al menos: a) Contar con un modelo general de procesos que muestre sus relaciones e interfaces. b) Mantener un registro de los niveles de autorización para la implantación de cambios. c) Asegurar que los cambios son solicitados por los usuarios con esta responsabilidad. d) Identificar el software, información, bases de datos y hardware que se verán impactados por el cambio. e) Asegurar que los usuarios están conscientes del cambio antes de que se libere. f) Contar con un proceso preliminar en donde se identifique, pruebe y evalúe el impacto del cambio. g) Asegurar la documentación del cambio y los impactos en la configuración. h) Definir y monitorear indicadores de desempeño de los cambios, sean exitosos o fallidos. i) Contar con pistas de auditoria para los cambios ejecutados. j) Definir las ventanas de implementación y asegurar que no existe impacto en los procesos de negocio en el momento de implantación.

15 k) Definición de roles, responsabilidades y métricas para el proceso. l) Contar con planes de retorno en caso de que los cambios no resulten exitosos Manejo de incidentes Las Unidades de TI deberán contar con procedimientos para el manejo de incidentes en donde se consideren situaciones como la pérdida o falla de servicios, el acceso no autorizado a los sistemas, el robo de información, los errores o fallas generales de la infraestructura, la presencia de virus y en general, la violación a las medidas de seguridad de la información. Además deberá existir un proceso para el análisis de las causas que originan el incidente a fin de planear las medidas de prevención y corrección necesarias Deberá existir un efectivo mecanismo de comunicación para la coordinación entre las áreas involucradas, la Unidad Administrativa y el Comité de Seguridad de la Información Las acciones para responder, corregir y recuperarse de una ruptura de seguridad o de fallas de un sistema deben de ser controladas y documentadas adecuadamente. La integridad de los sistemas críticos del negocio debe ser verificada y confirmada con el menor retardo posible. Los rastros de auditoria y evidencias debe se recolectada y mantenida de forma segura Segregación de responsabilidades La asignación de responsabilidades dentro de las áreas de operación de cómputo y comunicaciones deben evitar el conflicto de intereses, de tal forma que nunca recaiga la responsabilidad de ambas funciones en una sola persona, que pudiera pasar por alto ciertas acciones sin que sean detectadas. Separación de ambientes de desarrollo y producción En la medida de lo posible, los ambientes de desarrollo, pruebas y producción deben estar separados con la finalidad de reducir riesgos de accesos no autorizados o cambios accidentales a los sistemas e información de la Unidad Administrativa Los siguientes controles deberán ser observados: a) El software de desarrollo y producción deberá ejecutarse en diferentes equipos o al menos en diferentes dominios o directorios. b) Los compiladores, editores y algunas otras utilerías del sistema no deben estar al alcance desde los ambientes productivos cuando no sea requerido. c) Los usuarios de desarrollo podrán tener acceso a los ambientes productivos solo cuando existan los controles necesarios para asegurar que se hará de forma restringida y solo para el apoyo en la situación de emergencias. d) Los mecanismos de registro a los ambientes de pruebas y producción deben ser diferentes, obligando a los usuarios a utilizar cuentas y contraseñas distintas Planeación y aceptación de sistemas Planeación de la capacidad Las Unidades de TI deberán contar con un proceso formal para la planeación de la capacidad de las distintas plataformas, redes e infraestructura. Las demandas de capacidad de los equipos deben ser vigiladas de tal forma que se puedan hacer proyecciones a futuro para asegurar la disponibilidad de los requerimientos de almacenamiento y procesamiento. Aceptación de los sistemas La puesta en marcha de todo sistema debe seguir un proceso formal de aceptación en el que el área responsable de la operación de infraestructura de cómputo determine bajo criterios establecidos y documentados si el sistema cumple

