Política de Seguridad de la Información Sectorial Contenido... 1. OBJETIVO... 2. ALCANCE... 3. RESPONSABILIDADES... 4. CONTENIDO... 5. POLÍTICAS Y PRÁCTICAS INSTITUCIONALES DE SEGURIDAD DE INFORMACION 5.1.1. Comité de Seguridad de la Información 5.1.2. Asignación de Responsabilidades de Seguridad de la Información 5.1.3. Facilidades para el procesamiento de datos 5.1.4. Cooperación entre organizaciones 5.1.5. Revisión Independiente de Seguridad de la Información 5.1.6. Seguridad de acceso a terceros 5.1.7. Contratos con terceros y servicios de Outsourcing 5.1.8. Servicios de Outsourcing 5.2.1. Inventario de activos de Información 5.2.2. Clasificación de la información 5.2.3. Etiquetado y manejo de la información 5.3.1. Descripción de responsabilidades de seguridad 5.3.2. Capacitación a usuarios 5.3.3. Cultura de Seguridad de la Información 5.3.4. Respuesta a Incidentes 5.4.1. Facilidades para el procesamiento de datos 5.4.2. Controles de acceso físico 5.4.3. Seguridad en Oficinas 5.4.4. Áreas de carga y descarga 5.4.5. Seguridad de la infraestructura 5.4.6. Escritorio Limpio 5.5.1. Procedimientos operacionales 5.5.2. Control de Cambios 5.5.3. Manejo de incidentes 5.5.4. Segregación de responsabilidades 5.5.5. Planeación y aceptación de sistemas 5.5.6. Uso de equipo de cómputo 5.5.7. Protección contra software malicioso 5.5.8. Protección de equipo de cómputo de usuarios críticos 5.5.9. Integridad y disponibilidad de información 5.5.10. Operación y administración de redes 5.5.11. Administración de medios 5.5.12. Intercambio de información 5.6.1. Control de Acceso a la Información 5.6.2. Administración de Identidades 5.6.3. Responsabilidades del usuario 5.6.4. Control de acceso a las redes 5.6.5. Control de acceso a sistemas operativos 5.6.6. Control de acceso a aplicaciones 5.6.7. Monitoreo de sistemas
5.6.8. Cómputo móvil 5.7.1. Especificaciones de los requerimientos de seguridad 5.7.2. Seguridad en las aplicaciones 5.7.3. Control de Cambios 5.8.1. Administración de la Continuidad del Negocio 5.8.2. Análisis de Impacto 5.8.3. Documentación e implantación del plan de continuidad 5.8.4. Prueba y mantenimiento 5.9.1. Cumplimiento Legal 5.9.2. Revisiones de Seguridad 6. SANCIONES
1. OBJETIVO Establecer las Políticas, prácticas y lineamientos Unidades de TI Secretaría del Agua y Obra Pública. 2. ALCANCE Las prácticas y lineamientos de Seguridad de la información de esta Política están orientadas a proteger en todo momento y circunstancia, los datos e información contra los riesgos de robo, divulgación, acceso no autorizado, modificación, pérdida, interrupción o mal uso, producidas en forma intencional o accidental. Aplica a todas las Unidades Administrativas del Sector, así como a las personas que directa o indirectamente, prestan sus servicios profesionales dentro de la misma y a toda la información obtenida, creada, procesada, almacenada o intercambiada dentro de la Dependencia. 1. 3. RESPONSABILIDADES 2. 3.1 De acuerdo al manual general de Organización vigente la Coordinación de la UIPPEI (Coordinación Sectorial de TI) y las Unidades de TI del Sector son responsable de: a) Analizar y evaluar los riesgos de seguridad a los que está expuesta cada Unidad Administrativa para que la Oficina del C. Secretario determine los niveles de riesgos permitidos y las estrategias de protección a seguir. b) Desarrollar las Normas, Prácticas y Estándares de Seguridad de la Información que deberá adoptar la dependencia para la protección de los activos de información, su confidencialidad, integridad y disponibilidad. c) Coordinar y evaluar iniciativas, proyectos y planes institucionales de Seguridad de la Información de la Secretaría, así como crear y fomentar una cultura de trabajo orientada a la protección de la información. d) Adoptar las mejores prácticas y en su caso certificar, asegurar y soportar la implantación de las normas y estándares institucionales de Seguridad de la Información en cada Unidad Administrativa. 3.2 Las Unidades de TI del sector tienen las siguientes responsabilidades: a) Evaluar y seleccionar las herramientas de seguridad informática b) Definir los estándares tecnológicos de seguridad informática. c) Impulsar y promover la implantación de controles tecnológicos para proteger la información. Todas las personas que presten directa o indirectamente, sus servicios profesionales o de trabajo para la Secretaría, sin importar su función o jerarquía, son responsables por el cumplimiento de las políticas, normas y estándares institucionales de seguridad establecidos por el Comité Sectorial de TI, así como de las disposiciones, regulaciones o leyes a las que pudiera estar sometida. 4. CONTENIDO Cumplimiento El cumplimiento de las políticas, prácticas y lineamientos de seguridad de la información es obligatorio. Si un individuo u área viola las disposiciones de estas Políticas, por negligencia o intencionalmente, la alta Dirección de cada unidad administrativa en conjunto con el área de Recursos Humanos y en su caso el área jurídica se reserva el derecho de tomar las medidas correspondientes, tales como acciones disciplinarias internas, acciones legales, u otras que tuviera lugar. Excepciones Las excepciones a cualquier directriz deben ser aprobadas por la Comité Sectorial de TI y la Alta Dirección. Todas las excepciones a la Política deben
ser formalmente documentadas, registradas y comunicadas al Comité Sectorial de TI y a la Alta Dirección para su conocimiento y revisión. En los casos en donde la Unidad Administrativa se encuentre sujeta a regulaciones especiales o disposiciones legales en materia de seguridad de la información, podrán ampliar, modificar o excluir aquellas normas del Sector que contravengan las obligaciones a las que está sujeta, previa documentación y comunicación del área afectada a la Coordinación Sectorial de TI. Aplicabilidad Estas políticas y prácticas aplican a todo el personal, tanto interno como externo de las diferentes Unidades Administrativas del Sector. Los consultores, contratistas, temporales, clientes o terceras partes que acceden activos de información están sujetos a los mismos requerimientos de seguridad, y tienen las mismas responsabilidades de seguridad de información que el personal interno. Todos los individuos están obligados a continuar protegiendo la información propiedad privada de esta Dependencia aún después de terminada su relación laboral. Administración de las Políticas Las Políticas de seguridad de información, tanto generales como particulares deben ser revisadas por la Coordinación Sectorial de TI de forma periódica y como mínimo, una vez al año. Referencias Este documento esta basado en la norma ISO 17799, Antes BS7799-1:2005 (BS ISO/IEC 27001:2005) Código de Práctica para la Administración de Seguridad de Información con la finalidad de cumplir con los estándares internacionales en la materia. 5. POLÍTICAS Y PRÁCTICAS INSTITUCIONALES DE SEGURIDAD DE INFORMACION 5.1.1. Comité de Seguridad de la Información 5.1.1.1. La Seguridad de la Información debe ser entendida como una responsabilidad de todas las unidades administrativas que tiene que ser compartida por todos los integrantes de la Alta Dirección de la Dependencia. 5.1.1.2. La Dependencia debe establecer y formalizar un comité directivo que garantice la clara dirección, soporte y promoción de las iniciativas de Seguridad de la Información de las unidades administrativas. 5.1.1.3. Este comité será responsable de: a) Soportar las Políticas y Prácticas Institucionales de Seguridad de la Información definidas por el Comité Sectorial de TI. b) Revisar y aprobar las políticas y procedimientos de Seguridad de la información particulares para cumplir con regulaciones, leyes, obligaciones o disposiciones externas a las que está sujeta la Empresa. c) Monitorear cambios significativos en la exposición al riesgo por parte del activo de información críticos. d) Aprobar iniciativas particulares de seguridad de la información en la Unidad de Negocio. 5.1.1.4. Este Comité deberá ser presidido por algún miembro de la alta Dirección de la Dependencia e integrado al menos, por los responsables de las áreas de Finanzas, TI y Recursos Humanos. Se recomienda la participación de los responsables de las áreas de Jurídico y Contraloría Interna.
