manual informatica

5/28/2018 Manual Informatica

1/76


2/76

NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DESEGURIDAD INFORMTICA EN EL INSTITUTO MEXICANO DELSEGURO SOCIAL

Pgina 2 de 36 Clave: 5000-001-001

INDICE

Pgina

1. Objetivo 3

2. mbito de aplicacin 3

3. Sujetos a la norma 3

4. Responsables de la aplicacin de la norma 35. Definiciones 4

6. Documentos de referencia 10

7. Disposiciones 11

7.1 De carcter general 11

7.2 Para el uso de la infraestructura y servicios informticos 13

7.3 De la administracin de infraestructura y servicios informticos 26

7.4 Para el desarrollo y liberacin de sistemas 34

Transitorios 36

Apndices

Apndice A. Como habilitar el protector de pantalla de los equipos decmputo.

Apndice B. Como habilitar y verificar Listas de Control de Acceso a losrecursos compartidos en la red.

Apndice C. Gua de Instalacin y configuracin del cliente VPN deCisco.


3/76


Pgina 3 de 36 Clave: 5000-001-001

Con fundamento en lo dispuesto en los artculos 5 y 74 del Reglamento Interior del InstitutoMexicano del Seguro Social vigente, publicado en el Diario Oficial de la Federacin el 18 deseptiembre de 2006, as como el numeral 7.6.1 de la Norma que establece las disposicionespara la elaboracin, autorizacin e implantacin de Normas en el Instituto Mexicano delSeguro Social, aprobada mediante acuerdo 54/2003 por el H. Consejo Tcnico del propioInstituto en sesin celebrada el 19 de febrero del 2003, se expide la siguiente:

NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE SEGURIDADINFORMTICA EN EL INSTITUTO MEXICANO DEL SEGURO SOCIAL

1 Objetivo

Define las disposiciones mnimas a las que debern ajustarse los usuarios y administradoresen el uso, administracin y mantenimiento de la infraestructura y servicios informticos delInstituto Mexicano del Seguro Social.

2 mbito de aplicacin

La presente norma es de observancia obligatoria para los rganos Superiores, Secretara

General, rgano Interno de Control, rganos Normativos, rganos Colegiados Delegacionesdel Sistema y rganos de Operacin Administrativa Desconcentrada, as como Operativosdel Instituto Mexicano del Seguro Social, definidas en el artculo 2 del Reglamento Interior delInstituto Mexicano del Seguro Social.

3 Sujetos de la norma

El Personal del Instituto que haga uso de la infraestructura o servicios informticos, o bienque administre o desarrolle sistemas en todos los rganos y unidades administrativas delInstituto, as como cualquier otra persona que por existir relacin con el Instituto tenga quehacer uso de los servicios informticos en lo que le sea aplicable.

4 Responsables de la aplicacin de la norma

Los Titulares de las Coordinaciones de la Direccin de Innovacin y Desarrollo Tecnolgico ylas Coordinaciones Delegacionales de Informtica del Instituto.


4/76


Pgina 4 de 36 Clave: 5000-001-001

5 Definiciones

Para efectos de la presente norma se entender por:

5.1 administrador: son todas aquellas personas responsables de mantener ladisponibilidad y la funcionalidad de la infraestructura y servicios institucionales deacuerdo a las necesidades de operacin del Instituto.

5.2 ambiente de trabajo: se refiere al conjunto de herramientas, utileras, programas,aplicaciones e informacin que un usuario tiene disponible para el desempeo de sus

funciones de manera controlada, en relacin con los privilegios de su cuenta.

5.3 amenaza: es una condicin causada por una inadecuada configuracin oinstalaciones realizadas con opciones por omisin, que permite explotarvulnerabilidades de una entidad, atentando contra las propiedades deconfidencialidad, disponibilidad e integridad de la informacin.

5.4 anlisis de protocolos: procedimiento que permite conocer los paquetes queintegran e identifican a la informacin durante los procesos de comunicacin entredispositivos de la red del Instituto.

5.5 antivirus: software especializado y diseado para detectar, eliminar y prevenirintrusin de virus informticos dentro de la red institucional.

5.6 sistemas institucionales: son todos los sistemas desarrollados con la finalidad deautomatizar los procesos sustantivos del Instituto.

5.7 base de datos: es un conjunto de datos pertenecientes a un mismo contexto yalmacenados sistemticamente para su posterior uso.

5.8 biblioteca de programas: es una coleccin o conjunto de archivos que contienencdigo, desarrollados por un mismo fabricante bajo ciertos criterios, mismos que

suelen ser compatibles e interoperables entre s.

5.9 cadenas: son mensajes enviados a travs del servicio de Correo ElectrnicoInstitucional y que se caracterizan por solicitar dentro del cuerpo del mismo serenviados a cierta cantidad de personas.

5.10 carpeta personal: rea de almacenamiento creada en la computadora personal delusuario, donde se pueden almacenar mensajes del Correo Electrnico Institucionalentre otros.


5/76


Pgina 5 de 36 Clave: 5000-001-001

5.11 cartucho: sistema de almacenamiento que incluye una cinta magntica, usadoprincipalmente como medio de almacenamiento de alta capacidad que tpicamentese utiliza para realizar copias de seguridadsin fin.

5.12 cifrar: es el proceso de transformar un mensaje para ocultar su contenido, de talmanera que el receptor sea la nica persona que pueda recuperar el mensaje original,adems de quien lo genera.

5.13 cintas: es un dispositivo de almacenamiento basado en un medio magntico querequiere de un lector/reproductor especial.

5.14 closet de comunicaciones: elemento en la arquitectura de una red en el que seconcentra el cableado, equipo de red y de comunicaciones y mediante el cual sehabilita una serie de servicios.

5.15 compilador:es un programa que genera lenguaje mquina a partir de un lenguaje deprogramacin.

5.16 conexin institucional:enlace de comunicaciones que brinda un servicio especfico,el cual est autorizado, administrado y monitoreado por la Direccin de Innovacin yDesarrollo Tecnolgico y que cuenta con todos los elementos necesarios para cubrir la

disponibilidad y seguridad de la informacin que por este medio se recibe o transmite.

5.17 confidencialidad:es una de las caractersticas de la seguridad informtica, la cualest encaminada a revelar el nivel y el tipo de informacin nicamente a las entidadesautorizadas para acceder a la misma.

5.18 configuracin de red:son los valores asignados y las opciones habilitadas para elacceso a la red de un equipo de cmputo dentro de la infraestructura informtica delInstituto.

5.19 contrasea: es una serie de caracteres que en conjunto con una cuenta de usuario

permite el acceso a los recursos o servicios institucionales, misma que debe ser difcilde inferir por todas las personas a excepcin del dueo de la cuenta.

5.20 contrasea de encendido:es la contrasea asignada por el usuario, necesaria paraque un equipo de cmputo inicie el proceso normal de encendido, y por lo tanto, lainicializacin del Sistema Operativo.

5.21 Correo Electrnico Institucional:es el grupo de tecnologas encaminadas a habilitarun servicio que facilita el intercambio de mensajes, documentos e informacin demanera electrnica.


6/76


Pgina 6 de 36 Clave: 5000-001-001

5.22 cuenta de dominio: usuario y contrasea que una persona utiliza para acceder a lared institucional.

5.23 cuenta de usuario: es el identificador nico y personal que est asociado a unusuario, mismo que en conjunto con una contrasea permite el acceso a recursos oservicios institucionales.

