Dirección de Tecnologías de la Información. Página 1

Transcripción

1 Página 1

2 CONTROL DE DOCUMENTO TITULO DESCRIPCIÓN CLAVE Manual de Políticas de Tecnologías de la Información Manual general de Políticas y Procedimientos de la Dirección de Tecnologías de la Información. STMO-001 VERSIÓN 3.0 ÁREA AUTOR Gerardo Villalobos Torres FECHA DE EMISIÓN REVISO APROBADO POR Jorge Castañón Lara.- Director Ejecutivo De Administración y Finanzas Jorge Castañón Lara Director.- Ejecutivo de Administración y Finanzas FECHA DE APROBACIÓN FECHA DE ULTIMA Agosto del 2009 REVISION POLÍTICA DE DISTRIBUCIÓN No. Copia Personal Autorizado para su Uso Este documento puede ser distribuido sin restricciones a todo el personal del CPTM Uso interno solamente Fecha Página 2

3 Objetivo El objetivo del presente Manual, es establecer los lineamientos y normas que orienten la operación del Consejo de Promoción Turística de México S.A. de C.V. en adelante identificado como el CPTM, en materia de Tecnologías de la Información, considerando los criterios y acciones que garanticen la preservación y optimización de la Red de Cómputo, Sistemas e Infraestructura Tecnológica, equipos de computo así como de los Portales de Internet. Estas normas se publican en base a las funciones de la Dirección de Tecnologías de la Información en adelante identificada como la DTI, y las áreas que le reportan, que son la Gerencia de Mercadeo Electrónico, en adelante identificado como la GME, cuyas funciones incluyen los aspectos de: definición de la política informática, la planeación ejecución, supervisión, operación y seguridad de los equipos y servicios informáticos. Conforme al Oficio DG/CPT/147/2008 de fecha 31 de Octubre del año próximo pasado, el cual hace mención al artículo 32 fracción XIII del Estatuto Orgánico del CPTM, así como al Oficio DEFA/558/2008 del 1º de Noviembre de Página 3

4 Índice Disposiciones generales 1.-Acceso a los diferentes equipos instalados 4 2.-Tipos de usuarios Usuarios internos Personal de apoyo externo Usuarios externos Personal de Tecnologías de la Información Personal de (Apoyo) (Outsourcing) en Tecnologías de la Información Cuentas de usuario y Passwords Asignación de equipos Obligaciones de los usuarios Uso de dispositivos auxiliares Software y Sistemas Seguridad de los equipos Respaldo de información Recursos de red y almacenamiento Cuentas de correo Seguridad y privacidad de información Buen uso de los equipos y servicios informáticos Privacidad de la información Adquisiciones de equipos..12 Página 4

5 Disposiciones generales 1.-Acceso a los diferentes equipos instalados: 1.1 Solo tendrán derecho de utilizar los equipos y/o servicios de tecnología, que proporciona el CPTM los usuarios que sean empleados vigentes del CPTM. 1.2 En situaciones especiales, se podrá autorizar el uso de los equipos a personal que no sea empleado del CPTM, siempre y cuando exista la solicitud de un empleado del CPTM y esté autorizado por la DTI o de la GME, y bajo el entendido que las acciones que realice el personal externo serán responsabilidad del empleado que solicito la autorización. El usuario interno que permita el acceso y uso de los equipos y sistemas informáticos a personal no autorizado por la DTI o la GME, es co responsable de las acciones que este realice. 1.3 Todos las personas que utilicen los equipos y/o servicios tecnológicos que proporciona el CPTM, están obligados al cumplimiento de las normas incluidas en este Manual, así como a respetar los estándares técnicos y demás disposiciones que regulan los servicios informáticos así como las que llegue a publicar la DTI. 2.-Tipos de usuarios Para los efectos del presente manual, se establecen las siguientes categorías de usuarios de los servicios informáticos: 2.1 Usuarios internos Que se refiere a los trabajadores en activo del CPTM. 2.2 Personal de apoyo externo Que se refiere a todas aquellas personas externas al CPTM que a petición expresa de algún usuario interno se le otorgue autorización para el uso en las instalaciones y equipos del CPTM. 2.3 Usuarios externos Que se refiere a todas aquellas personas físicas o instituciones ajenas al CPTM que se les otorga el acceso a los recursos tecnológicos internos. 2.4 Personal de Tecnologías de la Información Se refiere a los trabajadores en activo del CPTM cuya función institucional involucra alguna actividad de Análisis y Desarrollo de Sistemas, Soporte Técnico, Operación de Sistemas, Comunicaciones, Seguridad informática y Administración de áreas de informática así como al personal de apoyo externo que estando autorizado por la DTI o la GME realice funciones análogas. Página 5