5.1.2. Asignación de Responsabilidades de Seguridad de la Información 5.1.2.1. Las responsabilidades para la protección de activos de información y la conducción de procesos específicos de seguridad deben estar claramente definidas y comunicadas. 5.1.2.2. Los dueños o propietarios de la información son los responsables directos de la implantación de controles para la protección de los activos. Podrán delegar esta responsabilidad a otra persona, documentando y comunicándola apropiadamente, sin embargo, los dueños de la información nunca perderán su condición de responsables del activo. 5.1.2.3. Todas las personas que tengan bajo su responsabilidad un área dentro de la dependencia, deben identificar los activos de información que manejan y las obligaciones individuales de sus colaboradores. 5.1.3. Facilidades para el procesamiento de datos 5.1.3.1. En caso de que alguna Unidad Administrativa requiera de nuevas facilidades para el procesamiento electrónico de datos, deberá existir un proceso formal de autorización por parte del Comité Sectorial de TI. 5.1.3.2. Toda nueva facilidad para el procesamiento electrónico de datos debe considerar lo siguiente: a) El cumplimiento de las normas y especificaciones de seguridad física, lógica y operativa definidas por la Dependencia para los centros de procesamiento de datos. b) La verificación previa de la funcionalidad y compatibilidad de los componentes tecnológicos críticos con otros sistemas y tecnologías existentes. c) La evaluación técnica para identificar nuevas vulnerabilidades en los sistemas. 5.1.4. Cooperación entre organizaciones 5.1.4.1. Es indispensable que cada Unidad de TI tenga identificados y establecidos los contactos apropiados con organismos reguladores, autoridades gubernamentales, asociaciones, operadores de servicios y terceras partes para la pronta y efectiva actuación ante incidentes internos graves de seguridad. 5.1.5. Revisión Independiente de Seguridad de la Información 5.1.5.1. En las Unidades Administrativas deberá revisarse periódicamente el cumplimiento de las normas y políticas de seguridad de la información establecidas por la Dependencia y por regulaciones específicas. Esta revisión deberá ser llevada a cabo por una entidad independiente a la Unidad Administrativa, misma que será determinada por la Coordinación Sectorial de TI. 5.1.6. Seguridad de acceso a terceros 5.1.6.1. El acceso por parte de terceros a la información del Corporativo debe ser controlado. El tipo de acceso, sea físico o lógico debe estar plenamente justificado y los controles para el mismo deben ser acordados y establecidos con el tercero, por medio de un contrato. 5.1.6.2. Las terceras partes que requieran trabajar por algún tiempo dentro de las instalaciones de la Dependencia deben firmar previamente un contrato de confidencialidad aprobado por el área Legal y una carta de responsabilidad por el cumplimiento de las normas institucionales de seguridad de la información de la Dependencia. Así mismo, deben recibir instrucción formal de sus obligaciones dentro de la organización.
5.1.7. Contratos con terceros y servicios de Outsourcing 5.1.7.1. Todos los contratos de servicios firmados entre la Dependencia y terceros deben incluir lo siguiente: a) Mención de la Política General de Seguridad de la Información de la Dependencia b) Especificación de los niveles de servicio aceptables e inaceptables c) Responsabilidades legales de ambas partes respecto a la protección de la información d) Derechos de propiedad intelectual, patentes y derechos de autor. e) Acuerdos para la transferencia de personal cuando sea apropiado f) Convenio de Confidencialidad g) Métodos de acceso permitidos, control y uso de cuentas y contraseñas h) Proceso de autorización para acceso y privilegios de usuario i) Derecho de la empresa para auditar las responsabilidades contractuales j) Proceso de escalamiento y resolución de problemas k) Estructura y formato de reporte y notificación 5.1.7.2. El Área que contrate este tipo de servicios será la responsable de asegurar que se cumplan estos lineamientos. El departamento Jurídico del negocio deberá brindar asesoría al área solicitante para que se consideren los términos legales correspondientes. 5.1.8. Servicios de Outsourcing 1. 5.1.8.1. Si la Unidad Administrativa tuviera la necesidad de subcontratar los servicios de un externo para administrar, operar o controlar uno o varios de sus componentes del ambiente tecnológico productivo, deben considerarse adicionalmente los siguientes aspectos de seguridad en el contrato de servicios: a) Las obligaciones legales que en materia de seguridad de la información está sujeta la Dependencia. b) Los requerimientos específicos de seguridad de la Unidad Administrativa. c) Las responsabilidades de ambas partes en materia de seguridad de la información d) Tipo de controles físicos y lógicos que se utilizarán para proteger los activos de información. e) Las medidas para mantener la disponibilidad de los servicios ante cualquier contingencia. f) Apegarse a la normatividad aplicable en la materia, del GEM. 5.1.8.2. La Unidad Administrativa que contrate este tipo de servicios será la responsable de asegurar que se cumplan estos lineamientos. El área Jurídica de Dependencia deberá brindar asesoría al área solicitante para que se consideren los términos legales correspondientes. 5.2.1. Inventario de activos de Información 5.2.1.1. Como aspecto fundamental en la administración de riesgos de seguridad, las Unidades Administrativas de la dependencia deberán tener plenamente identificados los activos de información que maneja, su valor y su importancia. 5.2.1.2. Los dueños o propietarios de la información deben mantener y actualizar un inventario de sus activos de información críticos, indicando para cada uno, sus sistemas asociados y su clasificación correspondiente. 5.2.1.3. Se entiende por activo de información crítico, cualquier información, sistema, equipo o servicio que la Unidad Administrativa que considera clave para soportar su operación, metas y objetivos. a) Activos de Información: Bases de datos, archivos de información, documentación de los sistemas, manuales, material de capacitación, procedimientos de operación o soporte, planes de continuidad.
