Guía de Seguridad y uso apropiado de Tecnología de la Información

Transcripción

1 Guía de Seguridad y uso apropiado de Tecnología de la Información Página 1

2 Objetivo Establecer los lineamientos y normas que orienten la operación del Consejo de Promoción Turística de México S.A. de C.V. en adelante identificado como el CPTM, en materia de, considerando los criterios y acciones que garanticen la preservación y optimización de diversos recursos tecnológicos, así como establecer las medidas de respaldos y seguridad de la información óptimos al CPTM. Página 2

3 Disposiciones generales 1.-Acceso a los diferentes equipos instalados: 1.1 Solo los empleados vigentes del CPTM tendrán derecho de utilizar los equipos y/o servicios de tecnología, que proporciona el CPTM. 1.2 En situaciones especiales, se podrá autorizar el uso de los equipos a personal que no sea empleado del CPTM, siempre y cuando exista la solicitud de un empleado del CPTM y esté autorizado por la Dirección de Tecnologías de Información, y bajo el entendido que las acciones que realice el personal externo serán responsabilidad del empleado que solicito la autorización. El usuario interno que permita el acceso y uso de los equipos y sistemas informáticos a personal no autorizado por la Dirección de Tecnologías de Información, es responsable de las acciones que este realice. 1.3 Todas las personas que utilicen los equipos y/o servicios tecnológicos que proporciona el CPTM, están obligados al cumplimiento de las normas incluidas en esta guía, así como a respetar los estándares técnicos y demás disposiciones que regulan los servicios informáticos así como las que llegue a publicar la Dirección de Tecnologías de Información. 2.-Tipos de usuarios Para los efectos de la presente guía, se establecen las siguientes categorías de usuarios de los servicios informáticos: 2.1 Usuarios internos Que se refiere a los trabajadores en activo del CPTM. 2.2 Usuarios externos Que se refiere a todas aquellas personas físicas ajenas al CPTM que se les otorga el acceso a los recursos tecnológicos internos. 2.3 Personal de Se refiere a los trabajadores en activo del CPTM cuya función institucional involucra alguna actividad de Análisis y Desarrollo de Sistemas, Soporte Técnico, Operación de Sistemas, Comunicaciones, Seguridad informática y Administración de áreas de informática. 3.- Cuentas de usuario y passwords 3.1 Las cuentas de seguridad y passwords asignados a los usuarios son personales e intransferibles, siendo responsabilidad del usuario preservar la confidencialidad de las mismas, las acciones que se realicen utilizando esta cuenta se entenderán realizadas Página 3

4 personalmente por el usuario. Cualquier empleado que permita a otro el uso de su cuenta de acceso será responsable de las acciones que este lleve a cabo como si las hubiera realizado él mismo. Tales como: acceder, analizar, modificar o extraer información de los equipos y archivos a los cuales no se tengan la autorización respectiva. La GTI es la encargada de asignar a los empleados del CPTM las cuentas de usuario institucionales, para su desarrollo laboral. 3.2 En caso de sospecha que hay algún problema con la cuenta o con el password del usuario, como podría ser el mal uso de la misma, es obligación del usuario reportarla para su reemplazo a la Dirección de Tecnologías de Información, para tomar las medidas necesarias. 3.3 El acceso a los sistemas del CPTM se otorgará a los trabajadores con base en los requerimientos necesarios para desarrollar su trabajo y a solicitud del responsable de la información. 3.4 Está prohibido el acceso, modificación y distribución no autorizada de los sistemas, datos institucionales y sistema de seguridad que la protejan así como asistir o proporcionar información a un tercero con este fin. 3.5 La Dirección de Recursos Humanos notificará a la Dirección de Tecnologías de Información, cuando algún usuario cambie de funciones, adscripción o deje de laborar para la empresa y sea necesario modificar o desactivar su cuenta o los niveles de acceso y seguridad. La notificación se hará, por medio un correo electrónico. 4.-Asignación de equipos La Dirección de Tecnologías de Información, con base a las necesidades de las áreas, así como en la disponibilidad de recursos tecnológicos determinará la distribución y asignación de equipos entre las diferentes áreas. La misma podrá en cualquier momento modificar, limitar, disminuir, retirar o condicionar el uso de los recursos informáticos que previamente se hayan asignado a las áreas, por necesidades técnicas u otras necesidades de la entidad así lo considere conveniente. La asignación de equipos y servicios se realiza en función del puesto, por lo que el usuario que cambie de puesto, funciones o deje de laborar para la entidad deberá de poner el mismo, a disposición de la Dirección de Tecnologías de Información, para que ésta lo reasigne, en función de las necesidades del Consejo. Los usuarios no podrán reasignar ni prestar el equipo que se les asigne, a otros usuarios. 4.1 Para poder extraer o introducir algún equipo de cómputo ajeno al CPTM es necesario acudir a la Dirección de Tecnologías de Información, para solicitar la autorización correspondiente. 4.2 El equipo de cómputo se encuentra distribuido de acuerdo a la infraestructura física e instalaciones del CPTM, por ello no se permite realizar movimiento de estos sin autorización de la Dirección de Tecnologías de Información. Página 4