6 2.5 Personal de (Apoyo) (Outsourcing) en Tecnologías de la Información: Se refiere a los trabajadores contratados por el CPTM cuya función, involucra alguna actividad de Análisis, Desarrollo de Sistemas, Soporte Técnico, Operación de Sistemas, Comunicaciones, Seguridad informática etc. Estos deberán sujetarse a los términos para lo cual fueron contratados, y cumplir con las clausulas, establecidas siempre con la supervisión y seguimiento de quien los contrató o es responsable del seguimiento de su contrato. La DTI es la encargada del cumplimiento inmediato de la vigilancia, supervisión del cumplimiento de las disposiciones contenidas en este manual, sin que ello excluya de su responsabilidad a los demás empleados y titulares de las áreas usuarias. La difusión de las políticas contenidas en este documento, quedara a cargo de la GME. 3.- Cuentas de usuario y passwords 3.1 Las cuentas de seguridad y passwords asignados a los usuarios son personales e intransferibles, siendo responsabilidad del usuario preservar la confidencialidad de las mismas, las acciones que se realicen utilizando esta cuenta se entenderán realizadas personalmente por el usuario. Cualquier empleado que permita a otro el uso de su cuenta de acceso será responsable de las acciones que este lleve a cabo como si las hubiera realizado el mismo. Así mismo acceder, analizar, modificar o extraer información de los equipos y archivos a los cuales no se tengan la autorización respectiva. Las cuentas de usuario son exclusivamente creadas por la DTI, la cual es encargada de asignar a los empleados para su desarrollo laboral. 3.2 En caso de sospecha que hay algún problema con la cuenta o con el password del usuario, como podría ser el mal uso de la misma, es obligación del usuario reportarla para su reemplazo al DTI para tomar las medidas necesarias 3.3 El acceso a los sistemas del CPTM se otorgará a los trabajadores con base en los requerimientos necesarios para desarrollar su trabajo y a solicitud del responsable de la información. 3.4 Está prohibido el acceso, modificación y distribución no autorizada de los sistemas, datos institucionales y sistema de seguridad que la protejan así como asistir o proporcionar información a un tercero con este fin. 3.5 Es obligación del superior inmediato del usuario el notificar oportunamente cuando algún usuario cambie de funciones, adscripción o deje de laborar para la empresa y sea necesario modificar o desactivar su cuenta o los niveles de acceso y seguridad. La notificación se hará al DTI por medio un correo electrónico, o una solicitud de servicios. Página 6