b) Activos de software: Sistemas, aplicaciones, sistemas operativos, utilerías, programas fuente. c) Activos Físicos: Equipos de cómputo y comunicaciones, medios magnéticos (discos, cintas), equipos técnicos (aire acondicionado, fuentes de poder) mobiliario, instalaciones. d) Servicios: Servicios de cómputo y comunicaciones, iluminación, energía, aire acondicionado. 5.2.2. Clasificación de la información 5.2.2.1. Las Unidades Administrativas de la Dependencia deben clasificar su información de acuerdo a su valor y sensibilidad. Esta clasificación debe realizarse de acuerdo a las necesidades que tiene el área de compartir o restringir la información, de sus requerimientos de seguridad en términos de confidencialidad, integridad y disponibilidad, y con base al impacto negativo que pudiera provocar al negocio en términos financieros, operativos, legales o de imagen pública y cualquier abuso en el manejo de la misma. 5.2.2.2. La responsabilidad de definir la categoría en la que cada activo de información se encuentra es del dueño o propietario del mismo, así como determinar si con el paso del tiempo, el activo de información requiere una reclasificación. 5.2.2.3. Todos los activos de información deben tener un dueño o propietario, el cual se haga responsable de asegurar su correcta clasificación e implantación de controles para su protección. 5.2.2.4. El GEM ha definido el siguiente esquema para el proceso de clasificación de la información: Restringida. Aquella información privilegiada en donde su divulgación no autorizada puede derivar en impactos financieros, legales, con la ciudadanía, con proveedores, con el propio gobierno entidades externas. Ejemplo: Planes Estratégicos, Estados Financieros, Datos de adquisiciones (antes de su anuncio), Negociaciones con proveedores, Desarrollo de nuevos servicios, Juicios. Confidencial. Aquella en donde su divulgación no autorizada puede derivar en impactos importantes para la operación de la Dependencia, perdiendo principalmente la oportunidad. Ejemplo: Información sobre operaciones y transacciones de la Dependencia, Presentaciones del Sector, Resoluciones y Actas de Comités, información de proveedores, presupuestos, nómina y compensaciones, reportes de auditoría, contraseñas, entre otras. Uso Interno. Es aquella información ordinaria de la Unidad Administrativa que apoya sus procesos internos y que no ha sido clasificada como restringida ni confidencial, por lo que puede ser conocida dentro de toda la organización. No puede ser difundida a proveedores ni a terceros. Su divulgación no autorizada representa un impacto menor para el negocio. Ejemplo: Directorio Telefónico, Comunicados Internos, Organigramas, Manuales de procedimientos. Pública. Es la información que ha sido autorizada expresamente para darse a conocer al público en general a través de canales aprobados. Ejemplo: Propaganda, Boletines de Prensa, Páginas de Internet, etc. 5.2.2.5. Por política general, toda la información que se maneja dentro de la Dependencia tiene carácter de CONFIDENCIAL hasta que se apruebe otro tipo de clasificación.
5.2.3. Etiquetado y manejo de la información 5.2.3.1. Cada Unidad Administrativa debe contar con procedimientos formales para el Adecuado etiquetado y manejo de la información, sea física o electrónica, de acuerdo al esquema de clasificación anterior. 5.2.3.2. Por cada tipo de información, debe existir un claro procedimiento en cuanto al copiado, impresión, almacenamiento, transmisión electrónica, intercambio físico y destrucción de la misma que consideren los siguientes lineamientos: a) Los documentos con información del tipo restringida deben ser controlados por medio de copias individuales perfectamente numeradas y llevar un registro de las personas que las tienen. b) La copia o transferencia por cualquier medio (electrónico, magnético, en papel) de información restringida debe estar autorizada y controlada. c) Todos los documentos del tipo restringida y confidencial deben conservarse bajo llave. d) El envío de documentos con esta clasificación, debe hacerse por medio de canales seguros información tales como mensajería privada, correo electrónico encriptado, entrega personal. Es importante evitar el uso del servicio postal, fax, internet o medios no controlados para su envío. e) Toda recepción de información sensible debe acusar formalmente de recibido f) El envío físico de información sensible debe hacerse por medio de paquetes debidamente cerrados y que no permitan observar su contenido. g) De ser necesario, debe considerarse un centro de destrucción de documentos restringidos o confidenciales que garantice la no reutilización de la información. La destrucción de registros e información de la empresa debe ser formalmente autorizada por la alta dirección de la Unidad Administrativa a la que pertenece. h) La información sensible debe reflejar por medio de una leyenda apropiada, la clasificación a la que pertenece, sin importar la forma o medio en la que se encuentre. i) La información del Sector que se utilice para ofrecer conferencias, discursos o presentaciones abiertas debe llevar la autorización del dueño de la información y en su caso, de la Unidad Administrativa. 5.2.3.3. la Dependencia, a través de sus instancias correspondientes, se reserva el derecho de sancionar a la persona que divulgue o destruya ilícitamente la información de la empresa, en cualquier formato o medio, de acuerdo a la gravedad de la falta y en función de lo establecido por la Ley de Responsabilidades de los Servidores Públicos del GEM., y a la normatividad del Gobierno aplicable en la materia. 5.3.1. Descripción de responsabilidades de seguridad 5.3.1.1. El área de Recursos Humanos debe asegurarse que las responsabilidades de seguridad de sus empleados esté claramente definidas, documentadas y comunicadas, incluyendo aquellas responsabilidades para la protección de activos particulares o la ejecución de ciertos procesos o servicios de seguridad. 5.3.1.2. Estas responsabilidades deben ser revisadas y actualizadas periódicamente a fin de mantener una congruencia con las funciones que desempeña cada persona dentro de la Organización. 5.3.1.3. También deberán estar claramente definidas las acciones disciplinarias que tomará la Unidad Aministrativa en caso de que se incumplan las responsabilidades de seguridad. Verificación de personal de nuevo ingreso 5.3.1.4. El proceso de selección y reclutamiento de personal de nuevo ingreso debe considerar por lo menos los siguientes controles: estudios socio-económicos, referencias apropiadas del candidato, confirmación de los niveles académicos, Identificación oficial, revisión de antecedentes laborales. 5.3.1.5. Deberán establecerse controles adicionales para la selección y reclutamiento de posiciones críticas en la organización o posiciones que requieran manejar
información sensible, de tal forma que se reduzcan riesgos en la elección del candidato. Esta regla aplica para la contratación de personal especializado de sistemas. Convenios de Confidencialidad 5.3.1.6. Todos los empleados de las Unidades Administrativas de la Dependencia, deben firmar una carta o acuerdo de confidencialidad, en el que se den por enterados de que la información de la Dependencia es un activo privado propiedad del GEM, al que tendrán acceso en su carácter de empleados y al que se obligan a proteger de cualquier acto que pudiera atentar contra su confidencialidad, integridad y disponibilidad, aún después de romper su relación de trabajo con la Unidad Administrativa que lo contrató. 5.3.1.7. Los terceros que requieran el acceso a la información de la Dependencia también deben firmar previamente un contrato de confidencialidad. Términos y condiciones de empleo 5.3.1.8. Los términos y condiciones de los contratos de personal deben establecer que las responsabilidades de seguridad sobre los activos de información de la Unidad Administrativa continuarán por un periodo razonable una vez que las partes terminan su relación laboral. 5.3.1.9. Las responsabilidades y derechos legales sobre la protección de la información deben estar especificadas dentro de los términos y condiciones del empleo. 5.3.2. Capacitación a usuarios 5.3.2.1. Todos los empleados de las Unidades Administrativas, o en su caso, personal externo que presta algún tipo de servicio a la compañía, deben recibir el entrenamiento apropiado respecto al tema de la seguridad de la información en el que se incluya la instrucción sobre las políticas, prácticas y procedimientos vigentes, las responsabilidades y obligaciones particulares, los requerimientos legales en esta materia, la forma de minimizar riesgos y las consecuencias de no acatar la normatividad establecida. 5.3.2.2. Todo esto con la finalidad de fomentar una cultura de trabajo orientada a la unificación de criterios y al reforzamiento del comportamiento esperado de los empleados sobre la importancia de la seguridad de la información y sus obligaciones para reducir errores humanos y evitar abusos en el manejo de los bienes de información y sistemas asociados. 5.3.2.3. El personal que está directamente relacionado con la administración de la seguridad deberá recibir entrenamiento especializado. 5.3.3. Cultura de Seguridad de la Información 5.3.3.1. Las Áreas de Recursos Humanos de la dependencia, es el área responsable de crear y fomentar a través de los diferentes canales de comunicación y difusión internos, una cultura de trabajo orientada a la protección de la información. Toda iniciativa que tenga que ver con la difusión de temas de seguridad de la información deberá ser coordinada y supervisada por el Comité Sectorial de TI. 5.3.3.2. Es responsabilidad y obligación de todo empleado de las Unidades Administrativas; mantenerse informado de las normas, disposiciones y prácticas de seguridad de la información que dicta Corporativo y la que exige la normatividad externa que tenga lugar. 5.3.3.3. Todo empleado de Corporativo deberá acreditar en forma regular la comprensión y entendimiento de sus obligaciones dentro de la compañía para proteger a la información, a través de la aplicación de los exámenes desarrollados por la Dirección de Sistemas y aplicados a través de la Inducción de RH, en las fechas que así defina y comunique.