5.24 CD: es un dispositivo digital ptico utilizado para almacenar cualquier tipo deinformacin (audio, video, documentos y otros datos), misma que al ser leda con unlser, es transformada en cadena de bits.

5.25 depositarios de la informacin: son todas las reas tcnicas de administracin ysoporte de la tecnologa y servicios informticos del Instituto las cuales estnencargadas de mantener la integridad, disponibilidad y confidencialidad de lainformacin que se almacena en la infraestructura de cmputo del Instituto.

5.26 desarrollador: es aquella persona que tiene acceso a la infraestructura o serviciosinformticos institucionales de manera autorizada, misma que cuenta con losconocimientos necesarios para disear, construir y probar aplicaciones paraautomatizar la operacin institucional.

5.27 dial-up: acceso remoto que comnmente utiliza un MODEM y una lnea telefnicapara acceder a una red.

5.28 diskette:dispositivo de almacenamiento basado en un disco magntico de pequeasdimensiones y baja capacidad.

5.29 disponibilidad:es una de las caractersticas de la seguridad informtica, encaminadaa mantener los servicios habilitados y listos para su uso en el momento en que seanrequeridos por los usuarios.

5.30 extensin: es una cadena de caracteres anexada al nombre de un archivo

usualmente antecedido por un punto, la cual se caracteriza por tener un nmerolimitado de caracteres alfanumricos dependiendo del sistema operativo, comnmenteest integrado por tres caracteres pero es susceptible de variacin.

5.31 firewall: es el dispositivo fsico que permite crear una barrera entre la red interna y lared externa, permitiendo el acceso entre estas de acuerdo a las polticas de seguridaddefinidas en su configuracin.

5.32 firmware: parte del software de una computadora que no puede modificarse porencontrarse en la ROM o memoria de slo lectura, Read Only Memory, estformada por el hardware y el software, es decir, tiene una parte fsica y una parte de


7/76


Pgina 7 de 36 Clave: 5000-001-001

programacin consistente en programas internos implementados en memorias novoltiles.

5.33 hardware:son los componentes fsicos que conforman un equipo de cmputo y msampliamente cualquier dispositivo electrnico.

5.34 infraestructura:es el grupo de componentes tecnolgicos que habilitan y soportan losservicios informticos institucionales.

5.35 Instituto:Instituto Mexicano del Seguro Social

5.36 integridad:es una de las caractersticas de la seguridad informtica, que estableceque la informacin durante su procesamiento, manipulacin o transmisin, no debe sermodificada en contenido, de manera que conserve su originalidad.

5.37 Internet:conjunto de redes de computadoras que a nivel mundial son utilizadas parael intercambio de informacin.

5.38 intruso: se designa as a la entidad que utilizando recursos tecnolgicos, obtieneacceso a bienes informticos sin tenerlo permitido, de los cuales puede extraerinformacin, con lo cual se compromete los principios o atributos de integridad,

confidencialidad y autenticidad.

5.39 KB: Kilobyte, medida que se le da a la cantidad de informacin contenida en unarchivo o espacio asociado en un medio de almacenamiento y que equivale a 1,024Bytes.

5.40 lista de control de acceso: es una lista donde se asignan permisos de acceso a losarchivos y directorios por usuario.

5.41 LFTAIPG: Ley Federal de Transparencia y Acceso a la Informacin PblicaGubernamental.

5.42 macros: son todas aquellas secuencia de instrucciones que se ejecutan dentro deotros programas como word, excel, writer y calc para automatizar tareas, su usoelimina la realizacin de tareas repetitivas, automatizndolas, bsicamente, se trata deun grupo de comandos de una aplicacin, organizados segn un determinado juegode instrucciones y cuya ejecucin puede ser solicitada una sola vez para realizar lafuncin que se desea.

5.43 mensajera instantnea: son aplicaciones o software que permiten comunicarsemediante el envi de mensajes en tiempo real, as como por medio del intercambio dearchivos.


8/76


Pgina 8 de 36 Clave: 5000-001-001

5.44 mensajes: cualquier informacin transmitida a travs del Correo ElectrnicoInstitucional.

5.45 mesa de ayuda: es el punto de contacto encargado de recibir todos aquellosincidentes de usuarios relacionados con problemas de la infraestructura tecnolgica.

5.46 norma:norma que establece las disposiciones en materia de seguridad Informtica enel Instituto.

5.47 no repudiacin: uno de los principios o atributos de la seguridad que se refiere al

hecho de asegurar que el remitente de un mensaje no pueda negar que lo envi o bienque el destinatario niegue haberlo recibido.

5.48 rganos administrativos: todos los rganos superiores, el rgano Interno de Controlen el Instituto, rganos Normativos, Colegiados, de Operacin AdministrativaDesconcentrada, Operativos y la Secretara General del Instituto.

5.49 perifricos:son todos los dispositivos que estn conectados fsicamente a un equipode cmputo.

5.50 Plan de Contingencias Institucional:se trata del documento en el que se plantea la

estrategia, el personal y el conjunto de actividades que se requieren realizar pararecuperar por completo o parte de un servicio, localidad o proceso institucional crticoen caso de que se presente un desastre.

5.51 protector de pantalla:se trata de un programa que se ejecuta despus de un periodode tiempo determinado y de manera automtica, a falta de la presencia de unoperador.

5.52 rebobinamiento:se refiere a la accin de regresar una cinta magntica, a un puntofsico previo a aquel en el que se ubicaba, pudiendo ser hasta el inicio de la misma.

5.53 red: grupo de bienes informticos que habilitan al usuario el acceso a informacin,recursos y servicios.

5.54 red institucional: grupo de bienes informticos que habilitan al usuario del Instituto elacceso a informacin, recursos y servicios.

5.55 responsables de la informacin: todas las reas usuarias operativas de los sistemasdel Instituto, las cuales son dueas de la informacin.

5.56 seguridad informtica: es el conjunto de normas, polticas, procedimientos yestndares mnimos que deben ser considerados en el desarrollo, implementacin y


9/76


Pgina 9 de 36 Clave: 5000-001-001

operacin de los sistemas y servicios informticos, con la finalidad de garantizar laintegridad, confidencialidad y disponibilidad de la informacin institucional.

5.57 Servicios informticos: son todas las aplicaciones que estn habilitadas ysoportadas en la infraestructura tecnolgica institucional.

5.58 sistema operativo: es un conjunto de programas de computadora, destinado apermitir una administracin eficaz de los recursos de un equipo de cmputo.

5.59 software: son todas aquellas aplicaciones o programas instalados en un equipo de

cmputo.

5.60 sof tware de escaneo de red: es la aplicacin que permite conocer los puertos oservicios disponibles en los dispositivos de la red.

5.61 software institucional: es todo aquel software (sistema operativo, herramientas deescritorio, sistemas institucionales etc), para el cual el Instituto cuenta conlicenciamiento, derechos de uso, es dueo del cdigo fuente, o bien, software libre ode cdigo abierto autorizado por la Direccin de Innovacin y Desarrollo Tecnolgico.

5.62 soporte tcnico local:se refiere a la asistencia tcnica a la que pueden tener acceso

los usuarios dentro de su rea de trabajo, en relacin con la distribucin geogrfica enla que estn dispuestos.

5.63 SPAM: cadenas de mensajes con fines personales, mensajes grupales noinstitucionales, correo electrnico no solicitado con mensajes comerciales osubversivos enviados a un grupo.

5.64 UPS: dispositivo que provee durante cierto perodo de tiempo el suministro de energaelctrica durante una falla del servicio regular y que permite apagar apropiadamenteun equipo de cmputo (unidad de fuerza ininterrumpible).