16 con los estándares de calidad y seguridad apropiados para entrar al ambiente de producción Los requerimientos para la aceptación de un sistema debe considerar: a) Desempeño y requerimientos de capacidad de cómputo. b) Procedimientos de instalación. c) Procedimientos de retorno en caso de falla y contingencias. d) Preparación para recuperación de errores y procedimientos de re-inicio y planes de contingencia para los equipos de cómputo. e) Evidencias de que la instalación del nuevo sistema no afectará negativamente a sistemas en producción, especialmente en tiempos de proceso pico. f) Entrenamiento en la operación del nuevo sistema Uso de equipo de cómputo Las Unidades de TI son las áreas responsables de asignar, instalar, configurar y mantener el equipo de cómputo del personal de las diferentes Unidades Administrativas. Queda estrictamente prohibida la instalación de equipo de cómputo, servicios o dispositivos de red sin el consentimiento de la Unidad de TI La Política de uso de equipo de cómputo es la siguiente: a) El usuario es el responsable directo del equipo, accesorios y demás dispositivos de cómputo que le hayan sido asignados por la Dependencia y se obliga a mantenerlo siempre en óptimas condiciones. b) El usuario que recibe un equipo de cómputo debe ser informado de la existencia de éstas políticas. c) Toda la asignación de equipo de cómputo y componentes debe ser registrada en el área de Activo Fijo. d) El equipo de cómputo debe ser utilizado por los usuarios única y exclusivamente para las actividades de trabajo dentro de la compañía. Queda prohibido darles un uso personal o de terceros. e) El usuario no podrá cambiar la configuración o parámetros del equipo, sistema operativo o aplicaciones que le fueron instaladas por parte de la Unidad de TI. f) Está prohibida la instalación y uso de software no autorizado por la compañía. g) El usuario no podrá mover de ubicación el equipo de cómputo asignado sin el consentimiento por escrito y/o asistencia del personal de sistemas h) El usuario no podrá abrir, alterar o extraer el equipo de cómputo o alguno de sus componentes. i) Está prohibida la instalación de accesorios o componentes que no hayan sido autorizados expresamente por la Dirección de Sistemas (modems, copiadores, unidades de respaldo, multimedia, etc). j) Está prohibida la instalación de juegos. k) Está prohibido almacenar archivos de música, video o fotografías que no esté justificado. l) Esta prohibido el cambio de accesorios entre equipos de cómputo (monitor, teclado, mouse, etc), a menos que la Unida de TI lo autrice. m) Todo cambio de accesorios debe ser llevado a cabo por personal de sistemas autorizado y en el cual se incluya la actualización del resguardo de activo fijo. n) Está prohibido el consumo de alimentos, bebidas y cigarros junto a los equipos de cómputo. o) El usuario deberá apagar su equipo de cómputo al finalizar su jornada de trabajo. De no ser posible, al menos deberá cerrar todos los sistemas y activar el protector de pantalla con contraseña. p) El usuario se obliga a reportar inmediatamente al área de soporte técnico cualquier falla o actividad anormal de su equipo. El usuario tiene prohibido reparar los daños que pudiera tener un equipo.

17 Cualquier proceso de renovación tecnológica de equipos de cómputo deberá ser planeado y anunciado oportunamente a los usuarios para que tomen sus previsiones Cualquier violación a las normas de seguridad establecidas en este documento será motivo de sanciones internas de acuerdo a la gravedad de la falta. La Unidad de TI se reserva el derecho de retirar el equipo, software, archivos, accesorios o componentes que pongan en riesgo la seguridad de la información o la infraestructura de la Dependencia Protección contra software malicioso Queda prohibido instalar software sin la autorización expresa de la Unidad de TI. Para ello, deberá comunicar por escrito cuál es el software autorizado y procedimientos de instalación Todos los equipos de cómputo de las Unidades Administrativas de la Dependencia deberán tener un programa autorizado de antivirus actualizado y activado. Todos los discos con información deberán ser revisados antes de ser utilizados Queda prohibido descargar software o programas de internet sin la autorización de Sistemas, así como cualquier archivo de música, video o fotográfico que no se encuentre plenamente justificado como parte de las funciones de la persona Tanto el área de Sistemas como el área de Contraloría Interna deberán conducir revisiones periódicas para detectar el uso de software no autorizado y aplicar las medidas correspondientes Queda prohibido cambiar la configuración o parámetros de los equipos de cómputo, sistemas operativos o aplicaciones de la dependencia, sin la autorización de la Unidad de TI, ya que podría exponer la información de los equipos a riesgos no identificados Es recomendable no utilizar directorios o carpetas compartidas en las computadoras personales, ya que ésta es la forma más común para la propagación de virus y código malicioso. Si el usuario requiere compartir archivos, deberá solicitar a la Unida de TI el espacio necesario en un servidor de archivos, con los debidos controles de acceso y las medidas de protección que correspondan Protección de equipo de cómputo de usuarios críticos Todos los equipos de cómputo de los integrantes del Comité Ejecutivo y del personal que ellos decidan, deberán cumplir las siguientes medidas de seguridad: a) El nombre de la computadora debe evitar que se identifique al usuario. b) Contar con un dispositivo biométrico para la autenticación del usuario. c) Toda la información sensible del equipo debe estar encriptada. d) Contar con protector de pantalla con contraseña. e) Tener habilitado el programa antivirus corporativo. f) Tener habilitado un programa de protección de intrusos. g) Contar con el software corporativo de encripción de correos. h) Contar con un software para funciones de personal firewall. i) Contar con un mecanismo para el respaldo regular de la información. j) Preferentemente aislar el equipo de la red general de usuarios. k) Habilitar la contraseña de arranque de equipo El Comité de Seguridad de la Información definirá los estándares de protección de equipos de cómputo de usuarios VIP o críticos.