5.3.3.4. Los resultados serán calificados por RH, de no acreditar estos exámenes, el empleado estará sujeto a medidas disciplinarias internas que establezca Recursos Humanos de Corporativo. 5.3.4. Respuesta a Incidentes 5.3.4.1. Todos los empleados y terceros que presten algún servicio dentro de la Unidad de Negocio están obligados a reportar inmediatamente las deficiencias, vulnerabilidades, fallas o violaciones de seguridad que identifiquen durante el procesamiento, almacenamiento, intercambio o disposición de los activos de información, aún y cuando se trate de una simple sospecha. 5.3.4.2. Los incidentes de seguridad pueden ser algunos de los siguientes, aunque no se limitan a ellos: a) Fraude y robo de activos de información o de cómputo. b) Divulgación, manipulación, destrucción o modificación no autorizada de la información de la compañía. c) Interrupción de procesos y sistemas críticos del negocio. d) Fallas en la seguridad de los sistemas de información. e) Fallas en la seguridad física de las instalaciones. f) Deficiencias o mal funcionamiento de los sistemas. g) Acceso no autorizado a los recursos de la compañía. h) Uso indebido de los privilegios dentro de un sistema. i) Propagación de virus cibernéticos o código malicioso. j) Intrusiones externas a la red (hackeo). k) Instalación de software no autorizado por la Unidad de Negocio. l) Uso irracional de los recursos informáticos de la Unidad de Negocio. 5.3.4.3. Los mecanismos para el reporte de incidentes de seguridad deben ser los siguientes: a) Por escrito. b) por correo electrónico. 5.3.4.4. Los reportes deberán estar lo más completo posible, aportando la mayor cantidad de evidencias a fin de facilitar la atención del mismo. Opcionalmente las personas podrán mantener el anonimato durante su reporte o denuncia. 5.3.4.5. Todos los reportes deberán ser manejados con estricta confidencialidad y podrán ser dados a conocer internamente siempre y cuando la Alta Dirección de la Dependencia así lo determine. 5.3.4.6. Queda estrictamente prohibido divulgar cualquier información sobre un incidente a personal externo a menos de que por disposiciones legales la dependencia se vea obligada a hacerlo. De ser así, deberá ser bajo la aprobación de la Alta Dirección de la Dependencia. 5.3.4.7. La persona que por negligencia no reporte a tiempo un incidente de seguridad o que aproveche deficiencias de seguridad y haga mal uso de la información, será sancionada de acuerdo a la gravedad. Aprendizaje de seguridad 5.3.4.8. La Coordinación Sectorial de TI deberá generar una Base de Datos de conocimientos, en la que se almacene la información de los incidentes de seguridad que permita identificar eventos repetitivos o tendencias de los incidentes de seguridad que se presentan. 5.4.1. Facilidades para el procesamiento de datos 5.4.1.1. Todas las facilidades para el procesamiento electrónico de datos o información de las Unidades Administrativas del Sector deben estar protegidas contra accesos no autorizados, daños o interrupción, sean estos producto de una acción deliberada, accidente o siniestro.