5 5.- Obligaciones de los usuarios. Además del cumplimiento general de las disposiciones contenidas en este documento, son obligaciones de los usuarios: 5.1 Utilizar en forma apropiada y razonable el equipo, software y servicios que se les proporcione, para el desempeño de sus funciones, evitando el maltrato y abuso de los mismos, asimismo deberá adoptar las medidas razonables para su cuidado y protección de la información contenida en estos. 5.2 Todos los usuarios de los equipos (MULTIFUNCIONALES, IMPRESORAS, SCANNERS, COMPUTADORAS, LAP TOP, ETC.) deben saber el uso correcto de los equipos, con el fin de reducir el consumo de tinta, desperdicio de papel, así como provocar desperfectos en los mismos, en caso de no conocer el uso de los equipos, deberán pedir una asesoría a la Dirección de Tecnologías de Información, a través de una solicitud de servicio; misma que se encargará de capacitar y/o aclarar dudas al personal, para que conozcan el correcto funcionamiento de los equipos. 5.3 Es responsabilidad del usuario mantener el equipo en las condiciones en que fue recibido, para ello deberá reportar a la GTI cualquier falla encontrada, a fin de corregirla a la brevedad posible. 5.4 No maltratar el equipo y devolverlo en condiciones óptimas. 5.5 Cuando sea el caso, notificar al personal de la Dirección de Tecnologías de Información, el desconocimiento del manejo de los equipos para que sea asistido de manera adecuada. 5.6 Introducir al CPTM computadoras, portátiles propias, siempre y cuando sean registradas por vigilancia, y autorizadas por la Dirección de Tecnologías de Información, estos equipos personales no recibirán ninguna actualización de software ni recibirán asistencia técnica. 5.7 Si por algún motivo el usuario detecta o causa alguna perdida o daño al equipo de cómputo asignado, es obligación del usuario, avisar a la Dirección de Tecnologías de Información y OIC sobre el hecho ocurrido mediante una acta administrativa, para que determinen las acciones correspondientes. 5.8 Recomendaciones para el funcionamiento adecuado de los equipos y ahorros: Promover el uso de papel reciclado, para efectos de ahorro del mismo; Evitar imprimir pruebas innecesarias de documentos, sobretodo cuando el volumen del documento sea muy grande; Evitar cambiar la configuración de los equipos si hay dudas solicitar asesoría a la Dirección de Tecnologías de Información; Si hay algún desperfecto comunicarlo al departamento correspondiente, evitar tratar de arreglarlo, ya que ello puede ocasionar algún daño grave; Página 5