18 Integridad y disponibilidad de información Propiedad de la Información Toda la información que se encuentra dentro de los servidores de archivos o repositorios de datos de Corporativo es considerada a priori, de su propiedad, y debe estar sujeta a controles de acceso limitados La Unidad de TI, como custodio de la información, debe tener identificados a sus dueños y a los usuarios, a fin de establecer los niveles de acceso requeridos. Toda la información clasificada como Confidencial o Restringida debe contar con el máximo nivel de seguridad en el control de acceso, autenticación, encripción y no repudiación. Respaldo de información La Unidad de TI deberá realizar periódicamente un análisis de las necesidades del negocio para determinar la información crítica que debe ser respaldada y la frecuencia con que se haga La información de respaldos debe ser probada como mínimo dos veces al año, asegurando que es confiable para su utilización en caso de emergencia. Además los procedimientos de restauración deben ser revisados y probados para asegurar que son efectivos y que pueden ser ejecutados en el tiempo definido Deberá existir un proceso formal de administración y control de respaldos que permita conocer qué información está respaldada y almacenada en las bóvedas de seguridad, además de tener definidas las ligas necesarias con el plan de recuperación de desastres Al menos una copia de los respaldos de información crítica debe ser almacenada fuera de las instalaciones y bajo estrictas medidas de seguridad en la transportación, resguardo y control de acceso El dueño de la información es responsable de definir claramente el periodo de retención de respaldos, en función de los requerimientos de cada Unidad de Administrativa. Como mínimo, los respaldos de información crítica deben conservarse 6 años. Registros del operador Todas las actividades de los administradores y operadores de las distintas plataformas tecnológicas deben ser registradas electrónicamente y respaldadas. El Log de actividades debe incluir al menos: a) Identificación del equipo. b) Horario de arranque y finalización de los procesos del sistema. c) Errores del sistema y acciones críticas realizadas. d) Cuenta del operador que realizó la actividad Los registros o logs de sistemas podrán ser revisados por entidades externas a la Dirección de Sistemas para validarlos contra los procedimientos operativos. Esta actividad podrá ser llevada a cabo por Seguridad Informática. Intentos de Acceso fallidos Los intentos fallidos para ingresar a los sistemas deben ser grabados y revisados periódicamente por el personal de administración de la red de Sistemas para detectar ataques sistemáticos. Debe grabarse e informar de los intentos Aquellos indicios de accesos no autorizados deberán ser reportados de inmediato al dueño del sistema de información, a Auditoria Interna y al Comité de Seguridad de la Información para su revisión y seguimiento Operación y administración de redes La Dirección de Sistemas debe asegurar que las responsabilidades de la operación de las redes se encuentre separada de la operación de la infraestructura de cómputo.