5.4.1.2. Las Unidades de TI de cada Unidad Administrativa del Sector deberá certificar la seguridad de todas las facilidades para el procesamiento de datos, sean existentes o nuevas. 5.4.2. Controles de acceso físico 5.4.2.1. El acceso físico a los edificios, instalaciones y oficinas de las Unidades Administrativas de la Dependencia deberá ser restringido y controlado por medio de las siguientes medidas: a) Los empleados deben registrar su entrada por medio de su gafete de identificación y portarlo siempre en un lugar visible. De no traerlo, deberá registrarse como visitante y portar el gafete correspondiente. b) El personal externo o visitante deberá registrarse en la recepción de la empresa y presentar su gafete de visitante al momento de ingresar a las instalaciones. También es obligatorio portarlo en un lugar visible durante su permanencia en los edificios u oficinas. c) Queda prohibido el ingreso a cobradores, vendedores, boleros, así como a personal que se encuentre en estado inconveniente por efecto de estupefacientes o bebidas alcohólicas. d) Tanto empleados como visitantes deberán pasar por una revisión o inspección física en la zona de acceso, estando obligados a no introducir cámaras de video, de fotografía, animales, armas, equipos y objetos ostensiblemente peligrosos, así como materiales sólidos, líquidos o gaseosos que representen riesgos al personal o al patrimonio de la Dependencia. El personal de vigilancia podrá realizar una inspección de portafolios, bolsas y bultos que ingresan a las instalaciones. 5.4.2.2. Todas aquellas áreas restringidas dentro de la Unidad de Negocio deben estar identificadas y protegidas por medio de los siguientes controles: a) El acceso a las áreas restringidas deberá estar permitido solamente a personal autorizado, mediante mecanismos de identificación y validación de accesos. b) Los visitantes deberán ser registrados, tanto al momento de ingresar como al momento de salir de ella, así como ser supervisados durante su permanencia y otorgarles el acceso solamente a los lugares que autorice el responsable del área segura. Entrada de automóviles 5.4.2.3. Todos los automóviles de los empleados deben ser registrados al momento de ingresar y salir del estacionamiento, cuando aplique. 5.4.2.4. Todos los automóviles de visitantes que requieran acceso a las instalaciones de la empresa deben ser registrados e inspeccionados previamente por el personal de vigilancia a fin de evitar la entrada de equipos y objetos peligrosos que representen riesgos al personal o al patrimonio de la compañía, cuando aplique. Revisión de salida de las instalaciones 5.4.2.5. La salida de personal de las instalaciones y oficinas de la Dependencia debe ser controlada por medio de las siguientes medidas: a) Los empleados deben registrar su salida por medio de su gafete de identificación. b) El personal externo o visitante deberá mostrar su gafete de visitante y registrar su salida del edificio. c) El personal de vigilancia debe asegurarse de que ninguna persona extraiga mobiliario, equipo de cómputo/electrónico, herramientas de trabajo o documentos sin la autorización formal del área responsable del bien. d) El personal de vigilancia podrá realizar una inspección de los portafolios, bolsas y bultos que salen de las instalaciones a fin de identificar la sustracción no autorizada de este tipo de activos. 5.4.2.6. La salida de vehículos de visitantes deberá pasar por una inspección física de parte del personal de vigilancia en la que se asegure que no llevan consigo ningún
activo, equipo, material o documento propiedad de la compañía sin la autorización expresa del área responsable del bien, cuando aplique. 5.4.3. Seguridad en Oficinas 5.4.3.1. Todas las oficinas e instalaciones de la dependencia deben cumplir con los siguientes controles: a) Oficinas sensibles deben evitar el acceso al público b) Los equipos departamentales de fotocopiado, impresión o fax deberán estar preferentemente dentro de áreas seguras y bajo la supervisión de personal autorizado. Nunca en lugares donde se pueda comprometer la seguridad de la información. c) Las puertas y ventanas deben permanecer cerradas en ausencia del personal que labora en las oficinas. d) El uso de equipo fotográfico, de video o de audio grabación no está permitido a menos de que exista una autorización expresa de la Alta Dirección, exceptuando el caso que sus funciones así lo requieran. e) Las medidas de Seguridad Física Institucional vigentes en la Unidad Administrativa. 5.4.4. Áreas de carga y descarga 5.4.4.1. Las áreas de carga y descarga deben estar controladas y de ser posible, aisladas, esto con la finalidad de evitar el acceso de personal no autorizado y solo en las áreas de administración.. 5.4.4.2. Las personas que se encuentren en áreas de espera deben ser identificadas y Supervisadas, cuando así lo amerite el caso. 5.4.4.3. El ingreso de material a las instalaciones debe ser inspeccionado previamente a fin de evitar posibles peligros y amenazas. 5.4.4.4. La carga y descarga de equipo o materiales, deberá ser controlado por el área Administrativa correspondiente en cada unidad administrativa de la Dependencia. 5.4.4.5. La transportación de este tipo de activos fuera de las instalaciones deberá ser autorizada por las Unidades de TI y notificadas al personal de seguridad de la dependencia para su seguimiento. 5.4.5. Seguridad de la infraestructura 5.4.5.1. Los equipos de cómputo e infraestructura tecnológica destinados a empleados de las Unidades Administrativas del Sector deben ser ubicados y protegidos de tal forma que se reduzcan los riesgos potenciales de daño, robo o accesos no autorizados. 5.4.5.2. Todos los equipos de cómputo destinados al procesamiento y almacenamiento de información deben estar ubicados dentro de un centro de cómputo que cuente con mecanismos de protección adecuados. Equipo de cómputo 5.4.5.3. Las instalaciones, equipo de cómputo y accesorios que proporciona la Dependencia para el desarrollo de sus actividades deben ser conservadas y utilizadas en forma correcta. 5.4.5.4. Solamente las Unidades de TI podrán asignar, instalar, configurar y mantener el equipo de cómputo que usará el personal para el cumplimiento de sus funciones. El resto del personal queda excluido incurriendo en una falta grave a la seguridad de la información y del propio activo. Energía eléctrica 5.4.5.5. El equipo tecnológico debe estar protegido de las fallas en el suministro de energía eléctrica. Aquellos equipos críticos deben contar con: a) Múltiples fuentes de alimentación de electricidad. b) Fuente ininterrumpida de poder (UPS). c) Generador de energía de respaldo.
5.4.5.6. Los UPS y Generadores de energía de respaldo deberán ser probados y revisados periódicamente de acuerdo a las especificaciones del fabricante. 5.4.5.7. Los interruptores de energía eléctrica deben estar localizados cerca de las salidas de emergencia para facilitar la rápida actuación en caso de una emergencia. 5.4.5.8. Iluminación de emergencia debe ser considerada como apoyo en fallas en la energía eléctrica. Cableado 5.4.5.9. El cableado eléctrico, de datos y telefonía debe ser protegido contra cualquier intercepción o daño. 5.4.5.10. Las líneas de energía eléctrica y comunicaciones dentro de los centros de procesamiento de datos deben estar instaladas de acuerdo a los estándares, debajo del piso, sobre rieles, canaletas o conductos y sujetas a medidas adicionales de protección. 5.4.5.11. Los cables de electricidad deben separarse forzosamente de los de comunicaciones a fin de evitar interferencias. Mantenimiento de equipo 5.4.5.12. Todo el equipo e infraestructura tecnológica debe contar con programas de mantenimiento para asegurar su correcto funcionamiento y disponibilidad con el paso del tiempo. 5.4.5.13. El mantenimiento de equipo debe llevarse a cabo de acuerdo a las especificaciones del fabricante y solamente a través de personal autorizado. 5.4.5.14. El responsable del equipo debe asegurarse de llevar un registro de las fallas o funcionamiento anormal para determinar con oportunidad las medidas preventivas o correctivas. 5.4.5.15. El mantenimiento de equipo de cómputo fuera de las instalaciones de la Unidad de Administrativa requiere pasar por un control previo de seguridad y visto bueno de las Unidades de TI, para la protección de la información que contiene. Instalación de equipo fuera de oficinas 5.4.5.16. La instalación y uso de equipo de cómputo o infraestructura tecnológica para el manejo de información fuera de la compañía debe ser aprobado por la Alta Dirección de la Unidad Administrativa correspondiente. 5.4.5.17. Para estos equipos deben aplicar las mismas medidas de seguridad que las establecidas para el equipo en sitio, además de realizar una evaluación de riesgos que permita identificar medidas adicionales. 5.4.5.18. Los equipos que sean llevados fuera de las instalaciones de la Unidad de Negocio no podrán ser desatendidos en lugares públicos, deberán observarse las instrucciones del fabricante respecto a los cuidados físicos para evitar la exposición al calor o campos electromagnéticos y de ser necesario, se deberá contratar un seguro de daños contra el equipo en cuestión. Reutilización de equipo de cómputo 5.4.5.19. Las Unidades de TI del Sector deberán Considerar un procedimiento para la disposición y reutilización de equipo de cómputo así como la destrucción apropiada de toda la información que pudiera tener, a fin de evitar malos manejos en un futuro. 5.4.6. Escritorio Limpio 5.4.6.1. Todas las personas que trabajan en la Dependencia están obligadas a cumplir con las siguientes normas de seguridad al ausentarse de su lugar de trabajo o finalizar su jornada laboral: a) En caso de contar con una oficina con puerta, cerrar ésta con llave.
