POLÍTICAS DE SEGURIDAD INFORMÁTICA

Transcripción

1 S DE SEGURIDAD INFORMÁTICA DIRECCIÓN GENERAL DE ADMINISTRACIÓN SUBDIRECCIÓN DE SERVICIOS GENERALES J.U.D. DE SOPORTE TÉCNICO JUNIO, 2009 S DE SEGURIDAD INFORMÁTICA 1

2 I. INTRODUCCIÓN Con el fin de homogeneizar el uso de la infraestructura de cómputo y garantizar un adecuado esquema de operación que permita el flujo de información entre las diversas áreas de la Secretaría de Desarrollo Social, se ha elaborado el presente documento, el cual contiene las políticas para el uso y administración de los recursos informáticos de esta Dependencia del Gobierno del Distrito Federal. II. OBJETIVO Definir los criterios que permitan regular, normar y difundir el uso, selección, aprovechamiento y mantenimiento de los equipos y servicios informáticos, así como promover y fomentar la estandarización, optimización y racionalización de los mismos. III. ALCANCE Las disposiciones contenidas en el presente documento, son de observancia para todo el personal de la Secretaría de Desarrollo Social, independientemente de su nivel y modalidad de contratación. Para la instrumentación de las políticas y lineamientos descritos en este documento, cada dependencia y entidad del Sector Desarrollo Social contará con un área de informática. El personal de las áreas de informática será el encargado de orientar al personal respecto al contenido y cumplimiento de estas disposiciones. IV. RESPONSABLE DE LA REVISIÓN DEL DOCUMENTO DE S El responsable de editar, revisar, actualizar y difundir el contenido del presente documento es el titular del área informática de la Secretaría de Desarrollo Social S DE SEGURIDAD INFORMÁTICA 2

3 I. Introducción...2 II. Objetivo...2 III. Alcance...2 IV. Responsable de la revisión del documento de políticas...2 V. Políticas USO Y DISTRIBUCIÓN DE EQUIPO DE CÓMPUTO PRÉSTAMO DE EQUIPO DE CÓMPUTO USO DE EQUIPO DE CÓMPUTO PROPIEDAD DEL USUARIO SEGURIDAD FÍSICA DEL EQUIPO DE CÓMPUTO ASIGNACIÓN, ACTUALIZACIÓN Y USO DE CONTRASEÑAS INSTALACIÓN Y USO DE SOFTWARE CORREO ELECTRÓNICO CONTROL DE ACCESO A INTERNET...12 S DE SEGURIDAD INFORMÁTICA 3

4 V. S S DE SEGURIDAD INFORMÁTICA 4

5 1. USO Y DISTRIBUCIÓN DE EQUIPO DE CÓMPUTO. Definir los criterios para el adecuado aprovechamiento del equipo de cómputo en las instancias de la Secretaría de Desarrollo Social. 1. El personal adscrito a la Secretaría de Desarrollo Social deberá utilizar únicamente el equipo de cómputo autorizado por el titular del área de informática, con la finalidad de garantizar la compatibilidad, estandarización e integridad de los recursos informáticos al interior de las mismas. 2. El titular del área de informática deberá solicitar al área de Inventarios, que exista un responsable del equipo de cómputo a través de la elaboración de un documento de resguardo. 3. El equipo será asignado al personal por medio de un documento de resguardo, a partir de este momento la persona es responsable por el uso y conservación del mismo. 4. El uso del equipo será exclusivamente para realizar las actividades relacionadas con las funciones asignadas. 5. La instalación o reubicación del equipo al interior de una misma área, ya sea independiente o conectado a la red, será realizada únicamente por personal del área de Informática. 6. El titular del área de informática es el único facultado para realizar el proceso de distribución de equipo de cómputo de reciente adquisición, así como de redistribuir el equipo de cómputo existente. 7. El titular del área de informática deberá elaborar y mantener actualizado el registro de la distribución y asignación del equipo de cómputo; el titular del área de Inventarios, deberá mantener actualizado el registro de la asignación de dicho equipo. S DE SEGURIDAD INFORMÁTICA 5