19 El responsable de la operación de redes debe contar con procedimientos para la administración del equipo remoto, así como controles aprobados por el Comité de Seguridad de la información de Corporativo para el intercambio de información sensible sobre redes públicas y esquemas de redundancia para garantizar la disponibilidad de los servicios La Dirección de Sistemas debe coordinar los esfuerzos encaminados a optimizar los servicios que soportan el negocio y garantizar que se cumplan las normas de seguridad establecidas Las siguientes reglas aplican para el diseño, operación y administración de redes: a) Cada red debe proveer un nivel de seguridad acorde a la sensibilidad de los sistemas, aplicaciones y datos disponibles a través de ella. b) Las redes deben ser diseñadas y administradas de tal forma que la falla de cualquier elemento conectado a ella no permita el acceso. a toda la red de usuarios no autorizados. c) Deben existir controles de integridad para prevenir la divulgación no autorizada o la modificación de los datos mientras se encuentran en proceso de transmisión, almacenamiento o procesamiento. d) Los usuarios y sistemas de la red, deben estar ampliamente identificados y autenticados. e) Las interfases para redes externas que no pertenecen a la Unidad Administrativa se deben autorizar tomando en cuenta la necesidad que representa para las actividades laborales. f) La comunicación entre las redes internas de la empresa con Internet u otras redes externas, deben tener sistemas de comprobación de identidad a través de un Firewall, y de métodos de encriptación y protección de intrusos aprobados por Comité de Seguridad de la Información. g) Deben registrarse los accesos válidos, no autorizados y fallidos h) Restringir los puertos de datos de la red sólo a dispositivos autenticados y autorizados o Desactivar los puertos de red que no estén en uso. i) No permitir la instalación computadoras, redes o aplicaciones que comprometan la seguridad de la red. j) No conectar equipos que representen un puente inseguro entre una red y otra. k) Integrar una solución de antivirus perimetral. l) Evitar los puntos únicos de falla Administración de medios Administración de medios removibles La Unidad de TI deberá contar con un procedimiento para la administración de medios magnéticos durante todo su ciclo de vida, asegurando que cuando la información de respaldo ya no sea útil se destruya de manera segura para que no se comprometan los datos. Disposición de medios Adicional a los medios magnéticos, debe considerarse un procedimiento para la segura disposición, almacenamiento y destrucción de medios como documentos en papel, reportes impresos, listados de programas, datos de prueba, documentación de los sistemas, disquetes o grabaciones en casetes. Esto con el objeto de proteger tales activos de cualquier manejo inapropiado Este procedimiento debe considerar los siguientes controles: a) Etiquetado de los medios sensibles. b) Restricciones de acceso solo a personal autorizado. c) Registro de los usuarios que disponen del medio.

20 d) Almacenamiento de los medios en ambientes seguros. e) Control de distribución. Documentación de los sistemas Toda la documentación de los sistemas debe ser resguardada de manera segura y controlada para permitir solo el acceso autorizado a ella Intercambio de información Seguridad en la transportación de medios Dado que la información es uno de los activos más importantes de las Unidades Administrativas, debe establecerse un procedimiento seguro para la transportación de esta información sensible dentro y fuera de las instalaciones de la Dependencia Como mínimo debe observarse: Uso de medios de transporte y distribución confiables para la entrega de documentos físicos o electrónicos sensibles Uso de empaques suficientes que protejan el contenido Uso de sellos para identificar posibles violaciones del paquete y la entrega sólo a personas autorizadas Los aspectos generales que deberán estar incluidos son: Autenticación y autorización Segregación de responsabilidades Integridad de datos y transacciones No repudiación y pistas de auditoria Segregación de funciones Confidencialidad y Privacidad de datos Redundancia y alta disponibilidad. Seguridad en correo electrónico El servicio de correo electrónico provisto por el GEM a través de la DGSEI debe ser utilizado única y exclusivamente para el intercambio de información relacionada con asuntos de trabajo y para el cumplimiento de los propósitos de la Dependencia Toda la información recibida, transmitida y almacenada en los servidores de Correo electrónico institucionales es considerada propiedad del GEM Todos los correos que salgan de los servidores de las Unidades Administrativas deben incluir la siguiente leyenda: Este mensaje y los archivos que se adjunten al mismo es propiedad del Gobierno del Estado de México. Si usted ha recibido esta comunicación por error, favor de notificar inmediatamente al remitente por este mismo conducto y elimine el correo. Gracias Los usuarios de correo electrónico deben mantener las normas de conducta y buenas costumbres Está prohibido utilizar el correo electrónico para: Actividades económicas o de negocios personales. Envío de mensajes que contengan: chistes, cadenas, mensajes religiosos, actos de caridad, pornografía, imágenes, despedidas, archivos de música o videos que no correspondan a alguna actividad de su trabajo. Hostigamiento sexual, étnico, racial o de cualquier tipo. Enviar insultos, obscenidades, o comentarios despectivos Quien reciba de este tipo de mensajes tiene la obligación de reportarlo a la Unidad de TI para su seguimiento Está prohibido utilizar el correo electrónico del GEM para enviar comentarios u opiniones de índole personal hacia Foros, Sitios Públicos, Empresas Privadas, Instituciones de Gobierno ya que pueden comprometer la imagen o intereses del Gobierno Los usuarios que reciban por equivocación mensajes o correos confidenciales o de uso restringido, tienen la obligación de notificar inmediatamente al