b) Retirar de los escritorios o lugares visibles la información sensible que haya sido utilizada sin importar el medio en que se encuentre (papel, discos, medios magnéticos) y resguardarla en gabinetes apropiados, cajones con llave o cualquier otro mueble con acceso controlado. c) Destruir aquella información sensible que ya no será utilizada a través de los medios adecuados para ello (trituradoras de papel, destructor de medios magnéticos, etc.). d) No dejar documentos con información restringida o confidencial sobre impresoras, copiadoras y fax. e) No utilizar la información impresa que sea confidencial o de uso restringido para reciclaje. f) Activar el protector de pantalla con contraseña en su computadora y terminar las sesiones abiertas con los sistemas (no aplica solo para las Aplicaciones productivas de Sistemas). 5.5.1. Procedimientos operacionales 5.5.1.1. Las Unidades de TI deberán segregar claramente las responsabilidades para el manejo y operación de las facilidades de cómputo y comunicaciones. 5.5.1.2. Las Unidades de TI responsables de la operación y administración de cómputo y comunicaciones de la Dependencia deberán desarrollar todos aquellos procedimientos operativos que se requieran para asegurar que los ambientes productivos cumplan con los requerimientos de confidencialidad, integridad y disponibilidad. 5.5.1.3. Esta documentación deberá incluir: a) Procedimientos para el manejo de información sensible. b) Procedimientos e instrucciones para el manejo de errores o condiciones excepcionales que surjan durante la ejecución de tareas, incluyendo restricciones en el uso de utilerías del sistema. c) Contactos de soporte en el caso de un evento inesperado en la operación o problemas técnicos. d) Procedimientos de re-arranque y recuperación de los sistemas en el caso de una falla de éstos. 5.5.2. Control de Cambios 5.5.2.1. Las áreas responsables del desarrollo de sistemas y de la operación de la infraestructura de cómputo de cada Unidad Administrativa deberán definir los mecanismos de comunicación que permitan la evaluación coordinada de los impactos en los nuevos elementos tecnológicos, los nuevos desarrollos o las mejoras en los sistemas, a fin de prever lo necesario para su buen desempeño y funcionalidad. 5.5.2.2. Cualquier cambio en la infraestructura y los sistemas aplicativos deberá seguir un proceso formal que considere al menos: a) Contar con un modelo general de procesos que muestre sus relaciones e interfaces. b) Mantener un registro de los niveles de autorización para la implantación de cambios. c) Asegurar que los cambios son solicitados por los usuarios con esta responsabilidad. d) Identificar el software, información, bases de datos y hardware que se verán impactados por el cambio. e) Asegurar que los usuarios están conscientes del cambio antes de que se libere. f) Contar con un proceso preliminar en donde se identifique, pruebe y evalúe el impacto del cambio. g) Asegurar la documentación del cambio y los impactos en la configuración. h) Definir y monitorear indicadores de desempeño de los cambios, sean exitosos o fallidos. i) Contar con pistas de auditoria para los cambios ejecutados. j) Definir las ventanas de implementación y asegurar que no existe impacto en los procesos de negocio en el momento de implantación.
k) Definición de roles, responsabilidades y métricas para el proceso. l) Contar con planes de retorno en caso de que los cambios no resulten exitosos. 5.5.3. Manejo de incidentes 5.5.3.1. Las Unidades de TI deberán contar con procedimientos para el manejo de incidentes en donde se consideren situaciones como la pérdida o falla de servicios, el acceso no autorizado a los sistemas, el robo de información, los errores o fallas generales de la infraestructura, la presencia de virus y en general, la violación a las medidas de seguridad de la información. Además deberá existir un proceso para el análisis de las causas que originan el incidente a fin de planear las medidas de prevención y corrección necesarias. 5.5.3.2. Deberá existir un efectivo mecanismo de comunicación para la coordinación entre las áreas involucradas, la Unidad Administrativa y el Comité de Seguridad de la Información. 5.5.3.3. Las acciones para responder, corregir y recuperarse de una ruptura de seguridad o de fallas de un sistema deben de ser controladas y documentadas adecuadamente. La integridad de los sistemas críticos del negocio debe ser verificada y confirmada con el menor retardo posible. Los rastros de auditoria y evidencias debe se recolectada y mantenida de forma segura. 5.5.4. Segregación de responsabilidades 5.5.4.1. La asignación de responsabilidades dentro de las áreas de operación de cómputo y comunicaciones deben evitar el conflicto de intereses, de tal forma que nunca recaiga la responsabilidad de ambas funciones en una sola persona, que pudiera pasar por alto ciertas acciones sin que sean detectadas. Separación de ambientes de desarrollo y producción 5.5.4.2. En la medida de lo posible, los ambientes de desarrollo, pruebas y producción deben estar separados con la finalidad de reducir riesgos de accesos no autorizados o cambios accidentales a los sistemas e información de la Unidad Administrativa. 5.5.4.3. Los siguientes controles deberán ser observados: a) El software de desarrollo y producción deberá ejecutarse en diferentes equipos o al menos en diferentes dominios o directorios. b) Los compiladores, editores y algunas otras utilerías del sistema no deben estar al alcance desde los ambientes productivos cuando no sea requerido. c) Los usuarios de desarrollo podrán tener acceso a los ambientes productivos solo cuando existan los controles necesarios para asegurar que se hará de forma restringida y solo para el apoyo en la situación de emergencias. d) Los mecanismos de registro a los ambientes de pruebas y producción deben ser diferentes, obligando a los usuarios a utilizar cuentas y contraseñas distintas. 5.5.5. Planeación y aceptación de sistemas Planeación de la capacidad 5.5.5.1. Las Unidades de TI deberán contar con un proceso formal para la planeación de la capacidad de las distintas plataformas, redes e infraestructura. Las demandas de capacidad de los equipos deben ser vigiladas de tal forma que se puedan hacer proyecciones a futuro para asegurar la disponibilidad de los requerimientos de almacenamiento y procesamiento. Aceptación de los sistemas 5.5.5.2. La puesta en marcha de todo sistema debe seguir un proceso formal de aceptación en el que el área responsable de la operación de infraestructura de cómputo determine bajo criterios establecidos y documentados si el sistema cumple
con los estándares de calidad y seguridad apropiados para entrar al ambiente de producción. 5.5.5.3. Los requerimientos para la aceptación de un sistema debe considerar: a) Desempeño y requerimientos de capacidad de cómputo. b) Procedimientos de instalación. c) Procedimientos de retorno en caso de falla y contingencias. d) Preparación para recuperación de errores y procedimientos de re-inicio y planes de contingencia para los equipos de cómputo. e) Evidencias de que la instalación del nuevo sistema no afectará negativamente a sistemas en producción, especialmente en tiempos de proceso pico. f) Entrenamiento en la operación del nuevo sistema. 