7 4.-Asignación de equipos La DTI en base a las necesidades de las áreas, así como en la disponibilidad de recursos tecnológicos determinará la distribución y asignación de equipos entre las diferentes áreas. La misma podrá en cualquier momento modificar, limitar, disminuir, retirar o condicionar el uso de los recursos informáticos que previamente se hayan asignado a las áreas, cuando por limitantes de recursos, necesidades técnicas u otras necesidades de la empresa así lo considere conveniente. La asignación de equipos y servicios se realiza en función del puesto, por lo que el usuario que cambie de puesto, funciones o deje de laborar para la empresa deberá de poner el mismo, a disposición de la DTI para que la misma lo reasigne en funciones de las necesidades de la empresa. Los usuarios no podrán reasignar ni prestar el equipo que se les asigne a otros usuarios. 4.1 Para poder extraer o introducir algún equipo de cómputo ajeno al CPTM es necesario acudir al DTI para que sea otorgado un formato, el cual dará la autorización para el manejo de los equipos dentro del consejo. 4.2 El equipo de cómputo se encuentra distribuido de acuerdo a la infraestructura física e instalaciones del CPTM, por ello no se permite realizar movimiento de estos sin autorización de la DTI 5.- Obligaciones de los usuarios. Además del cumplimiento general de las disposiciones contenidas en este documento, son obligaciones de los usuarios. 5.1 Utilizar en forma apropiada y razonable el equipo, software y servicios que se les proporcione, para el desempeño de sus funciones, evitando el maltrato y abuso de los mismos, así como tomar las medidas razonables para su cuidado y protección así como de la información contenida en estos. 5.2 Todos los usuarios de los equipos (MULTIFUNCIONALES, IMPRESORAS, SCANNERS, COPIADORAS, COMPUTADORAS, LAP TOP ETC.) deben saber el uso correcto de los equipos, con el fin de reducir el consumo de tinta, desperdicio de papel, así como provocar desperfectos en los mismos, en caso de no conocer el uso de los equipos solicitar una asesoría al DTI a través de una solicitud de servicio, para asesoría y la DTI se encargará de capacitar y/o aclarar dudas al personal, para que sepa el correcto funcionamiento de los equipos. 5.3 Es responsabilidad del usuario mantener el equipo en las condiciones en que fue recibido para ello deberá reportar a la DTI cualquier falla encontrada, a fin de corregirla a la brevedad posible. 5.4 No maltratar el equipo. 5.5 Para cualquier desconocimiento en software instalado o problemas en el equipo, notificar al personal de la DTI para que sea asistido de manera adecuada. Página 7

8 5.6 Introducir al CPTM computadoras portátiles propias, siempre y cuando sean registradas de la forma correcta, y autorizadas por el área de vigilancia correspondiente, haciendo del conocimiento a DTI, para efectos de su conocimiento. 5.7 Si por algún motivo el usuario causa algún daño a los equipos de cómputo, es obligación del usuario, avisar a la DTI y OIC sobre el hecho ocurrido mediante una carta de hechos, para después determinar las acciones correspondientes. 5.8 Dentro de las recomendaciones para un funcionamiento de los equipos: Promover el uso de papel reciclado, para efectos de ahorro del mismo Evitar imprimir pruebas innecesarias de documentos, sobretodo cuando el volumen del documento sea muy grande. Evitar cambiar la configuración de los equipos si hay dudas solicitar asesoría a la DTI Si hay algún desperfecto comunicarlo al departamento correspondiente, evitando tratar de arreglarlo, pudiendo ocasionar algún error mas grave. Usar únicamente papel de impresión permitido Queda estrictamente prohibido abrir los equipos de cómputo. Utilizar los equipos únicamente para trabajos relacionados con el CPTM 6.-Uso de dispositivos auxiliares En el caso de que se utilicen dispositivos auxiliares tales como, usb, cd, disco duro externo, etc.: 6.1 Revisar y asegurarse con antivirus el desinfectar los medios magnéticos personales, antes de usarlos en el equipo. 6.2 No copiar y/o hacer mal uso del software instalado en los equipos 6.3 Evitar violar la seguridad del sistema utilizando cuentas y passwords distintos a los otorgados 7.- Software y Sistemas 7.1 Utilizar en los equipos y dispositivos de la red informática del CPTM solamente el software y paquetería que la empresa les proporcione o expresamente les autorice. 7.2 La instalación de programas correrá a cargo del DTI, por lo que queda estrictamente prohibido que el usuario realice la instalación de estos, de requerir la utilización de un programa en específico, será bajo la autorización del DTI sólo instalará software que cuente con la debida aprobación legal para su uso (Licencia). 7.3 Todas las licencias de software y discos de instalación originales deberán estar bajo el resguardo de la DTI. Página 8