6 2. PRÉSTAMO DE EQUIPO DE CÓMPUTO Definir los criterios que se deberán aplicar para promover y realizar el proceso de préstamo de equipo de cómputo. 1. La Secretaría de Desarrollo Social podrá prestar los bienes informáticos disponibles a otras instancias del sector que así lo requieran, para ello deberán formalizar el préstamo de manera escrita en los formatos que para ello dispongan. 2. Se deberá considerar como elementos mínimos de control de préstamos de bienes informáticos, las siguientes consideraciones: condiciones de préstamo, objetivo del préstamo, estado físico de los bienes, fecha de entrega y de devolución y responsables de la entrega-recepción en ambas dependencias o entidades. 3. Los cambios en el inventario de equipo de cómputo de la dependencia, derivados del préstamo de los mismos, deberán ser registrados e informados al área de inventarios. S DE SEGURIDAD INFORMÁTICA 6

7 3. USO DE EQUIPO DE CÓMPUTO PROPIEDAD DEL USUARIO Definir los criterios para administrar el equipo de cómputo que es propiedad del usuario. 1. Todo equipo de cómputo propiedad de los usuarios, es responsabilidad de éstos, por lo que la Dependencia no se hace responsable por la pérdida o deterioro de los mismos. 2. Se podrá instalar software institucional a estos equipos o proporcionarles servicio de mantenimiento, sólo si existe autorización por parte del titular del área de informática. 3. El personal del área de informática llevará a cabo periódicamente revisiones al equipo de cómputo para verificar que se encuentre distribuido de la manera en que se hizo entrega al usuario resguardatario, lo anterior, con la finalidad de detectar posibles movimientos de equipo entre usuarios así como equipo de cómputo propiedad de éstos. S DE SEGURIDAD INFORMÁTICA 7

8 4. SEGURIDAD FÍSICA DEL EQUIPO DE CÓMPUTO Definir los criterios que se deberán aplicar para fomentar la seguridad física del equipo de cómputo de la Secretaría. 1. El equipo de cómputo (computadoras, servidores) deberá estar conectado a un tomacorriente regulado y, de preferencia a una fuente ininterrumpible de energía. En las áreas que no cuenten con tomacorrientes de este tipo, el equipo deberá ser conectado a un regulador de voltaje adecuado a la carga del equipo. Las impresoras siempre deberán estar conectadas a tomacorriente normal y protegidos con tierras físicas. 2. Se recomienda no fumar ni ingerir alimentos o bebidas al hacer uso de las instalaciones de cómputo. Cualquier daño o perjuicio ocasionado al equipo por no seguir esta recomendación será responsabilidad absoluta del resguardatario del equipo en cuestión. 3. Queda estrictamente prohibido conectar aparatos o equipos que no sean computadoras a los toma corrientes regulados y fuentes ininterrumplibles de energía. Cualquier daño o perjuicio ocasionado al equipo por no seguir esta prohibición será responsabilidad absoluta del que infrinja esta disposición. 4. Los equipos deben estar apagados antes de ser conectados o desconectados del tomacorriente o de los puertos de red, así como para efectuar cualquier mantenimiento, instalación o actualización de los mismos. 5. Deberá evitarse colocar el equipo de cómputo en el piso, con el fin de evitar su mal funcionamiento al contaminarse de polvo drasticamente. De esta forma se prolongará la vida útil del mismo. 6. El titular del área de informática revisará periódicamente que el equipo se encuentra en las mismas condiciones físicas en las que se entregó al usuario resguardatario (bancos de memoria, disco duro, unidades de cd, etc.), lo anterior con la finalidad de detectar posible extracción de algún componente interno o externo del equipo. S DE SEGURIDAD INFORMÁTICA 8