5.5.6. Uso de equipo de cómputo 5.5.6.1. Las Unidades de TI son las áreas responsables de asignar, instalar, configurar y mantener el equipo de cómputo del personal de las diferentes Unidades Administrativas. Queda estrictamente prohibida la instalación de equipo de cómputo, servicios o dispositivos de red sin el consentimiento de la Unidad de TI. 5.5.6.2. La Política de uso de equipo de cómputo es la siguiente: a) El usuario es el responsable directo del equipo, accesorios y demás dispositivos de cómputo que le hayan sido asignados por la Dependencia y se obliga a mantenerlo siempre en óptimas condiciones. b) El usuario que recibe un equipo de cómputo debe ser informado de la existencia de éstas políticas. c) Toda la asignación de equipo de cómputo y componentes debe ser registrada en el área de Activo Fijo. d) El equipo de cómputo debe ser utilizado por los usuarios única y exclusivamente para las actividades de trabajo dentro de la compañía. Queda prohibido darles un uso personal o de terceros. e) El usuario no podrá cambiar la configuración o parámetros del equipo, sistema operativo o aplicaciones que le fueron instaladas por parte de la Unidad de TI. f) Está prohibida la instalación y uso de software no autorizado por la compañía. g) El usuario no podrá mover de ubicación el equipo de cómputo asignado sin el consentimiento por escrito y/o asistencia del personal de sistemas h) El usuario no podrá abrir, alterar o extraer el equipo de cómputo o alguno de sus componentes. i) Está prohibida la instalación de accesorios o componentes que no hayan sido autorizados expresamente por la Dirección de Sistemas (modems, copiadores, unidades de respaldo, multimedia, etc). j) Está prohibida la instalación de juegos. k) Está prohibido almacenar archivos de música, video o fotografías que no esté justificado. l) Esta prohibido el cambio de accesorios entre equipos de cómputo (monitor, teclado, mouse, etc), a menos que la Unida de TI lo autrice. m) Todo cambio de accesorios debe ser llevado a cabo por personal de sistemas autorizado y en el cual se incluya la actualización del resguardo de activo fijo. n) Está prohibido el consumo de alimentos, bebidas y cigarros junto a los equipos de cómputo. o) El usuario deberá apagar su equipo de cómputo al finalizar su jornada de trabajo. De no ser posible, al menos deberá cerrar todos los sistemas y activar el protector de pantalla con contraseña. p) El usuario se obliga a reportar inmediatamente al área de soporte técnico cualquier falla o actividad anormal de su equipo. El usuario tiene prohibido reparar los daños que pudiera tener un equipo.
5.5.6.3. Cualquier proceso de renovación tecnológica de equipos de cómputo deberá ser planeado y anunciado oportunamente a los usuarios para que tomen sus previsiones. 5.5.6.4. Cualquier violación a las normas de seguridad establecidas en este documento será motivo de sanciones internas de acuerdo a la gravedad de la falta. La Unidad de TI se reserva el derecho de retirar el equipo, software, archivos, accesorios o componentes que pongan en riesgo la seguridad de la información o la infraestructura de la Dependencia. 5.5.7. Protección contra software malicioso 5.5.7.1. Queda prohibido instalar software sin la autorización expresa de la Unidad de TI. Para ello, deberá comunicar por escrito cuál es el software autorizado y procedimientos de instalación. 5.5.7.2. Todos los equipos de cómputo de las Unidades Administrativas de la Dependencia deberán tener un programa autorizado de antivirus actualizado y activado. Todos los discos con información deberán ser revisados antes de ser utilizados. 5.5.7.3. Queda prohibido descargar software o programas de internet sin la autorización de Sistemas, así como cualquier archivo de música, video o fotográfico que no se encuentre plenamente justificado como parte de las funciones de la persona. 5.5.7.4. Tanto el área de Sistemas como el área de Contraloría Interna deberán conducir revisiones periódicas para detectar el uso de software no autorizado y aplicar las medidas correspondientes. 5. 5.5.7.5. Queda prohibido cambiar la configuración o parámetros de los equipos de cómputo, sistemas operativos o aplicaciones de la dependencia, sin la autorización de la Unidad de TI, ya que podría exponer la información de los equipos a riesgos no identificados. 5.5.7.6. Es recomendable no utilizar directorios o carpetas compartidas en las computadoras personales, ya que ésta es la forma más común para la propagación de virus y código malicioso. Si el usuario requiere compartir archivos, deberá solicitar a la Unida de TI el espacio necesario en un servidor de archivos, con los debidos controles de acceso y las medidas de protección que correspondan. 5.5.8. Protección de equipo de cómputo de usuarios críticos 5.5.8.1. Todos los equipos de cómputo de los integrantes del Comité Ejecutivo y del personal que ellos decidan, deberán cumplir las siguientes medidas de seguridad: a) El nombre de la computadora debe evitar que se identifique al usuario. b) Contar con un dispositivo biométrico para la autenticación del usuario. c) Toda la información sensible del equipo debe estar encriptada. d) Contar con protector de pantalla con contraseña. e) Tener habilitado el programa antivirus corporativo. f) Tener habilitado un programa de protección de intrusos. g) Contar con el software corporativo de encripción de correos. h) Contar con un software para funciones de personal firewall. i) Contar con un mecanismo para el respaldo regular de la información. j) Preferentemente aislar el equipo de la red general de usuarios. k) Habilitar la contraseña de arranque de equipo. 5.5.8.2. El Comité de Seguridad de la Información definirá los estándares de protección de equipos de cómputo de usuarios VIP o críticos.
5.5.9. Integridad y disponibilidad de información Propiedad de la Información 5.5.9.1. Toda la información que se encuentra dentro de los servidores de archivos o repositorios de datos de Corporativo es considerada a priori, de su propiedad, y debe estar sujeta a controles de acceso limitados. 5.5.9.2. La Unidad de TI, como custodio de la información, debe tener identificados a sus dueños y a los usuarios, a fin de establecer los niveles de acceso requeridos. Toda la información clasificada como Confidencial o Restringida debe contar con el máximo nivel de seguridad en el control de acceso, autenticación, encripción y no repudiación. Respaldo de información 5.5.9.3. La Unidad de TI deberá realizar periódicamente un análisis de las necesidades del negocio para determinar la información crítica que debe ser respaldada y la frecuencia con que se haga. 5.5.9.4. La información de respaldos debe ser probada como mínimo dos veces al año, asegurando que es confiable para su utilización en caso de emergencia. Además los procedimientos de restauración deben ser revisados y probados para asegurar que son efectivos y que pueden ser ejecutados en el tiempo definido. 5.5.9.5. Deberá existir un proceso formal de administración y control de respaldos que permita conocer qué información está respaldada y almacenada en las bóvedas de seguridad, además de tener definidas las ligas necesarias con el plan de recuperación de desastres. 5.5.9.6. Al menos una copia de los respaldos de información crítica debe ser almacenada fuera de las instalaciones y bajo estrictas medidas de seguridad en la transportación, resguardo y control de acceso. 5.5.9.7. El dueño de la información es responsable de definir claramente el periodo de retención de respaldos, en función de los requerimientos de cada Unidad de Administrativa. Como mínimo, los respaldos de información crítica deben conservarse 6 años. Registros del operador 5.5.9.8. Todas las actividades de los administradores y operadores de las distintas plataformas tecnológicas deben ser registradas electrónicamente y respaldadas. El Log de actividades debe incluir al menos: a) Identificación del equipo. b) Horario de arranque y finalización de los procesos del sistema. c) Errores del sistema y acciones críticas realizadas. d) Cuenta del operador que realizó la actividad. 5.5.9.9. Los registros o logs de sistemas podrán ser revisados por entidades externas a la Dirección de Sistemas para validarlos contra los procedimientos operativos. Esta actividad podrá ser llevada a cabo por Seguridad Informática. Intentos de Acceso fallidos 5.5.9.10. Los intentos fallidos para ingresar a los sistemas deben ser grabados y revisados periódicamente por el personal de administración de la red de Sistemas para detectar ataques sistemáticos. Debe grabarse e informar de los intentos. 5.5.9.11. Aquellos indicios de accesos no autorizados deberán ser reportados de inmediato al dueño del sistema de información, a Auditoria Interna y al Comité de Seguridad de la Información para su revisión y seguimiento. 5.5.10. Operación y administración de redes 5.5.10.1. La Dirección de Sistemas debe asegurar que las responsabilidades de la operación de las redes se encuentre separada de la operación de la infraestructura de cómputo.