9 8.-Seguridad de los equipos Tomar las medidas razonables para verificar que los archivos, programas y medios magnéticos que emplean para la transportación y almacenamiento de información estén libres de virus informáticos, dando aviso a la DTI de los casos que se presenten. Para esto se les recomienda: 8.1 Mantener actualizada la base de datos del antivirus en sus equipos, esto se puede realizar oprimiendo el botón de actualizar (update) que aparece en el icono de su barra de herramientas de su escritorio del lado derecho y que se refiere a activar la actualización, del antivirus, a la fecha recuerde que cada día surgen nuevos y más poderosos virus, que pueden afectar toda la Organización. 8.2 Revisar con el antivirus su equipo de forma periódica 8.3 Analizar cualquier medio de almacenamiento al insertarlo en los equipos 8.4 Si el dispositivo esta infectado, evitar insertarlo en otros equipos, evitando su propagación y daño en el resto de los equipos 9.- Respaldo de información El respaldo de la información contenida en los equipos personales de cómputo asignados a los usuarios es responsabilidad de los mismos. A solicitud de los mismos, la GME les apoyara mediante darles acceso a los medios para que estos puedan hacerlo. 9.1 Realizarlos de forma periódica 9.2 Solo respaldar información propia de su trabajo y que requiera conservarse 9.3 El volumen del respaldo debe de ser de un tamaño razonable 9.4 Conservar bajo su responsabilidad los respaldos realizados 9.5 Utilizar medios de almacenamientos como CD, DVD o memorias USB o en su caso en los servidores del CPTM. Sin embargo, la información propia del CPTM, por seguridad de la misma no debe salir de las instalaciones. 9.6 Evitar hacer duplicados innecesarios de respaldos 9.7 Destruir respaldos obsoletos, con esto pudiendo evitar fuga de información 9.8 La GME respaldará en base a su calendario de respaldos exclusivamente los sistemas e información de uso institucional general del CPTM, ubicada en los servidores centrales Página 9

10 10.-Recursos de red y almacenamiento Respetar el uso de recursos informáticos, tales como espacio en disco, que establezca la DTI con el propósito de hacer un uso racional y eficiente de los recursos disponibles y mantener la disponibilidad de los servicios de informática para todos los usuarios. Dentro de las recomendaciones están: 10.1 Evitar guardar en disco duro información de gran tamaño como podrían ser música, fotos, videos o cualquier archivo multimedia en exceso, ya que son los archivos que más ocupan espacio en disco duro (excepto aquellos que por razones de trabajo sea indispensable mantener) y estén plenamente justificados Evitar realizar descargas de archivos de gran tamaño e innecesarias de la red, como podrían ser videos, películas, música, software ya que reducen en gran parte el trafico de información en la red dentro del CPTM Evitar usar programas para descargar y compartir archivos entre usuarios, algunos ejemplos de ellos son: (Limewire, ares, Gnutella, edonkey etc.,) los cuales sirven para descargar archivos de ocio (video, música, software, etc) ajenos a practicas laborales dentro del CPTM, asi como consumen muchos recursos de ancho de banda y en los equipos, así como son una gran y fácil fuente de infección en equipos Para mejorar el trafico de la red en momentos donde el flujo de información es demasiado pesado, como podrían ser los casos de subir ofertas o ftp, es recomendable que cuando lo usuarios no estén haciendo un uso importante de los recursos de la red o bien hayan concluido de realizar sus actividades, cierren sesión de su cuenta de usuario, para permitir que los demás usuarios que están realizando dichas actividades, tengan una mayor facilidad de flujo de información Cuentas de correo Cada cuenta de correo contará con un límite de almacenamiento de 1024 MB máximo, si la cuenta llegara al límite de su capacidad, deberá ser depurada por el usuario, ya que podría ocasionar que su cuenta de correo se corrompa así como ocasionar que en su equipo se sature el espacio de disco duro, esto empezara a ocasionar problemas de rendimiento, como podría ser, lentitud en el desempeño, por lo cual se recomienda que se revise el volumen de almacenamiento del equipo periódicamente, así como realizar un respaldo de la información contenida En las cuentas de correo almacenar únicamente la información que sea relevante e importante para el desarrollo de trabajo Eliminar de las cuentas de correo información basura o sin importancia que únicamente saturan el espacio de los servidores de correo Evitar mandar cadenas o información de ocio. Página 10