6 Usar únicamente papel de impresión permitido; Queda estrictamente prohibido abrir los equipos de cómputo; y Deberá utilizar los equipos únicamente para trabajos relacionados con el CPTM. 6.-Uso de dispositivos auxiliares En el caso de que se utilicen dispositivos auxiliares tales como, usb, cd, disco duro externo, etc., deberán: 6.1 Revisar y asegurarse con antivirus el desinfectar los medios magnéticos personales, antes de usarlos en el equipo. 6.2 No copiar y/o hacer mal uso del software instalado en los equipos. 6.3 Prohibido violar la seguridad del sistema utilizando cuentas y passwords distintos a los otorgados. 7.- Software y Sistemas 7.1 Utilizar en los equipos y dispositivos de la red informática del CPTM solamente el software y paquetería que la empresa les proporcione o expresamente les autorice. 7.2 La instalación de programas correrá a cargo del GTI, por lo que queda estrictamente prohibido que el usuario realice la instalación de estos, de requerir la utilización de un programa en específico, será bajo la autorización del GTI sólo instalará software que cuente con la debida aprobación legal para su uso (Licencia). 7.3 Todas las licencias de software y discos de instalación originales deberán estar bajo el resguardo de la GTI. 7.4 Todos los equipos arrendados cuentan con licencias de software originales mismas que el proveedor es el encargado de sus actualizaciones y resguardo de las mismas. 7.5 La GTI tiene la facultad de eliminar todo aquel software que identifique malicioso. 8.-Seguridad de los equipos Tomar las medidas razonables para verificar que los archivos, programas y medios magnéticos que emplean para la transportación y almacenamiento de información estén libres de virus informáticos, dando aviso a la GTI de los casos que se presenten. Para esto se les recomienda: 8.1 Mantener actualizada la base de datos del antivirus en sus equipos, esto se realiza de manera automática, en caso de falla, el usuario debe notificar esta a la GTI para su atención. 8.2 Revisar con el antivirus su equipo y archivos de forma periódica Página 6

7 8.3 Analizar cualquier medio de almacenamiento al insertarlo en los equipos 8.4 Si el dispositivo esta infectado, evitar insertarlo en otros equipos, evitando su propagación y daño en el resto de los equipos. 8.5 La GTI lleva acabo revisiones periódicas durante el año, las cuales son de manera aleatoria, la GTI podrá desinstalar o eliminar (con causa justificada), previo aviso al usuario, los programas así como cualquier archivo que se identifique malicioso y que ponga en riesgo la seguridad de la información de la entidad. La GTI registrara cualquier anomalía encontrada, y generara los reportes pertinentes para la bitácora de sus revisiones anuales. 9.- Respaldo de información El respaldo de la información contenida en los equipos personales de cómputo, será a petición de los usuarios, dirigida a la GTI. 9.1 Realizarlos de forma periódica. 9.2 Solo respaldar información propia de su trabajo y que requiera conservarse. 9.3 El volumen del respaldo debe de ser de un tamaño razonable. 9.4 Conservar bajo su responsabilidad los respaldos realizados. 9.5 Utilizar medios de almacenamientos como CD, DVD o memorias USB o en su caso en los servidores del CPTM. Sin embargo, la información propia del CPTM, por seguridad de la misma no debe salir de las instalaciones. 9.6 Evitar hacer duplicados innecesarios de respaldos. 9.7 Destruir respaldos obsoletos, con esto pudiendo evitar fuga de información. 9.8 La GTI respaldará en base a su calendario de respaldos exclusivamente los sistemas e información de uso institucional general del CPTM, ubicada en los servidores centrales, los usuarios deben de informar y solicitar a GTI el soporte y autorización para realizar respaldos de su información en un servidor especial. 10.-Recursos de red y almacenamiento Respetar el uso de recursos informáticos, tales como espacio en disco, que establezca la GTI con el propósito de hacer un uso racional y eficiente de los recursos disponibles y mantener la disponibilidad de los servicios de informática para todos los usuarios. Dentro de las recomendaciones están: Página 7