5.65 usuarios:son todas aquellas personas que tienen acceso y utilizan la infraestructuray/o servicios del Instituto de manera autorizada.

5.66 usuarios finales: son todos aquellos que se encargan de la captura y explotacin dela informacin, sin que sean dueos de la misma.

5.67 virus informtico: es un programa informtico que se ejecuta en los equipos decmputo, sin el permiso o el conocimiento del usuario y que tiene por objeto alterarel funcionamiento normal del equipo de cmputo.

5.68 web: es la referencia que indica cuando la informacin est contenida en pginas y

portales de Internet.


10/76


Pgina 10 de 36 Clave: 5000-001-001

5.69 WAN: red de comunicaciones que se encuentra distribuida sobre un rea geogrficaextensa, como una ciudad, estado o pas y cuya funcin fundamental est orientada apermitir a los usuarios el acceso a servicios e intercambio de informacin dentro deuna organizacin.

6 Documentos de referencia

6.1 Cdigo Civil Federal.

6.2 Cdigo de Comercio.

6.3 Cdigo de Procedimientos Penales para el Distrito Federal.

6.4 Cdigo Federal de Procedimientos Civiles.

6.5 Cdigo Federal de Procedimientos Penales.

6.6 Cdigo Penal Federal.

6.7 Cdigo Penal para el Distrito Federal en materia de Fuero Comn y para toda la

Repblica en materia de Fuero Federal.

6.8 Constitucin Poltica de los Estados Unidos Mexicanos.

6.9 Contrato Colectivo de Trabajo IMSS-SNTSS.

6.10 Ley de Planeacin.

6.11 Ley del Seguro Social.

6.12 Ley Federal del Derecho de Autor.

6.13 Ley Federal de Procedimiento Administrativo.

6.14 Ley Federal de Responsabilidades Administrativas de los Servidores Pblicos.

6.15 Ley Federal de Responsabilidad Patrimonial del Estado.

6.16 Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental.

6.17 Lineamientos Generales para la Clasificacin y Desclasificacin de la Informacin delas Dependencias y Entidades de la Administracin Publica Federal.


11/76


Pgina 11 de 36 Clave: 5000-001-001

6.18 Lineamientos de Proteccin de Datos Personales.

6.19 Recomendaciones para la Organizacin y Conservacin de Correos ElectrnicosInstitucionales de las Dependencias y Entidades de la Administracin Pblica Federal.

6.20 Reglamento Interior del Instituto Mexicano del Seguro Social.

7 Disposiciones

7.1 De carcter general

7.1.1 Las disposiciones de la presente norma son de observancia general y obligatoriapara todo el personal del Instituto, as como personal externo que preste sus servicios demanera permanente o temporal que utilicen, administren o desarrollen en la infraestructura yservicios informticos.

7.1.2 El personal del Instituto que requiera de los servicios de personal externo que utiliceequipo dentro de las instalaciones del Instituto, se asegurar que dicho personal, al prestarsus servicios de manera permanente o temporal, cumpla las disposiciones mencionadas enla presente norma, haciendo buen uso de los recursos y servicios de la Institucin.

7.1.3 La autorizacin, difusin y actualizacin del presente documento serresponsabilidad de la Direccin de Innovacin y Desarrollo Tecnolgico a travs de susCoordinaciones y sus respectivas Divisiones, mediante diferentes medios incluyendo loselectrnicos.

7.1.4 La Divisin de Coordinaciones Delegacionales de Informtica, ser la responsablede la difusin del presente documento en el mbito Delegacional, a travs de la CoordinacinDelegacional de Informtica correspondiente.

7.1.5 La implantacin, vigilancia y cumplimiento del contenido del presente documento

ser responsabilidad de la Direccin de Innovacin y Desarrollo Tecnolgico a travs de susCoordinaciones y sus respectivas Divisiones.

7.1.6 El Instituto a travs de las Direcciones Normativas y Unidades, ser responsable dela custodia y uso de la informacin que se almacena, procesa y transmite.

7.1.7 El Instituto a travs de la Coordinacin de Administracin de Infraestructura, definirlos requerimientos de seguridad informtica cuando sea necesario intercambiar informacincon entidades externas y a su vez se reserva el derecho de la aceptacin de dichointercambio en caso de que los mecanismos de control identificados por la Divisin deSoporte Tcnico y Seguridad Informtica no mitiguen de manera satisfactoria los riesgos en

la disponibilidad, integridad y confidencialidad de la informacin.


12/76


Pgina 12 de 36 Clave: 5000-001-001

7.1.8 Los rganos administrativos del Instituto que tengan bajo su responsabilidad laadministracin de infraestructura y servicios informticos, debern nombrar un representantede seguridad ante la Divisin de Soporte Tcnico y Seguridad Informtica, con la finalidad detener un punto de contacto para una oportuna distribucin de actualizaciones de seguridaden la infraestructura o reaccin ante eventos o incidentes de seguridad. Los representantesdebern ser nombrados una vez publicada la presente norma y ratificados o rectificadossegn sea el caso, cada seis meses.

7.1.9 El representante de seguridad designado por cada uno de los rganos

administrativos definidos en el numeral anterior,

tendr la funcin de verificar que lainfraestructura o los servicios informticos, en el mbito de su competencia, cuenten con lasltimas actualizaciones y medidas de seguridad, verificar previamente el impacto de stas enla infraestructura, as como la ejecucin de las actividades notificadas por la Divisin deSoporte Tcnico y Seguridad Informtica en caso de un evento o incidente de seguridad.

7.1.10 La Coordinacin de Administracin de Infraestructura podr aportar elementos parala integracin de investigaciones, que en su caso se realicen por el uso indebido de lainfraestructura del Instituto, que derive en investigaciones de carcter laboral, administrativocivil, mercantil, de derechos de autor y en su caso penal, que realicen las instanciascompetentes.

7.1.11 Los intentos (exitosos o fallidos) para ganar acceso no autorizado a los sistemas einfraestructura, servicios o datos del Instituto, revelacin no autorizada de su informacin,interrupcin o denegacin no autorizada de sus servicios, el uso no autorizado de lossistemas e infraestructura para procesar, almacenar o transmitir datos, cambios a lascaractersticas de sus sistemas de hardware, firmware o software sin conocimiento yrespectiva autorizacin escrita por cualquier medio de comunicacin formal y reconocido porel Instituto, por parte de los administradores del mismo o cualquier otra actividad que afectelos intereses del Instituto o bien cualquier actividad que no se apegue a la presente norma,ser investigada y, en su caso, sancionada por la Coordinacin Laboral o la Oficina deInvestigaciones Laborales, del mbito Central o Delegacional, conforme a su competencia y

formalmente documentada e informada al Titular del rgano Interno de Control por quien seentere de los actos antes mencionados para el mbito central y para el mbito delegacional yUnidades Medicas de Alta Especialidad, ser el rea de Auditora, Quejas yResponsabilidades, segn corresponda, previo reporte e investigacin conforme alReglamento Interior de Trabajo, del Contrato Colectivo de Trabajo, la Ley Federal deResponsabilidades Administrativas de los Servidores Pblicos y, en su caso, la Ley Federalde Responsabilidad Patrimonial del Estado, cuando el hecho o acto que cause un dao aparticulares, sea ocasionado por un trabajador del Instituto.