11 12.- Seguridad y privacidad de información Tomar las medidas razonables y necesarias para proteger y recuperar la información relevante que maneje en el equipo personal que se le asignó en caso de falla en su equipo No revelar contraseñas a otros usuarios 12.2 Evitar cambiar las configuraciones de los equipos 12.3 No conectar dispositivos ajenos al equipo 12.4 Al terminar el día de trabajo, no olvidarse de apagar los equipos de cómputo con su respectiva fuente de alimentación 12.5 Si los equipos cuentan con algún problema, comunicar al DTI para su inmediata 13.-Buen uso de los equipos y servicios informáticos 13.1 Utilizar los equipos y servicios informáticos del CPTM para actividades propias de la institución, en consecuencia, está prohibido el acceso a sitios de Internet con propósitos de recreación y/o entretenimiento, el acceso a contenidos pornográficos, la transmisión de chistes, cadenas, el desarrollar actividades caritativas, negocios personales o de terceros, así como cualquier otro uso no vinculado con las funciones propias de su puesto en la empresa. Se permite a los usuarios el uso ocasional y personal de los equipos servicios informáticos, siempre y cuando se sujete a las siguientes reglas: 1. No consuma más que un monto trivial de los recursos de los equipos y/o servicios de informática. 2. No interfiera con la productividad personal, ni con la de otros empleados y/o del área 3. No interfiera con las actividades normales de negocios del CPTM 4. El usuario no debe desconectar los cables de la computadora para conectar su computadora personal. 5. No se permite el uso de programas de mensajería instantánea a excepción de Windows Messenger, esto solo con el fin de asuntos laborales. 6. El uso de las Webcams debe de ser únicamente como complemento para trabajo, como son las videoconferencias, con ningún fin personal 13.2 No viole alguna otra disposición de carácter legal Los mensajes, Juegos, Música, Imágenes y demás archivos o programas personales que se encuentren en los equipos y/o servidores asignados a los usuarios y propiedad del CPTM, podrán ser borrados por la DTI si a criterio de misma no cumplen los criterios mencionados anteriormente No mover, abrir, desconectar o modificar, de cualquier modo, el equipo de cómputo, periféricos, y software de sus equipos, así como no instalar ningún software sin la autorización expresa del DTI, ni modificar la configuración de los equipos y software. Página 11

12 14.-Privacidad de la información 14.1 El CPTM tiene implementadas varias medidas de seguridad para proteger en forma razonable la privacidad de las comunicaciones que circulen a través de sus sistemas, sin embargo los sistemas de comunicación electrónica, por su propia naturaleza, pueden ser sujetos de intercepción por terceras partes por lo que los usuarios deben abstenerse de enviar información confidencial a través de estos medios, si algún usuario necesita enviar información confidencial a través de estos medios, deberán acudir con el DTI para analizar en forma conjunta caso por caso y tomar las medidas pertinentes Es política del CPTM el NO examinar el contenido de los mensajes y archivos electrónicos que se encuentran o utilizan la infraestructura del CPTM. Sin embargo, la DTI y la GME tiene implementados mecanismos de análisis del tráfico y uso de los servicios con propósitos de mantenimiento, análisis y estadísticas de uso, e investigación de posibles abusos, que implican la necesidad ocasional de revisar los mensajes en cuanto al correo como tal, más no es posible su lectura y por lo que el usuario acepta por el simple hecho de utilizar estos recursos el conocimiento y la aceptación de estas situación 14.3 Los mensajes de correo, archivos electrónicos y demás información contenida en los sistema de computo o transmitida a través de los medios de comunicación proporcionados por el CPTM (correo electrónico, Chat, Internet, etc.) se entenderá que es generada por los usuarios como parte de sus funciones laborales y por lo tanto propiedad de la institución, por lo que los empleados, deberán de abstenerse de enviar información personal o no relacionada con sus funciones a través de los mismos, en el entendido de que si así lo hicieran, están autorizando tácitamente al CPTM el acceso y uso de la misma Ningún usuario o área podrá comprometer, autorizar y/o ejercer acciones, recursos, incluyendo anuncios, links o campañas de Internet tomar alguna otra atribución propia de la DTI sin la autorización expresa de la misma La GME establecerá los mecanismos y acciones razonables que conduzcan a garantizar, en cuanto de ella dependa, la confidencialidad de la información, manejada por los usuarios autorizados de la red y los sistemas informáticos del CPTM La captura, integridad, exactitud y vigencia de la información y contenidos que requieren los sistemas, así como la operación regular de éstos es responsabilidad propia de los usuarios y de los titulares de las áreas Adquisiciones de equipos 15.1 La y/o el Comité de Adquisiciones, son las únicas áreas que podrán autorizar la compra, arrendamiento o contratación de productos, software y/o servicios relativos a Tecnologías de Información y Comunicaciones, Telecomunicaciones, y demás actividades relacionadas que de manera enunciativa más no limitativa se mencionan a continuación: Compra, Renta o Préstamo de equipos y accesorios de cómputo y telecomunicación de datos. Página 12