8 10.1 Evitar guardar en disco duro información de gran tamaño como podrían ser música, fotos, videos o cualquier archivo multimedia en exceso, ya que son los archivos que más ocupan espacio en disco duro (excepto aquellos que por razones de trabajo sea indispensable mantener) y estén plenamente justificados; si el usuario no respeta esto, será responsable de cualquier falla en el equipo o perdida de información Evitar realizar descargas de archivos de gran tamaño e innecesarias de la red, como podrían ser videos, películas, música, software ya que reducen en gran parte el trafico de información en la red dentro del CPTM Evitar usar programas para descargar y compartir archivos entre usuarios, algunos ejemplos de ellos son: (Limewire, ares, Gnutella, edonkey etc.,) los cuales sirven para descargar archivos de ocio (video, música, software, etc.) ajenos a prácticas laborales dentro del CPTM, asi como consumen muchos recursos de ancho de banda y en los equipos, así como son una gran y fácil fuente de infección en equipos Para mejorar el trafico de la red en momentos donde el flujo de información es demasiado pesado, como podrían ser los casos de subir ofertas o ftp, es recomendable que cuando los usuarios no estén haciendo un uso importante de los recursos de la red o bien hayan concluido de realizar sus actividades, cierren sesión de su cuenta de usuario, para permitir que los demás usuarios que están realizando dichas actividades, tengan una mayor facilidad de flujo de información Cuentas de correo Cada cuenta de correo contará con un límite de almacenamiento de 1024 MB máximo, si la cuenta llegara al límite de su capacidad, deberá ser depurada por el usuario, ya que podría ocasionar que su equipo al saturar el espacio de disco duro, empezará a ocasionar problemas de rendimiento, como podría ser, lentitud en el desempeño, por lo cual se recomienda que se revise el volumen de almacenamiento del equipo periódicamente, así como realizar un respaldo de la información contenida En las cuentas de correo almacenar únicamente la información que sea relevante e importante para el desarrollo de trabajo Eliminar de las cuentas de correo información basura o sin importancia que únicamente saturan el espacio de los servidores de correo Evitar mandar cadenas o información de ocio El usuario es responsable de su información, si existe la necesidad de respaldar su cuenta de correo, esta debe de ser informada a la GTI para evaluar el medio y tomar las acciones pertinentes de respaldo El servicio de correo se encuentra hospedado con medidas de seguridad definidas por el proveedor de servicios garantizando una alta disponibilidad, esta misma cuenta con un plan de recuperación del servicio en el momento que este se requiera y si la falla así lo amerite. Página 8

9 12.- Seguridad y privacidad de información Tomar las medidas razonables y necesarias para proteger y recuperar la información relevante que maneje en el equipo personal que se le asignó en caso de falla en su equipo No revelar contraseñas a otros usuarios Evitar cambiar las configuraciones de los equipos No conectar dispositivos ajenos al equipo Al terminar el día de trabajo, no olvidarse de apagar los equipos de cómputo con su respectiva fuente de alimentación Si los equipos cuentan con algún problema, comunicar al GTI para su inmediata atención. 13.-Buen uso de los equipos y servicios informáticos 13.1 Utilizar los equipos y servicios informáticos del CPTM para actividades propias de la institución, en consecuencia, está prohibido el acceso a sitios de Internet con propósitos de recreación y/o entretenimiento, el acceso a contenidos pornográficos, la transmisión de chistes, cadenas, el desarrollar actividades caritativas, negocios personales o de terceros, así como cualquier otro uso no vinculado con las funciones propias de su puesto en la entidad. Se permite a los usuarios el uso ocasional y personal de los equipos servicios informáticos, siempre y cuando se sujete a las siguientes reglas: 1. No consuma más que un monto trivial de los recursos de los equipos y/o servicios de informática. 2. No interfiera con la productividad personal, ni con la de otros empleados y/o del área. 3. No interfiera con las actividades normales de negocios del CPTM. 4. El usuario no debe desconectar los cables de la computadora para conectar su computadora personal. 5. No se permite el uso de programas de mensajería instantánea a excepción de Windows Messenger, esto sólo con el fin de asuntos laborales. 6. El uso de las Webcams debe de ser únicamente como complemento para trabajo, como son las videoconferencias, con ningún fin personal. 7. La red inalámbrica es de uso exclusivo del CPTM para actividades de trabajo, queda estrictamente prohibido hacer mal uso de estas, la GTI podrá denegar el servicio en cualquier momento que detecte anomalías o mal uso del servicio No viole alguna otra disposición de carácter legal; los mensajes, juegos, música, imágenes y demás archivos o programas personales que se encuentren en los equipos y/o servidores asignados a los usuarios del CPTM, podrán ser borrados por la GTI. Página 9