13/76


Pgina 13 de 36 Clave: 5000-001-001

7.1.12 Los usuarios que realicen actividades concernientes al robo de informacin,violacin de la seguridad, anlisis de protocolos o generacin de ataques a la infraestructuray servicios informticos con los que cuenta el Instituto o cualquier actividad que no se apeguea la presente norma, sern sancionados de acuerdo al numeral anterior. Asimismo, losusuarios que presencien o sospechen de este tipo de hechos, debern notificarlo por escritoo a travs de los medios electrnicos de comunicacin, a su Jefe de Divisin o equivalenteen el mbito Delegacional y a la Divisin de Soporte Tcnico y Seguridad Informtica enNivel Central o a las Coordinaciones Delegacionales de Informtica en los Estados de laRepblica segn corresponda, en un lapso no mayor a 24 horas hbiles posteriores al hecho,

de no realizar esta notificacin, estarn sujetos a lo que la investigacin correspondientederive y resuelva.

7.1.13 Las violaciones a estas disposiciones podrn ser causa de la revocacin de losprivilegios de acceso a los servicios e infraestructura de cmputo del Instituto, segn lodetermine la Direccin de Innovacin y Desarrollo Tecnolgico y de las accionesdisciplinarias que establezcan los rganos responsables. El uso inapropiado del servicioconllevar a la aplicacin de las sanciones disciplinarias respectivas, adems de lasconsecuencias de ndole legal aplicables.

7.1.14 La Divisin de Soporte Tcnico y Seguridad Informtica en conjunto con las

Divisiones dependientes de las Coordinaciones que integran la Direccin de Innovacin yDesarrollo Tecnolgico, debern revisar por lo menos cada 2 aos las disposicionesdescritas en la presente norma en el mbito de su competencia o en cualquier momento querequiera un ajuste por avances en la tecnologa o cambios en las necesidades de operacindel Instituto, segn lo determine la Direccin de Innovacin y Desarrollo Tecnolgico.

7.1.15 La Coordinacin de Administracin de Infraestructura tiene la facultad de modificarlas condiciones de uso o criterios establecidos en el presente documento cuando loconsidere necesario y sea sancionado a travs del protocolo correspondiente.

7.2 Para el uso de la infraestructura y servicios informticos

7.2.1 Uso y cuidado de la infraestructura informtica instituc ional

7.2.1.1 Los usuarios deben utilizar los equipos de cmputo, perifricos y el software quetengan instalado, slo para el desarrollo de las actividades institucionales que le fueronconferidas, relacionadas con el desempeo de su empleo, cargo o comisin y de acuerdo alo estipulado en esta norma.

7.2.1.2 Los usuarios no deben fumar, tomar bebidas o ingerir alimentos en las reas dondese encuentren instalados los equipos de cmputo y/o perifricos de acuerdo al Reglamento


14/76


Pgina 14 de 36 Clave: 5000-001-001

Interior de Trabajo, contenido en el Contrato Colectivo de Trabajo IMSS-SNTSS y demsdisposiciones aplicables.

7.2.1.3 Los usuarios sern los responsables de la proteccin fsica de los equipos decmputo y perifricos que tengan bajo su resguardo, no debiendo causar daos a losmismos. Aquellos que sean sorprendidos en un hecho de este tipo, se harn acreedores alreporte correspondiente a la instancia competente, y en su caso, sern sancionadosconforme a la normatividad vigente sobre la materia.

7.2.1.4 Los usuarios deben apagar los equipos de cmputo y/o perifricos, cuando stos no

sean utilizados, excepto aquellos que se justifique su operacin continua.

7.2.1.5 Los usuarios no deben alterar o daar los identificadores de los equipos de cmputoy/o sus perifricos, tales como nmeros de serie, nmeros de inventario, licencia del sistemaoperativo y otros que hayan sido instalados para un propsito especfico.

7.2.1.6 Los usuarios deben verificar que todo equipo de cmputo (computadoras deescritorio, computadoras porttiles y dispositivos perifricos) que utilicen para el desarrollo desus actividades dentro del Instituto, cumplan con las siguientes condiciones:

a. Estar conectado a una Unidad Ininterrumpible de Energa Elctrica (UPS o no-brake),cuando se cuente con ste.

b. La Unidad Ininterrumpible de Energa Elctrica deber estar conectada a la corrienteregulada, cuando se cuente con este servicio.

c. Se ubiquen en una superficie slida y firme.d. Las cubiertas de los equipos, teclados y las superficies donde se encuentren

instalados estn libres de polvo.e. Los cables de energa o datos no debern estar presionados por objetos pesados.

7.2.1.7 Los usuarios podrn utilizar la red del Instituto, para acceder a los equipos locales oremotos a los que tengan autorizacin.

7.2.1.8 Los usuarios no deben alterar la configuracin de red que les fue asignada al

momento de la instalacin de su equipo.

7.2.1.9 Los usuarios deben verificar que su equipo de cmputo tenga configurado elprotector de pantalla con contrasea, con la finalidad de evitar el acceso no autorizado a suinformacin en caso de retiro temporal o en su defecto bloquear la sesin de usuario. Encaso de no contar con la configuracin del protector de pantalla con contrasea, se deberde realizar la configuracin descrita en el Apndice A.

7.2.1.10 Los usuarios que cuenten con algn dispositivo de seguridad en los equipos decmputo, tales como candados, cable de seguridad con llave, etc., debern asegurarse queestos estn debidamente colocados.


15/76


Pgina 15 de 36 Clave: 5000-001-001

7.2.1.11 Los usuarios deben asignar contraseas personalizadas, estableciendo lospermisos de lectura o escritura, o utilizar la lista de control de acceso personalizada cuandorequieran compartir archivos a travs de la red con otros usuarios. Referirse al Apndice BCmo habilitar y verificar Listas de Control de Acceso a los recursos compartidos en la red.

7.2.1.12 Los usuarios de los equipos de cmputo son los nicos responsables de lainformacin contenida en los discos duros y dems medios de almacenamiento con los quecuente su equipo y por lo tanto es su responsabilidad el respaldarla peridicamente yrecuperarla en caso de alguna eventualidad.

7.2.1.13 La proteccin fsica de los equipos de cmputo y/o perifricos corresponde a quiense le asigna el bien, por tal motivo, es responsabilidad del usuario notificar el extravo o roboa las reas respectivas; o el movimiento del equipo en caso de que exista, a las reas queadministran los bienes dentro del Instituto de conformidad a la normatividad existente enmateria de control de bienes muebles, as como a la Coordinacin de Administracin deInfraestructura en nivel central o a la Coordinacin Delegacional de Informtica a niveldelegacional.

7.2.1.14 Los usuarios que requieran conectarse a la red Institucional utilizando equipo decmputo personal propio o Institucional, debern asegurarse de que ste se encuentre librede virus informticos y con todas las actualizaciones del sistema operativo y motor de

antivirus. Los usuarios que utilicen equipo personal propio y no cumplan con lo aqudispuesto sern susceptibles de la denegacin del acceso a la red. Los usuarios de equipoInstitucional debern de informar al rea de soporte tcnico respectivo en caso de no contarcon Antivirus o sospechar que no se encuentra actualizado.

7.2.1.15 Los usuarios que acceden a la red a travs de medios inalmbricos debernasegurarse que la comunicacin establecida est cifrada, de acuerdo a los estndares deseguridad definidos por el Instituto.