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA... 3 INTRODUCCIÓN... 3 1.- DISPOSICIONES GENERALES... 3 1.1 ÁMBITO DE APLICACIÓN

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Política Corporativa de Seguridad de la Información En ICETEX la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones

Más detalles

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos)

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos) Secretaría General Dirección de Informática Manual de Seguridad Informática Centro de Cómputo (Políticas y lineamientos) C O N T E N I D O Introducción. 3 Objetivos. 4 Alcances. 5 Equipo de Cómputo. De

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: 19/10/2015 Audedatos Josema Gil Nº edición: 01 Nº revisión: 01 Página 2 de 14 Fecha Edición Revisión Cambios Realizados

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles

Requisitos mínimos de seguridad del Operador Económico Autorizado en la República Dominicana

Requisitos mínimos de seguridad del Operador Económico Autorizado en la República Dominicana AGENTES DE ADUANAS 1. Gestión Administrativa 2. Solvencia Económica 3. Conocer sus asociados de negocios 4. Seguridad del contenedor y demás unidades de carga 5. Seguridad física 6. Control de Acceso 7.

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS ÍNDICE 1. ENTORNO 3 2. OBJETIVO

Más detalles

Objetivos Generales de Control Interno y Lineamientos para su Implementación

Objetivos Generales de Control Interno y Lineamientos para su Implementación Objetivos Generales de Control Interno y Lineamientos para su Implementación Alcance: Los Objetivos Generales de Control Interno y los Lineamientos para su implementación son de aplicación general para

Más detalles

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

POLITICA DE SEGURIDAD DE LA INFORMACIÓN POLITICA DE SEGURIDAD DE LA INFORMACIÓN En AVANSIS, la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION

SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION ALCALDÍA MAYOR DE BOGOTÁ D.C. Secretaría Distrital INTEGRACIÓN SOCIAL SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION LINEAMIENTOS DE SEGURIDAD INFORMATICA SDIS Bogotá,

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MUNICIPIO DE GAMA 1 CONTENIDO 1. INTRODUCCION 2. OBJETIVOS 3. AMBITO DE APLICACIÓN 4. NORMAS DE USO DE LOS EQUIPOS DE CÓMPUTO 5.

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDÍA DE SAN LUIS DE PALENQUE 2014 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración general

Más detalles

UNIVERSIDAD TECNOLÓGICA DE CHIHUAHUA

UNIVERSIDAD TECNOLÓGICA DE CHIHUAHUA UNIVERSIDAD TECNOLÓGICA DE CHIHUAHUA POLÍTICA DE SEGURIDAD INFORMÁTICA Página: 1 DE 15 Código: DR-SI-01 Rev. 01 F. EMISIÓN: 04 DE JULIO DEL 2014 F. REV.: 04/07/2014 PUESTO ELABORÓ : JEFE DEL DEPARTAMENTO

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

POLITICA DE SEGURIDAD

POLITICA DE SEGURIDAD POLITICA DE SEGURIDAD ALCANCE DE LAS POLÍTICAS Las políticas definidas el presente documento aplican a todos los funcionarios públicos, contratistas y pasantes de la Corporación Para el Desarrollo Sostenible