10 13.3 No mover, abrir, desconectar o modificar, de cualquier modo, el equipo de cómputo, periféricos, y software de sus equipos; no instalar ningún software sin la autorización expresa de la DTI, ni modificar la configuración de los equipos y software ya que de así hacerlo, la responsabilidad y costos de las fallas caerán en el usuario. 14.-Información Confidencial 14.1 El CPTM tiene implementadas varias medidas de seguridad para proteger en forma razonable la privacidad de las comunicaciones que circulen a través de sus sistemas, sin embargo, los sistemas de comunicación electrónica, por su propia naturaleza, pueden ser sujetos de intercepción, por lo que los usuarios deben abstenerse de enviar información confidencial a través de estos medios, si algún usuario necesita enviar información confidencial a través de estos medios, deberán acudir con el GTI para analizar en forma conjunta caso por caso y tomar las medidas pertinentes, en su defecto, deberá clasificar la información conforme lo establece la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, y demás normatividad aplicable La GTI tiene implementados mecanismos de análisis del tráfico y uso de los servicios con propósitos de mantenimiento, análisis, estadísticas de uso, detección del posible uso inadecuado, o por el propio funcionamiento y bienestar de la entidad, que implican la necesidad ocasional de respaldar, revisar y/o depurar los mensajes Los mensajes de correo, archivos electrónicos y demás información contenida en los sistemas de cómputo o transmitida a través de los medios de comunicación proporcionados por el CPTM (correo electrónico, Chat, Internet, etc.) se entenderá que es generada por los servidores públicos (usuarios) como parte de sus funciones laborales y por lo tanto información pública, por lo que los empleados, deberán de abstenerse de enviar información personal o no relacionada con sus funciones a través de los mismos La captura, integridad, exactitud y vigencia de la información y contenidos que requieren los sistemas, así como la operación regular de éstos es responsabilidad propia de los usuarios y de los titulares de las áreas Administración de equipos 15.1 La Dirección de Tecnologías de Información es quien da seguimiento a las actividades relacionadas que, de manera enunciativa más no limitativa, se mencionan a continuación: Compra, Renta o Préstamo de equipos y accesorios de cómputo y telecomunicación de datos. Compra y licenciamiento de software. -Contratación de servicios de consultoría en sistemas y cualquier otro servicio relacionado con tecnologías de información, programación, análisis y desarrollo de sistemas, captura de datos o telecomunicación de datos sea en forma local, vía Internet o cualquier medio de acceso remoto. Mantenimiento de equipos de cómputo y telecomunicaciones y software. Compra y Administración de Nombres de Dominio y sitios de Internet. Desarrollo y Mantenimiento de Sistemas. Página 10

11 Instalación y operación de equipos y sistemas Con objeto de proporcionar agilidad operativa a las funciones que desarrolla la GTI, y en atención a las necesidades, la misma deberá proponer proyectos y adquisiciones de bienes y servicios informáticos, a la Dirección de Tecnologías de Información, cuando se den alguna de las siguientes condiciones: 1. Exista la necesidad manifiesta para restablecer y/o mantener en operación normal los equipos y servicios informáticos y el costo de adquisición no rebase el monto autorizado para adjudicaciones directas. 2. Se presenten situaciones de emergencia que afecten los servicios informáticos. La Dirección de Tecnologías de Información, desarrollará y/o coordinará los proyectos y sistemas de operación generalizada en el CPTM con base a la propuesta que apruebe el Grupo de Trabajo de la Dirección de, deberán someter en forma oportuna y completa para aprobación las propuestas de proyectos y desarrollos de sistemas informáticos que a su juicio resulten necesarios para el desarrollo de las funciones de las áreas bajo su cargo acompañadas de la justificación del mismo. Para el caso de incumplimiento a lo señalado en la presente Guía, se hará de conocimiento a la Dirección General Adjunta de Administración y Coordinación Internacional, Órgano Interno de Control y a la Dirección Ejecutiva de Asuntos Jurídicos. Página 11