7.2.2 Solicitud y uso de servicios informticos insti tucionales

7.2.2.1 Los usuarios deben de acudir a la Mesa de Servicio al personal de soportetcnico local cuando:

a. Se requiera asesora sobre el correcto uso de los recursos y/o servicios autorizados.b. Se presenten problemas en los equipos de cmputo y/o perifricos asignados,

software instalado, o en los servicios que le son proporcionados.c. Sospechen que su equipo se encuentra infectado por algn virus informticod. Requieran la instalacin de un nuevo software o hardware Institucional.e. Requiera dar de baja un equipo de cmputo y/o sus perifricosf. Requieran del alta, baja y/o cambio de cuenta de usuario para acceso a la red,

Sistemas Operativos, Bases de Datos o Aplicaciones Institucionales.

g. Requieran de cambios en las configuraciones de los equipos de cmputo.


16/76


Pgina 16 de 36 Clave: 5000-001-001

h. O cualquier otra causa que est relacionada con la infraestructura y los serviciosinformticos.

7.2.2.2 El usuario dar cumplimiento a todas las recomendaciones que le seanproporcionadas por el Instituto a travs de la Direccin de Innovacin y DesarrolloTecnolgico relativas al uso de la infraestructura y los servicios informticos.

7.2.2.3 La instalacin, mantenimiento y operaciones relacionadas con equipo de cmputo,comunicaciones, redes de rea local, almacenamiento, cableado, software Institucionaly desarrollo de sistemas entre otros, slo podr ser llevada a cabo por personal de la

Direccin de Innovacin y Desarrollo Tecnolgico o bien quien sta designe de acuerdo a lasfunciones que le fueron asignadas en el Manual de Organizacin.

7.2.2.4 La Coordinacin de Administracin de Infraestructura tiene la facultad de modificaro incluso suspender el servicio o partes del mismo cuando sea necesario, por razonesadministrativas, de mantenimiento de los equipos o por causas de fuerza mayor, todo ello, enla inteligencia de que ser notificado previamente, si las circunstancias lo permiten.

7.2.3 Uso de cuentas de usuario y contraseas

7.2.3.1 Los usuarios deben de considerar y tratar a las cuentas de usuario y contraseasde los diferentes sistemas a los cuales tengan acceso como informacin confidencial, por lotanto, son de uso exclusivo del Titular de la cuenta, de tal manera que es intransferible,siendo responsabilidad del usuario salvaguardar la contrasea, cambiarla al momento derecibir por primera vez el servicio, cambiarla peridicamente y no prestarla bajo ningunacircunstancia, por lo que las consecuencias jurdicas y/o administrativas de los actosejecutados con las mismas son responsabilidad exclusiva del usuario Titular de la cuenta. Noobstante lo anterior, podrn crearse cuentas con el propsito especfico de darrepresentatividad a un rea, rgano o unidad administrativa determinada, sin embargodeber establecerse en la solicitud correspondiente, claramente el responsable de su uso.

7.2.3.2 Las contraseas deben de tener al menos 8 caracteres y estar constituidas porletras y nmeros y deber evitarse el uso de:

a. Informacin personal (nombres propios, apellidos, fecha de nacimiento oconmemorativas, nombre de mascotas, etc.)

b. Secuencias bsicas de teclado o de numeracin (asdf o 1234)c. Caracteres repetidos en la misma contrasea (111222)d. Palabras que se encuentren en el diccionarioe. Caracteres especiales


17/76


Pgina 17 de 36 Clave: 5000-001-001

7.2.3.3 Todos los usuarios del Instituto deben procurar abstenerse de guardar su(s)contrasea(s) de forma legible en archivos en disco o escribirla(s) en papel. Si existe raznpara creer que una contrasea ha sido comprometida, debe solicitar su cambioinmediatamente ante el rea que administre los servicios o accesos. No deben usarsecontraseas que son idnticas o substancialmente similares con respecto a contraseaspreviamente empleadas.

7.2.3.4 Cuando el aplicativo o software del sistema lo permita, debe limitarse el nmero deintentos infructuosos consecutivos para validar la contrasea de los usuarios del Instituto,para disminuir el riesgo de accesos no autorizados.

7.2.3.5 Todos los equipos de cmputo que no presenten actividad durante cierto periodode tiempo, debern configurarse para suspender la sesin de usuario. Para restablecernuevamente la sesin ser necesario que el usuario digite su contrasea.

7.2.4 Generalidades del servicio del Correo Electrnico Insti tucional.

7.2.4.1 El nico correo electrnico autorizado por el Instituto es el que pertenece aldominio imss.gob.mx, definido como Correo Electrnico Institucional.

7.2.4.2 El nico correo electrnico autorizado para la generacin, transmisin y recepcin

de informacin en el Instituto es el Correo Electrnico Institucional.

7.2.4.3 Las cuentas de usuario generadas en el Correo Electrnico Institucional tendrn lasiguiente estructura: [email protected], encaso de ya existir la cuenta se aplicar el criterio de agregar al final del primer apellido laprimera letra del segundo apellido hasta romper con las similitudes, pudiendo utilizar lasletras subsecuentes del segundo apellido.

7.2.4.4 La Coordinacin de Administracin de Infraestructura a travs de la Divisin deSoporte Tcnico y Seguridad Informtica es la responsable de la administracin del sistemade Correo Electrnico Institucional, por lo que las actividades relacionadas a su uso y/o

manejo podrn ser aclaradas por la mencionada Divisin.

7.2.4.5 Son usuarios elegibles del Correo Electrnico Institucional todo el personal delInstituto, que ostente una plaza indistintamente del nivel o tipo de contratacin-, que tengaacceso a una computadora y a la red institucional va una cuenta de dominio personalizada.

7.2.4.6 En ningn caso las cuentas de Correo Electrnico Institucional sern de usopersonal y por lo tanto el usuario de la cuenta ser responsable de su buen uso.

7.2.4.7 Podrn ser usuarios elegibles del Correo Electrnico Institucional, tambinpersonal de terceros que, por necesidad del servicio que preste al Instituto lo requiera para

llevar a cabo sus funciones, siempre y cuando medie solicitud por escrito dirigido al Titular


18/76


Pgina 18 de 36 Clave: 5000-001-001

de la Divisin de Soporte Tcnico y Seguridad Informtica -el cual por la misma va enteraral rea solicitante respecto a la factibilidad de la solicitud- y suscrita por el administrador delcontrato con el tercero o bien, por personal del Instituto que el administrador designe, loscuales en cualquier caso se harn responsables sobre el uso y contenido de cuentas decorreo y mensajes, utilizados y enviados o recibidos por el personal de terceros.Invariablemente el tercero deber de firmar que conoce el contenido y acepta ajustarse a loslineamientos y polticas vertidos en la presente norma.

7.2.4.8 El Correo Electrnico Institucional es una herramienta de apoyo que debe serutilizada nica y exclusivamente para envo y recepcin de informacin con la finalidad de

contribuir con las actividades y funciones institucionales que les fueron asignadas a losusuarios.

7.2.4.9 En relacin al manejo de usuarios y contraseas, el usuario del Correo ElectrnicoInstitucional deber sujetarse a lo estipulado en el numeral 7.2.3.1.

7.2.4.10 El sistema de Correo Electrnico Institucional es propiedad del Instituto y por tantoeste forma parte de sus sistemas de informacin, por lo que el nico dueo de las cuentas,contraseas, mensajes y contenidos del Correo Electrnico Institucional es el Instituto.

7.2.4.11 El nico responsable de la cuenta y contrasea asignadas as como del envo,

administracin de los mensajes y su contenido es el usuario.

7.2.4.12 Los mensajes transferidos y almacenados en los buzones del Correo ElectrnicoInstitucional, podrn ser sujetos de monitoreo, lectura o copiado. Lo anterior tendr comoobjeto la bsqueda de contenidos que infrinjan polticas internas del Instituto, exhibancontenidos que daen la imagen del Instituto, o por cualquier otra razn que implique un usodistinto a los sealados en los numerales 7.2.4.6 y 7.2.4.8.