Más detalles

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA POLITICA DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION Decreto 411.0.20.0563 de Sep 9 de 2010 AREA DE SISTEMAS Abril 2012 INTRODUCCION La información

Más detalles

POLITICA DE SEGURIDAD DE LA INFORMACION

POLITICA DE SEGURIDAD DE LA INFORMACION Obras Sanitarias del Estado POLITICA DE SEGURIDAD DE LA INFORMACION Junio 2013 Página 2 de 51 1. Glosario de términos... 4 1.1 Propósito y alcance... 4 1.2 Objetivo del glosario... 4 1.3 Glosario... 4

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO ALCANCE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO Las presentes políticas de seguridad aplican o están destinadas a todos los servidores públicos, contratistas

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

POLITICAS Y NORMAS PARA EL USO DEL CORREO ELECTRONICO INSTITUCIONAL (LOTUS NOTES) E INTERNET DE LA COMISION NACIONAL DE SEGUROS Y FIANZAS

POLITICAS Y NORMAS PARA EL USO DEL CORREO ELECTRONICO INSTITUCIONAL (LOTUS NOTES) E INTERNET DE LA COMISION NACIONAL DE SEGUROS Y FIANZAS POLITICAS Y NORMAS PARA EL USO DEL 1 INDICE I. Descripción del Servicio 3 II Propósito de las políticas de acceso y uso de Internet 4 III Disposiciones Generales 4 De la Dirección General de Informática

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

Privada ha de ser también el de educar y motivar a que los miembros de la cadena de suministro participen en BASC.

Privada ha de ser también el de educar y motivar a que los miembros de la cadena de suministro participen en BASC. Business Alliance for Secure Commerce (BASC) Estándares BASC Versión 3-2008 Adopción de Requisitos Mínimos de Seguridad C-TPAT Vigilancia y Seguridad Privada Las Empresas de Vigilancia y Seguridad Privada

Más detalles

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN Lineamientos y normativas para el respaldo de la información de los usuarios de Opus Software Publicado por Sector PMO & Gestión Documental de Opus

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

Análisis de la Norma BCRA A 4609

Análisis de la Norma BCRA A 4609 Análisis de la Norma BCRA A 4609 Seguridad Informática y Continuidad de Procesamiento Módulo I: Fase Teórica Lic. Raúl Castellanos rcastellanos@cybsec.com 5 de Junio de 2007 Buenos Aires - ARGENTINA Agenda

Más detalles

REGLAMENTO PARA EL USO ADECUADO DE LAS TIC DE LA UNIVERSIDAD AUTÓNOMA DEL CARIBE CAPITULO PRIMERO

REGLAMENTO PARA EL USO ADECUADO DE LAS TIC DE LA UNIVERSIDAD AUTÓNOMA DEL CARIBE CAPITULO PRIMERO REGLAMENTO PARA EL USO ADECUADO DE LAS TIC DE LA UNIVERSIDAD AUTÓNOMA DEL CARIBE DISPOSICIONES GENERALES CAPITULO PRIMERO Artículo 1.1. El presente reglamento se aplicará a los usuarios de la red institucional

Más detalles

POLÍTICA DE SEGURIDAD Versión 1.0 ENTIDAD DE VERIFICACIÓN O REGISTRO DE CAMERFIRMA

POLÍTICA DE SEGURIDAD Versión 1.0 ENTIDAD DE VERIFICACIÓN O REGISTRO DE CAMERFIRMA POLÍTICA DE SEGURIDAD Versión 1.0 ENTIDAD DE VERIFICACIÓN O REGISTRO DE CAMERFIRMA 1. INTRODUCCIÓN Salmon Corp, se constituye como Entidad de Registro o Verificación de la Entidad de Certificación Camerfirma,

Más detalles

Política de Seguridad de la Información para la Universidad Nacional de Córdoba

Política de Seguridad de la Información para la Universidad Nacional de Córdoba Política de Seguridad de la Información para la Universidad Nacional de Córdoba 1 ALCANCE. 1 1. Alcance. La presente Política de Seguridad de la Información se dicta en cumplimiento de las disposiciones