13 Compra y licenciamiento de software. -Contratación de servicios de consultoría en sistemas y cualquier otro servicio relacionado con tecnologías de información, programación, análisis y desarrollo de sistemas, captura de datos o telecomunicación de datos sea en forma local, vía Internet o cualquier medio de acceso remoto. Mantenimiento de equipos de cómputo y telecomunicaciones y software Compra y Administración de Nombres de Dominio y sitios de Internet Desarrollo y Mantenimiento de Sistemas Instalación y operación de equipos y sistemas 15.2 Con objeto de proporcionar agilidad operativa a las funciones que desarrolla la DTI, la misma podrá autorizar proyectos y las adquisiciones de bienes y servicios informáticos sin autorización previa del Comité de informática cuando se den alguna de las siguientes condiciones: 1. Exista la necesidad manifiesta para restablecer y/o mantener en operación normal los equipos y servicios informáticos y el costo de adquisición no rebase el monto autorizado para adjudicaciones directas. 2. Se presenten situaciones de emergencia que afecten los servicios informáticos Para el resto de los proyectos y adquisiciones de bienes y servicios informáticos, los mismos deberán de presentarse a la DTI para su Visto Bueno. Las adquisiciones específicas de bienes y servicios informáticos derivados de proyectos autorizados en lo general serán validadas y ratificadas, por la misma. Página 13

14 La, desarrollará o coordinará los proyectos y sistemas de operación generalizada en el CPTM en base a la propuesta que apruebe la Dirección Ejecutiva de Administración y Finanzas deberán someter en forma oportuna y completa para aprobación las propuestas de proyectos y desarrollos de sistemas informáticos que a su juicio resulten necesarios para el desarrollo de las funciones de las áreas bajo su cargo acompañadas de la justificación del mismo. La GME será la responsable de la parte técnica de los proyectos, el área usuaria será responsable de la parte funcional de los mismos, de la operación apropiada, así como de la adecuada implantación y aprovechamiento del sistema. Para el caso de violación a lo dispuesto en el presente Manual el CPTM aplicara los procedimientos y sanciones establecidas en las leyes, reglamentos y demás disposiciones administrativas de carácter federal que corresponda. Así como a la reducción y/o suspensión de los servicios y derechos asignados. Las violaciones de seguridad y uso indebido de la información o sistemas administrativos del CPTM, así como la instalación de programas sin licencia en los discos duros de las máquinas de los usuarios del equipo de cómputo del CPTM, se consideran faltas de especial gravedad. En razón de las necesidades propias de la empresa y del tipo de funciones que desempeñan los empleados, la DTI o la GME, podrán de manera verbal o escrita autorizar en ciertos casos excepciones al cumplimiento de las políticas y procedimientos que regulan la función informática. Página 14