7.2.4.13 Los administradores del correo electrnico deben implementar herramientas paraanalizar los mensajes de correo electrnico, con el fin de detectar y eliminar posibles virusinformticos, correo indeseable o contenidos maliciosos.

7.2.4.14 Los mensajes de correo electrnico podrn ser monitoreados por la Divisin deSoporte Tcnico y Seguridad Informtica, cuando as lo considere, en busca de virusinformticos u otros ejecutables que pudieran resultar ser una amenaza a la seguridad de lared. Los mensajes infectados no sern entregados al destinatario o stos sern modificadosen lo que a su contenido se refiere para que los mismos no representen una amenaza a lossistemas informticos.

7.2.4.15 De requerirse, la Coordinacin de Administracin de Infraestructura se reserva elderecho de verificar el uso de la cuenta de Correo Electrnico Institucional en la computadoraasignada al titular de dicha cuenta, pudindose elaborar un acta o constancia de hechos, la


19/76


Pgina 19 de 36 Clave: 5000-001-001

cual, de conformidad a su contenido, se proceder conforme a lo establecido en la presentenorma.

7.2.4.16 Los usuarios del Correo Electrnico Institucional debern apegarse a lasRecomendaciones para la Organizacin y Conservacin de Correos ElectrnicosInstitucionales de las Dependencias y Entidades de la Administracin Pblica Federalpublicado en el Diario Oficial de la Federacin del 10 de febrero de 2009.

7.2.5 Referente al uso del Correo Electrnico Insti tucional:

7.2.5.1 La transmisin y recepcin de mensajes a travs del Correo ElectrnicoInstitucional tendr un lmite de tamao de acuerdo a lo siguiente:

a. 10Mb - Para Titulares de rganos Normativos y hasta Jefes de Divisin.b. 10Mb - Para Titulares de rganos de Operacin Administrativa

Desconcentrada, Jefes de Servicio Delegacional, CoordinadoresDelegacionales de Informtica y hasta Subdelegados.

c. 6Mb - Los dems usuarios.

7.2.5.2 La cuenta del Correo Electrnico Institucional permite el uso de un buzn personalen los servidores centrales del Instituto, para que el usuario pueda almacenar temporalmente

informacin, la capacidad ser de acuerdo a lo siguiente:

a. 50Mb - Para Titulares de rganos Normativos y hasta Jefes de Divisin.b. 50Mb - Para Titulares de rganos de Operacin Administrativa

Desconcentrada, Jefes de Servicio Delegacional, CoordinadoresDelegacionales de Informtica y hasta Subdelegados.

b. 6 Mb - Para cualquier otro usuario.

7.2.5.3 La cantidad mxima de usuarios simultneos a los cuales se les puede enviarinformacin es:

a. 40- Para Titulares de rganos Normativos y hasta Jefes de Divisin.b. 40- Para Titulares de rganos de Operacin Administrativa Desconcentrada,Jefes de Servicio Delegacional, Coordinadores Delegacionales de Informtica yhasta Subdelegados.

c. 16- Para cualquier otro usuario.

7.2.5.4 Los archivos que sean enviados por correo electrnico y que por suscaractersticas, imgenes, datos, etc., sean de gran tamao, debern estar comprimidos a finde reducir el tiempo de envo y recepcin. A su vez los usuarios debern atender lassiguientes precauciones al enviar archivos adjuntos a travs del servicio de correoelectrnico :


20/76


Pgina 20 de 36 Clave: 5000-001-001

a. Evitar el envo de archivos que contengan las extensiones .exe, .bat, .vbs,.pif, .reg, .scr y .com

b. Evitar el envo de archivos que en su nombre contengan mas de un punto .

7.2.5.5 Toda la informacin generada y transmitida por los usuarios del Correo ElectrnicoInstitucional, deber ser profesional, corts y en cumplimiento de las polticas y leyesaplicables.

7.2.5.6 El usuario deber considerar las siguientes especificaciones al momento de enviarun mensaje de Correo Electrnico Institucional:

a. Utilizar el campo asunto a fin de resumir el tema general del mensaje.b. Expresar ideas completas e incluir los signos de puntuacin adecuados en el

texto del mensaje.c. Evitar el uso generalizado de letras maysculas o de color rojo.d. Evitar utilizar las opciones de confirmacin de entrega y lectura.e. Evitar enviar mensajes a personas desconocidas a menos que sea un asunto

oficial que los involucre.f. Antes de enviar el mensaje, revisar el texto que lo compone as como los

destinatarios.g. La firma debe ser breve e informativa, no debiendo ocupar ms de cuatro lneas

en la cual no es necesario incluir la direccin de Correo ElectrnicoInstitucional.h. Especificar en el cuerpo del mensaje la cuenta de correo electrnico personal.i. Evitar el uso de imgenes dentro del cuerpo del correo.

j. Asegurarse de la inclusin de la siguiente leyenda al pie del cuerpo delmensaje: La informacin de este correo as como la contenida en losdocumentos que se adjuntan, puede ser objeto de solicitudes de acceso a lainformacin.

7.2.5.7 Se consideran usos inadecuados del Correo Electrnico Institucional:

a. Enviar mensajes de gran tamao que no coadyuven a los objetivos del Instituto.b. El uso de palabras, imgenes o referencias que puedan ser vistas comodifamatorias, hostiles, ilegales, discriminatorias u ofensivas.

c. Generar o transmitir cualquier tipo de informacin con contenido, incluyendopero no limitado a obsceno, pornogrfico, hostil u ofensivo referente a razas,sexo, edad, preferencia sexual, religin, nacionalidad, impedimentos mentaleso fsicos, apologa del terrorismo, amenazas, estafas, esquemas deenriquecimiento piramidal, virus o cdigo malicioso en general.

d. Generar o transmitir informacin con fines electorales y que en generalinterfiera con el desarrollo normal de las votaciones de acuerdo con el ttulovigsimo cuarto del Cdigo Penal Federal en materia de Delitos Electorales y

en materia de Registro Nacional de Ciudadanos.


21/76


Pgina 21 de 36 Clave: 5000-001-001

e. Recibir (bajar), copiar o transmitir informacin (o sistemas de informacin)protegidos por derechos de autor en violacin de estos derechos, con elconocimiento y/o anuencia del usuario.

f. Recibir (bajar), copiar o transmitir videos, msica, grficos o ejecutables norelacionados con la actividad propia de las funciones del usuario o del Instituto.

g. El uso de dispositivos de codificacin (encriptacin) no autorizados por laDireccin de Innovacin y Desarrollo Tecnolgico.

h. La transmisin de mensajes a mltiples destinatarios (mensaje enviado por unusuario hacia varios usuarios ya sea de modo secuencial o simultneo) msall de los lmites especificados en la presente norma, sin la aprobacin

explicita de la Coordinacin de Administracin de Infraestructura y previoanlisis de factibilidad del requerimiento.i. Generar cualquier mensaje que por su estructura o contenido sea considerado

como SPAM (ver numeral 5.62).j. Participar en la propagacin de mensajes encadenados o participar en

esquemas piramidales o similares.k. Utilizar el Correo Electrnico Institucional para cualquier propsito comercial o

financiero de ndole personal o de un tercero.l. Generar mensajes de manera masiva con objeto de imposibilitar o dificultar el

servicio de un usuario, al propio sistema de Correo Electrnico Institucional obien cuentas o sistemas de correo electrnico externos ocuyo resultado sea lo

anteriormente descrito.m. La difusin de informacin considerada como reservada o confidencial, en lostrminos de la Ley Federal de Transparencia y Acceso a la Informacin PblicaGubernamental.