9 5. ASIGNACIÓN, ACTUALIZACIÓN Y USO DE CONTRASEÑAS Definir los criterios que se deberán observar para la asignación, actualización y uso de contraseñas. 1. La estructura de una contraseña debe incluir la combinación de caracteres alfabéticos (mayúsculas y minúsculas) y caracteres numéricos. 2. La longitud de la contraseña debe ser, al menos, de 8 caracteres. 3. No se deberán utilizar contraseñas que sean palabras con significado o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, palabras de diccionario u otro relacionado). 4. No se deberán usar contraseñas con una estructura completamente numéricas con algún significado (teléfono, fecha de nacimiento, etc.). 5. Toda cuenta de usuario deberá tener su correspondiente contraseña. 6. Las contraseñas no deberán enviarse por correo electrónico. 7. Las contraseñas deberán cambiarse al menos, cada dos meses. 8. Las contraseñas deben ser personales e intransferibles. 9. Por ningún motivo se deberán compartir las contraseñas entre usuarios. 10. Se deberán especificar diferentes perfiles de usuarios que hacen uso de los sistemas y equipos de cómputo, para cada perfil de usuario se especificará la estructura de la contraseña que se debe asignar dependiendo del nivel de seguridad requerido. S DE SEGURIDAD INFORMÁTICA 9

10 6. INSTALACIÓN Y USO DE SOFTWARE Normar los criterios para la instalación y uso de software en la Secretaría. 1. Se dará preferencia al uso de programas o software libres en los equipos de cómputo. 2. El titular del área de informática deberá establecer acciones tendientes a disminuir la utilización de programas que no estén declarados como estándar para el GDF y que contrapongan las políticas descritas en el presente documento. 3. El titular del área de informática de la Dependencia definirá e implantará mecanismos de control tendientes a garantizar que todo el software instalado sea homologado con los estándares definidos por el Comité de Informática y, en su caso, licenciado. 4. El software homologado en la Secretaría de desarrollo Social es el que se define en los Estándares de Software emitidos por el Comité de Informática y podrá consultarse en la pagina 5. La instalación de software en un equipo propiedad de la Secretaría de Desarrollo Social que no esté declarado como estándar para el GDF y que no cuente con la aprobación por escrito del titular del área de informática, es responsabilidad del usuario que lo instaló así como del resguardatario de dicho equipo. 6. Se utilizará Windows o Linux como sistema operativo para servidores y computadoras de escritorio. 7. Se utilizará Microsoft Office u OpenOffice como herramientas de oficina para computadoras de uso secretarial así como en computadoras en las que no se justifique el uso de herramientas de oficina diferentes a las que se indican. El titular del área de informática deberá autorizar la instalación de software distinto al anterior. 8. Cuando se adquieran programas de cómputo, estos deberán quedar registrados como propiedad de la Secretaría de Desarrollo Social del Gobierno del Distrito Federal. 9. Todos los programas de cómputo propiedad de las dependencias o entidades centralizadas de la Secretaría de Desarrollo Social, incluyendo sistemas operativos, herramientas de desarrollo de aplicaciones, lenguajes de programación, paquetería de aplicación, así como cualquier otro sistema instalado en el equipo, deberán ser utilizados únicamente por el personal que tiene a su resguardo el bien donde se instaló el software o por el personal que el titular del área de informática haya designado como resguardatario del software de instalación de los diversos programas de cómputo. 10. No se deberá instalar ni hacer uso de programas de cómputo que no estén registrados o autorizados por el Comité de Informática, asimismo instalar software sin la licencia de uso correspondiente. En caso de auditoría, el resguardatario del equipo será responsable exclusivo del software instalado sin licencia. 11. Todos los programas que no tienen aplicación en las funciones propias de las instancias de la Secretaría de Desarrollo Social deberán eliminarse del equipo. 12. Es responsabilidad de los titulares del área de informática de las Dependencias centralizadas de la Secretaría de Desarrollo Social verificar periódicamente que todo equipo contenga el programa antivirus oficial debidamente actualizado. 13. Previo a su instalación, todo programa deberá ser verificado a fin de evitar una posible contaminación por virus que pudiera afectar a los sistemas o a la información residentes en los equipos. 14. El titular del área de informática deberá realizar, al menos, 2 auditorías anuales a los equipos de cómputo de su dependencia, así como reportar las irregularidades y eliminar todos aquellos programas y archivos no justificados y/o homologados. S DE SEGURIDAD INFORMÁTICA 10