5.5.10.2. El responsable de la operación de redes debe contar con procedimientos para la administración del equipo remoto, así como controles aprobados por el Comité de Seguridad de la información de Corporativo para el intercambio de información sensible sobre redes públicas y esquemas de redundancia para garantizar la disponibilidad de los servicios. 5.5.10.3. La Dirección de Sistemas debe coordinar los esfuerzos encaminados a optimizar los servicios que soportan el negocio y garantizar que se cumplan las normas de seguridad establecidas. 5.5.10.4. Las siguientes reglas aplican para el diseño, operación y administración de redes: a) Cada red debe proveer un nivel de seguridad acorde a la sensibilidad de los sistemas, aplicaciones y datos disponibles a través de ella. b) Las redes deben ser diseñadas y administradas de tal forma que la falla de cualquier elemento conectado a ella no permita el acceso. a toda la red de usuarios no autorizados. c) Deben existir controles de integridad para prevenir la divulgación no autorizada o la modificación de los datos mientras se encuentran en proceso de transmisión, almacenamiento o procesamiento. d) Los usuarios y sistemas de la red, deben estar ampliamente identificados y autenticados. e) Las interfases para redes externas que no pertenecen a la Unidad Administrativa se deben autorizar tomando en cuenta la necesidad que representa para las actividades laborales. f) La comunicación entre las redes internas de la empresa con Internet u otras redes externas, deben tener sistemas de comprobación de identidad a través de un Firewall, y de métodos de encriptación y protección de intrusos aprobados por Comité de Seguridad de la Información. g) Deben registrarse los accesos válidos, no autorizados y fallidos h) Restringir los puertos de datos de la red sólo a dispositivos autenticados y autorizados o Desactivar los puertos de red que no estén en uso. i) No permitir la instalación computadoras, redes o aplicaciones que comprometan la seguridad de la red. j) No conectar equipos que representen un puente inseguro entre una red y otra. k) Integrar una solución de antivirus perimetral. l) Evitar los puntos únicos de falla. 5.5.11. Administración de medios Administración de medios removibles 5.5.11.1. La Unidad de TI deberá contar con un procedimiento para la administración de medios magnéticos durante todo su ciclo de vida, asegurando que cuando la información de respaldo ya no sea útil se destruya de manera segura para que no se comprometan los datos. Disposición de medios 5.5.11.2. Adicional a los medios magnéticos, debe considerarse un procedimiento para la segura disposición, almacenamiento y destrucción de medios como documentos en papel, reportes impresos, listados de programas, datos de prueba, documentación de los sistemas, disquetes o grabaciones en casetes. Esto con el objeto de proteger tales activos de cualquier manejo inapropiado. 5.5.11.3. Este procedimiento debe considerar los siguientes controles: a) Etiquetado de los medios sensibles. b) Restricciones de acceso solo a personal autorizado. c) Registro de los usuarios que disponen del medio.
d) Almacenamiento de los medios en ambientes seguros. e) Control de distribución. Documentación de los sistemas 5.5.11.4. Toda la documentación de los sistemas debe ser resguardada de manera segura y controlada para permitir solo el acceso autorizado a ella. 5.5.12. Intercambio de información Seguridad en la transportación de medios 5.5.12.1. Dado que la información es uno de los activos más importantes de las Unidades Administrativas, debe establecerse un procedimiento seguro para la transportación de esta información sensible dentro y fuera de las instalaciones de la Dependencia. 5.5.12.2. Como mínimo debe observarse: Uso de medios de transporte y distribución confiables para la entrega de documentos físicos o electrónicos sensibles Uso de empaques suficientes que protejan el contenido Uso de sellos para identificar posibles violaciones del paquete y la entrega sólo a personas autorizadas. 5.5.12.3 Los aspectos generales que deberán estar incluidos son: Autenticación y autorización Segregación de responsabilidades Integridad de datos y transacciones No repudiación y pistas de auditoria Segregación de funciones Confidencialidad y Privacidad de datos Redundancia y alta disponibilidad. Seguridad en correo electrónico 5.5.12.4. El servicio de correo electrónico provisto por el GEM a través de la DGSEI debe ser utilizado única y exclusivamente para el intercambio de información relacionada con asuntos de trabajo y para el cumplimiento de los propósitos de la Dependencia. 5.5.12.5. Toda la información recibida, transmitida y almacenada en los servidores de Correo electrónico institucionales es considerada propiedad del GEM. 5.5.12.6. Todos los correos que salgan de los servidores de las Unidades Administrativas deben incluir la siguiente leyenda: Este mensaje y los archivos que se adjunten al mismo es propiedad del Gobierno del Estado de México. Si usted ha recibido esta comunicación por error, favor de notificar inmediatamente al remitente por este mismo conducto y elimine el correo. Gracias. 5.5.12.7. Los usuarios de correo electrónico deben mantener las normas de conducta y buenas costumbres. 5.5.12.8. Está prohibido utilizar el correo electrónico para: Actividades económicas o de negocios personales. Envío de mensajes que contengan: chistes, cadenas, mensajes religiosos, actos de caridad, pornografía, imágenes, despedidas, archivos de música o videos que no correspondan a alguna actividad de su trabajo. Hostigamiento sexual, étnico, racial o de cualquier tipo. Enviar insultos, obscenidades, o comentarios despectivos. 5.5.12.9. Quien reciba de este tipo de mensajes tiene la obligación de reportarlo a la Unidad de TI para su seguimiento. 5.5.12.10. Está prohibido utilizar el correo electrónico del GEM para enviar comentarios u opiniones de índole personal hacia Foros, Sitios Públicos, Empresas Privadas, Instituciones de Gobierno ya que pueden comprometer la imagen o intereses del Gobierno. 5.5.12.11. Los usuarios que reciban por equivocación mensajes o correos confidenciales o de uso restringido, tienen la obligación de notificar inmediatamente al