n. El uso de pseudnimos, envo de mensajes annimos o que consignen ttulos,cargos o funciones no oficiales.

o. Utilizar o apropiarse de otra u otras cuentas de correo institucional diferente a laasignada.

p. Utilizar el Correo Electrnico Institucional para recolectar o redireccionar losmensajes de correo de otras cuentas, usuarios o dominios.

q. Falsear, esconder, suprimir o suplantar la identidad de un usuario, hacer

declaraciones falsas o falsificar los encabezados de los mensajes.r. Interceptar, revelar o ayudar a terceros a interceptar o revelar los mensajes decorreo electrnico, archivos y en general la informacin contenida en el CorreoElectrnico Institucional.

s. Enviar mensajes en detrimento de la imagen del Instituto o de sus empleados.t. Cualquier otro uso que no apoye el desempeo de las funciones propias del

usuario dentro del Instituto.

7.2.5.8 Para la difusin de mensajes de correo electrnico a grupos de personas, existenlas listas de distribucin, en cuyo caso debe observarse lo siguiente:


22/76


Pgina 22 de 36 Clave: 5000-001-001

a. En ningn caso se podrn utilizar las listas de distribucin para el envo deinformacin ajena a las finalidades, funciones, actividades o atribuciones que elInstituto le ha conferido a los usuarios que utilicen dichas listas de distribucin.

b. No se deben de utilizar las listas de distribucin de forma indiscriminada.c. En los mensajes enviados a las listas de distribucin se debe evitar incluir

documentos de tamao elevado, ya que esto puede degradar el servicio deCorreo Electrnico Institucional y saturar las cuentas de los usuarios.

7.2.5.9 De ser requerido por los sistemas institucionales y autorizado previo anlisis, elenvo de correo masivo deber de llevarse a cabo a partir de las 20:00 hrs. y hasta las 6:00

hrs. del da siguiente, para lo cual el tamao del mensaje no deber superar los 200KB.

7.2.5.10 Los usuarios del correo electrnico, debern abstenerse de abrir y respondermensajes de remitentes desconocidos y en general de procedencia no reconocible.

7.2.5.11 El sistema de Correo Electrnico institucional est configurado para borrarautomticamente todos aquellos mensajes que tengan una antigedad mayor a 15 dasnaturales, si los usuarios desean conservar su informacin debern moverla a algunaCarpeta Personal (ver DEFINICIONES) en la computadora del usuario.

7.2.5.12 Ser responsabilidad nica y exclusiva del usuario, la informacin contenida en las

Carpetas Personales, as como su respaldo, por tal motivo deber realizar la descarga de losmismos a fin de evitar saturaciones en su buzn.

7.2.5.13 El Instituto lleva a cabo respaldos frecuentes del sistema de Correo ElectrnicoInstitucional nica y exclusivamente para asegurar la estabilidad del sistema y otros procesosinternos, no tiene la capacidad de recuperar mensajes borrados o perdidos.

7.2.5.14 El tiempo de retencin de un mensaje considerado SPAM variar de acuerdo a losservicios disponibles o bien a los recursos con que cuente el Instituto en ese momento.

7.2.5.15 Las cuentas de Correo Electrnico Institucional que no sean utilizadas por lo

menos una vez al mes, sern desactivadas y si en el transcurso del mes siguiente a ladesactivacin, no se realiza ningn reclamo por parte del usuario, la cuenta de correoelectrnico ser eliminada definitivamente incluyendo su contenido; en tales casos laCoordinacin de Administracin de Infraestructura no se hace responsable de la informacinni de eventuales repercusiones por dicha desactivacin y/o eliminacin.

7.2.5.16 Respecto a las solicitudes de alta de cuentas de Correo Electrnico Institucionalen las Delegaciones, stas debern ser solicitadas en el mbito Delegacional a laCoordinacin Delegacional de Informtica correspondiente, quien a su vez canalizar lasolicitud a la Divisin de Soporte Tcnico y Seguridad Informtica a travs del procedimientoestablecido para tal fin. Tendrn facultades para solicitar el alta de cuentas de Correo

Electrnico Institucional a nivel Delegacional: Jefes de Servicio Delegacionales,


23/76


Pgina 23 de 36 Clave: 5000-001-001

Subdelegados, Directores de Hospitales o Unidades de Medicina Familiar y DirectoresGenerales de las Unidades Mdicas de Alta Especialidad.

7.2.5.17 La Coordinacin Delegacional de Informtica podr designar personal a su cargopara solicitar a la Divisin de Soporte Tcnico y Seguridad Informtica, a travs delprocedimiento establecido para tal fin, el alta o bajas de cuentas de Correo ElectrnicoInstitucional, previa notificacin por escrito a la Divisin de Soporte Tcnico y SeguridadInformtica. La responsabilidad de las solicitudes ser de la Coordinacin Delegacional deInformtica.

7.2.5.18 En el caso de las solicitudes de alta de cuentas de Correo Electrnico Institucionalen Nivel Central, stas debern ser solicitadas a la Divisin de Soporte Tcnico y SeguridadInformtica a travs del procedimiento establecido para tal fin. Tendrn facultades parasolicitar el alta de cuentas de Correo Electrnico Institucional en Nivel Central: Jefes deDivisin y Mandos Superiores o bien quien estos designen, previa notificacin por escrito a laDivisin de Soporte Tcnico y Seguridad Informtica. La responsabilidad de las solicitudesser de los mandos especificados en el presente numeral incluso cuando sea a travs delpersonal designado por estos.

7.2.5.19 Es responsabilidad de los mandos mencionados en los numerales 7.2.5.16 y7.2.5.18 solicitar la baja de cuentas a la Coordinacin Delegacional de Informtica en los

Estados de la Repblica o a la Divisin de Soporte Tcnico y Seguridad Informtica paraNivel Central, segn se ubique el usuario titular de la cuenta de Correo ElectrnicoInstitucional. Los Titulares de los rganos administrativos a travs de sus Departamentos oreas Administrativas, debern notificar por escrito las bajas que quincenalmente se hayangenerado en sus reas, en un trmino no mayor a 10 das hbiles contados a partir delmovimiento del usuario, a la Divisin de Soporte Tcnico y Seguridad Informtica o a laCoordinacin Delegacional de Informtica, segn sea el caso.

7.2.5.20 Se negar o cancelar el servicio de Correo Electrnico Institucional en lossiguientes casos:

a. Cuando se compruebe el uso indebido del servicio.b. Por solicitud expresa de los mandos superiores mencionados en losnumerales 7.2.5.16 y 7.2.5.18, por resolucin derivada de Investigacin Laboralo por resolucin del rgano Interno de Control.

c. De acuerdo a lo estipulado en el numeral 7.2.5.15d. De acuerdo a lo estipulado en el numeral 7.2.5.19e. Por mandato de racionalidad o disciplina presupuestal.f. Al trmino de la relacin laboral.


24/76


Pgina 24 de 36 Clave: 5000-001-001

7.2.6 Uso de software, antivi rus y otras herramientas.

7.2.6.1 Los usuarios del Instituto debern utilizar nicamente software institucional, quehaya sido autorizado y asignado por el Instituto para el desarrollo de sus funciones.