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

Tecnología POLÍTICA DE ASIGNACIÓN Y USO DE EQUIPOS DE TECNOLOGÍA T-TY

Tecnología POLÍTICA DE ASIGNACIÓN Y USO DE EQUIPOS DE TECNOLOGÍA T-TY Tecnología POLÍTICA DE ASIGNACIÓN Y USO DE EQUIPOS DE TECNOLOGÍA T-TY TEC-01 DIARIO EL TELEGRAFO Guayaquil, Marzo 2009 INDICE 1. OBJETIVO...... 3 2. ALCANCE...... 3 3. REFERENCIAS...... 3 4. TÉRMINOS Y

Más detalles

Dominio 2. Organización de la Seguridad

Dominio 2. Organización de la Seguridad Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

Políticas de Seguridad en Tecnologías de la Información y Telecomunicaciones en la Consejería Jurídica del Ejecutivo Federal

Políticas de Seguridad en Tecnologías de la Información y Telecomunicaciones en la Consejería Jurídica del Ejecutivo Federal Políticas de Seguridad en Tecnologías de la Información y Telecomunicaciones en la Consejería Jurídica del Ejecutivo Federal Página 1 de 12 I.Introducción Las políticas de seguridad en cómputo tienen por

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional

Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional Versión 1 Julio-2005 Política Modelo Documento Público A fin de garantizar la autoría e integridad

Más detalles

MEJORES PRÁCTICAS DE INDUSTRIA

MEJORES PRÁCTICAS DE INDUSTRIA MEJORES PRÁCTICAS DE INDUSTRIA A continuación se relacionan las mejores prácticas y recomendaciones en prevención de fraude, extractadas de los diferentes mapas de operación y riesgo desarrollados por

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) Tabla de Contenidos CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS 1 DE LA ADMINISTRACIÓN PÚBLICA NACIONAL

Más detalles

PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ

PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ FACULTAD DE CIENCIAS E INGENIERÍA Procedimientos para la auditoría física y medio ambiental de un Data Center basado en la clasificación y estándar internacional

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO

POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO PSHCM_01 2 0 1 3 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva del Hospital Clínico de Magallanes y su uso debe

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Directrices del Plan Director de Seguridad:

Directrices del Plan Director de Seguridad: Directrices del Plan Director de Seguridad: ISO 17799 Jefe de Servicio de Sistemas Informáticos Ministerio de Trabajo y Asuntos Sociales Palabras clave Plan Director, Seguridad, ISO 17799.. Resumen de

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

LINEAMIENTOS PARA EL USO DE BIENES INFORMATICOS EN LA DIVISIÓN DE CIENCIAS SOCIALES Y HUMANIDADES

LINEAMIENTOS PARA EL USO DE BIENES INFORMATICOS EN LA DIVISIÓN DE CIENCIAS SOCIALES Y HUMANIDADES LINEAMIENTOS PARA EL USO DE BIENES INFORMATICOS EN LA DIVISIÓN DE CIENCIAS SOCIALES Y HUMANIDADES 1. INTRODUCCION El presente documento establece los lineamientos divisionales para la adquisición y uso

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

Circular Normativa para el Uso y Administración de los Computadores

Circular Normativa para el Uso y Administración de los Computadores Marzo de 2008 Circular Normativa para el Uso y Administración de los Computadores Normas generales La presente circular tiene como objetivo, estandarizar el uso y administración de los computadores y asegurar

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Página 1 de 10 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDIA DE RECETOR 2014 Página 2 de 10 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración

Más detalles

CUALIFICACIÓN OPERACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN OPERACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 23 CUALIFICACIÓN OPERACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC300_2 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM 1. Objetivo del documento Establecer las normas de uso correcto de los Recursos Informáticos y de la Red de Datos en la UPM.