11 7. CORREO ELECTRÓNICO Definir los criterios para proporcionar una cuenta de correo electrónico oficial a los trabajadores de la Secretaría y normar el uso de la misma. 1. El personal de la Secretaría de Desarrollo Social podrá solicitar una cuenta de correo electrónico del servidor sds.df.gob.mx, para esto deberá solicitar al área de informática el formato dispuesto para tal fin y entregarlo debidamente requisitado, a fin de crear la cuenta solicitada. 2. Queda estrictamente prohibido el correo denominado SPAM; es decir, utilizar las cuentas para enviar correos de forma masiva, si se hace caso omiso, entonces el área de informática restringirá las cuentas utilizadas para este fin. 3. El volumen máximo de almacenamiento en correo electrónico asignado a cada cuenta, actualmente es de 200MB, al llegar a este límite la cuenta deja de recibir mensajes, por lo que se deberán eliminar los correos no necesarios a fin de estar en posibilidad de recibir nuevos correos. 4. El sistema de correo contará con filtros para correos no solicitados (SPAM), además de filtraje de virus. Estos filtros revisarán las cabeceras de correo, archivos adjuntos y los contenidos de los cuerpos de los mensajes. En el caso de que cualquier envío sea detectado correo SPAM o contenga virus, estos serán eliminados automáticamente. 5. El servidor de correo electrónico de la Secretaría de Desarrollo Social cuenta con un canal seguro para cifrar comunicaciones, para acceder a el deberá entrar al enlace: Elija aquí para usar conexión segura HTTPS en la página de bienvenida del servidor, o directamente en la dirección: para lo cual deberá aceptar el certificado que se muestra la primera vez que entra a dicho enlace. 6. Para el envío de información entre dependencias o entidades del Sector, el personal de la Secretaría deberá dar prioridad al uso del correo electrónico institucional, previa revisión de la misma con programas detectores de virus. S DE SEGURIDAD INFORMÁTICA 11

12 8. CONTROL DE ACCESO A INTERNET Definir los criterios para proporcionar y administrar la salida a Internet al personal de la Secretaría de Desarrollo Social. 1. Para solicitar el servicio de Internet el usuario deberá obtener en el área de informática el formato dispuesto para tal fin, llenarlo y entregarlo de vuelta a dicha área, deberá estar debidamente autorizado por su jefe inmediato, e indicar la justificación del servicio solicitado. 2. Actualmente la Secretaría de Desarrollo Social basa sus operaciones críticas en el servicio de Internet y sirve de apoyo en labores de investigación y análisis que contribuyen a la eficiencia de esta Dependencia. 3. En este sentido, el uso de Internet para fines personales, quedará reducido al mínimo, además de quedar estrictamente prohibido utilizar cualquier aplicación Peer-to-Peer, descargadores de música, torrents, videos, juegos, software, escuchar música en línea y visitar páginas que contengan sexo explícito, ya que este tipo de prácticas constituyen una amenaza a la seguridad informática al incrementar la posibilidad de contener virus y spyware, entorpecer el trabajo de los servidores públicos al distraerlos de sus actividades y reducir el rendimiento de los aplicativos basados en este servicio. 4. Para tal fin fue instalado un software de filtrado de contenidos, a fin de evitar el acceso a los sitios anteriores. Cualquier servidor público de esta Secretaría que viole estas disposiciones o que intente evadir este control, le será suspendido el servicio. 5. Cualquier acceso a alguno de los servicios anteriormente descritos o no contemplados, deberá solicitarse por escrito al área de informática, indicando el motivo y justificación. Solo se autorizará el acceso si se considera justificada dicha solicitud. 6. Los usuarios de Internet utilizarán la dirección soportesds@sds.df.gob.mx para notificar cualquier abuso que se presente en el uso del servicio de Internet. A través de esta dirección, el administrador de la Red estará al tanto de los mismos. S DE SEGURIDAD INFORMÁTICA 12