Más detalles

4.1. DOMINIO 5: Política de Seguridad

4.1. DOMINIO 5: Política de Seguridad 4.1. DOMINIO 5: Política de Seguridad Dominio 5. POLÍTICA DE SEGURIDAD Categoría 5.1. Política de seguridad de la información Control 5.1.1. Documento de política de seguridad de la información. Aprobar,

Más detalles

Lineamientos en Materia de Tecnologías de Información y Comunicaciones

Lineamientos en Materia de Tecnologías de Información y Comunicaciones Con fundamento en los artículos 3 y 6, fracción VII, del Reglamento del Poder Legislativo del Estado de Guanajuato para el Uso de Medios Electrónicos y Firma Electrónica, la Secretaría General emite los

Más detalles

REGLAMENTO PARA EL USO Y FUNCIONAMIENTO DE LOS CENTROS DE CÓMPUTO DE LA FACULTAD DE INGENIERÍA

REGLAMENTO PARA EL USO Y FUNCIONAMIENTO DE LOS CENTROS DE CÓMPUTO DE LA FACULTAD DE INGENIERÍA REGLAMENTO PARA EL USO Y FUNCIONAMIENTO DE LOS CENTROS DE CÓMPUTO DE LA CAPÍTULO I Disposiciones Generales Artículo 1. El presente reglamento tiene como objetivo regular la organización, disciplina y servicio

Más detalles

World BASC Organization Business Alliance for Secure Commerce (BASC) Estándares de Seguridad AGENTE ADUANAL

World BASC Organization Business Alliance for Secure Commerce (BASC) Estándares de Seguridad AGENTE ADUANAL Página: 1 de 11 Los Agentes Aduanales deben realizar una evaluación completa de sus prácticas de seguridad basándose en los siguientes criterios mínimos de seguridad de BASC. El Agente Aduanal desempeña

Más detalles

1. Medidas de Seguridad para Datos Personales en Soportes Físicos. Número Apartado Disposición. 1.1.3. 1.1. Área de recepción de datos personales

1. Medidas de Seguridad para Datos Personales en Soportes Físicos. Número Apartado Disposición. 1.1.3. 1.1. Área de recepción de datos personales 1. Medidas de Seguridad para Datos Personales en Soportes Físicos. Número Apartado Disposición. 1.1.3. 1.1. Área de recepción de datos Cualquier persona puede identificar con facilidad al personal autorizado

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 55 Miércoles 5 de marzo de 2014 Sec. III. Pág. 21241 III. OTRAS DISPOSICIONES MINISTERIO DE SANIDAD, SERVICIOS SOCIALES E IGUALDAD 2378 Orden SSI/321/2014, de 26 de febrero, por la que se aprueba

Más detalles

Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN En este capitulo se elaboraran las políticas de seguridad con el propósito de proteger la información de la empresa, estas servirán de guía para la

Más detalles

Estándares de Seguridad SERVICIO DE VIGILANCIA Y SEGURIDAD PRIVADA

Estándares de Seguridad SERVICIO DE VIGILANCIA Y SEGURIDAD PRIVADA Página:Página 1 de 10 Reconociendo que las Empresas que prestan Servicios de Vigilancia y Seguridad Privada normalmente no juegan un rol significativo en los aspectos físicos del almacenamiento, cargue,

Más detalles

Procedimiento de Gestión de Incidentes de Seguridad de la Información

Procedimiento de Gestión de Incidentes de Seguridad de la Información SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de Código:

Más detalles

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA APARTADO I RESTRICCIONES GENERALES DEL USO DE LA PLATAFORMA TECNOLÓGICA DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

Más detalles

REGLAMENTO EN MATERIA DE INFORMÁTICA Y CÓMPUTO PARA EL MUNICIPIO DE ZAPOPAN, JALISCO. CAPÍTULO I DE LAS DISPOSICIONES GENERALES

REGLAMENTO EN MATERIA DE INFORMÁTICA Y CÓMPUTO PARA EL MUNICIPIO DE ZAPOPAN, JALISCO. CAPÍTULO I DE LAS DISPOSICIONES GENERALES REGLAMENTO EN MATERIA DE INFORMÁTICA Y CÓMPUTO PARA EL MUNICIPIO DE ZAPOPAN, JALISCO. CAPÍTULO I DE LAS DISPOSICIONES GENERALES Artículo 1. El presente ordenamiento es de aplicación obligatoria para todos

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT: 800.217.641-6

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT: 800.217.641-6 POLÍTICAS DE USO DE HARDWARE Y SOFTWARE OBJETO Establecer las características del Hardware y Software Estándar a utilizar en la red, computadores personales (Desktop), portátiles (Laptops) y servidores.

Más detalles