7.2.6.2 Los usuarios del Instituto debern de abstenerse de: (a) utilizar el software, confines o efectos contrarios a la ley y a lo establecido por el Instituto; (b) copiar, modificar,reproducir, distribuir o utilizar el software de cualquier forma con o sin fines de lucro, a menosque se cuente con autorizacin expresa y por escrito.

7.2.6.3 Por ningn motivo los usuarios del Instituto debern instalar software deentretenimiento, juegos, software de acceso libre (freeware), software de acceso compartido(shareware), software de prueba y/o evaluacin condicionado a tiempo o ejecucin,protectores de pantalla, fondos, imgenes, sonidos y en general software de cualquier tipoque no sea parte de la configuracin inicial de los equipos de cmputo, o que no cuente conla autorizacin expresa para ello.

7.2.6.4 Cualquier software que sea instalado en un equipo propiedad del Instituto y que nocumpla con las polticas antes descritas, deber ser desinstalado.

7.2.6.5 Los usuarios deben verificar peridicamente que su equipo de cmputo tengainstalado la solucin de antivirus institucional, misma que debe estar habilitadapermanentemente, en caso contrario debe solicitarlo a la Divisin de Soporte Tcnico ySeguridad Informtica o bien a la Coordinacin Delegacional de Informtica correspondiente.

7.2.6.6 Los usuarios deben verificar que los archivos obtenidos de manera externa atravs de cualquier medio electrnico, as fuera de una fuente confiable, estn libres de virusinformticos antes de ser almacenados o procesados en sus equipos de cmputo.

7.2.6.7 Los usuarios debern informar al momento de detectar un archivo infectado porvirus informtico o cdigo malicioso al rea emisora, y reportar el incidente a la Mesa de

Servicio o al personal de soporte tcnico local en caso de no haber sido removido el virusinformtico por la herramienta de antivirus.

7.2.6.8 Los usuarios no debern abrir archivos que contengan doble extensin oextensiones poco convencionales, an cuando sean de fuentes confiables.

7.2.6.9 Los usuarios debern informar va telefnica a la Mesa de Servicio o al personalde soporte tcnico local, en caso de deteccin de archivos no convencionales o de fuentesdesconocidas para determinar si se trata de un virus informtico.

7.2.6.10 Los usuarios deben verificar que el equipo de cmputo que le fue asignado por el

Instituto, cuente con el software de Administracin y Prevencin de Riesgos, para lo cual


25/76


Pgina 25 de 36 Clave: 5000-001-001

deber solicitar el apoyo de la Divisin de Soporte Tcnico y Seguridad Informtica en NivelCentral o de la Coordinacin Delegacional de Informtica en los Estados de la Repblica, conel fin de determinar si se encuentra instalado o bien la viabilidad de su instalacin.

7.2.7 Uso del servic io de Internet

7.2.7.1 Los recursos disponibles a travs de la red del Instituto sern de uso exclusivopara asuntos relacionados con las actividades sustantivas al mbito laboral.

7.2.7.2 Los sistemas de comunicacin de acceso a Internet son propiedad del Instituto y

debern ser utilizados exclusivamente como una herramienta de trabajo para la consulta deasuntos relativos al Instituto.

7.2.7.3 Las operaciones realizadas a travs de Internet pueden generar responsabilidadpor parte de los rganos administrativos del Instituto, por lo que los usuarios que tenganacceso a Internet a travs de los servicios ofrecidos para ello, podrn ser sujetos encualquier momento de monitoreo y supervisin sin aviso previo por parte de la Divisin deSoporte Tcnico y Seguridad Informtica.

7.2.7.4 Los niveles de acceso al servicio de Internet sern definidos por la Divisin deSoporte Tcnico y Seguridad Informtica.

7.2.7.5 Los usuarios que por sus funciones requieran de un nivel de acceso distinto,debern solicitarlo de acuerdo a lo estipulado en los numerales 7.2.5.16, 7.2.5.18 y apegarseal numeral 7.2.5.19 para lo correspondiente al proceso de baja.

7.2.7.6 Se negar o cancelar el servicio de acceso a Internet al que se refiere el numeralanterior en los siguientes casos:

a. Cuando se compruebe el uso indebido del servicio.b. Por solicitud expresa de los mandos superiores mencionados en los

numerales 7.2.5.16 y 7.2.5.18, por resolucin derivada de Investigacin Laboral

o por resolucin del rgano Interno de Control.c. De acuerdo a lo estipulado en el numeral 7.2.5.19d. Por mandato de racionalidad o disciplina presupuestal.e. Al trmino de la relacin laboral.

7.2.7.7 Los usuarios no podrn hacer uso de accesos telefnicos (dial-up), enlaces ADSL uotros enlaces para acceder a Internet diferentes a los que la Coordinacin de Administracinde Infraestructura tiene contemplado para dicho propsito, ya que se compromete laseguridad de los bienes informticos.

7.2.7.8 Las conexiones a Internet distintas a las institucionales sern sujetas a

deshabilitacin por parte de la Coordinacin de Administracin de Infraestructura.


26/76


Pgina 26 de 36 Clave: 5000-001-001

7.2.7.9 El uso de conexiones remotas va Internet hacia el Instituto por parte de algnadministrador de sistemas, deber ser justificado y solicitado por escrito a la Divisin deSoporte Tcnico y Seguridad Informtica. Referirse al Apndice C Gua de Instalacin yconfiguracin del cliente VPN de Cisco. Cuando se trate de un proveedor, la solicitud deberoriginarse a travs de un rea del Instituto, la cual fungir como responsable del uso que sele d a la cuenta.

7.2.7.10 Los responsables de las cuentas de acceso remoto va Internet debern solicitarpor escrito la baja de este tipo de cuentas a la Divisin de Soporte Tcnico y Seguridad

Informtica.

7.2.7.11 Las cuentas de acceso remoto va Internet podrn ser sujetas de monitoreo ysupervisin por parte de la Divisin de Soporte Tcnico y Seguridad Informtica.

7.2.7.12 Las cuentas de acceso remoto va Internet debern ser renovadas por losresponsables de dichas cuentas, de lo contrario sern dadas de baja, de acuerdo a laperiodicidad que indique la Divisin de Soporte Tcnico y Seguridad Informtica.

7.3 De la administracin de infraestructura y servicios informticos

7.3.1 Plan de Recuperacin de Desastres

7.3.1.1 El Plan de Recuperacin de Desastres deber de estar alineado a la presentenorma. Cualquier accin que en el momento de la ejecucin del Plan de Recuperacin deDesastres, no est alineada o especificada en esta Norma, deber contar con la aprobacinde la Divisin de Soporte Tcnico y Seguridad Informtica.

7.3.1.2 El Instituto a travs de la Direccin de Innovacin y Desarrollo Tecnolgicoinstrumentar y aplicar un Plan de Recuperacin de Desastres en el mbito de sucompetencia alineado a las directrices que emanen de la Direccin General, el cual describa

los procedimientos y planes de accin a desarrollar, as como los responsables de lasmismas para la oportuna prevencin, disuasin y deteccin de amenazas y garantizar elrestablecimiento y restauracin de la operacin en caso de desastres.

7.3.1.3 Todas las Coordinaciones dependientes de la Direccin de Innovacin y DesarrolloTecnolgico deben aplicar el Plan de Recuperacin de Desastres, las actividades adesarrollar en caso de presentarse alguna eventualidad, adems de contar con una copia yapoyar en el desarrollo y mantenimiento del mismo.

7.3.1.4 El Plan de Recuperacin de Desastres definido debe estar actualizado y autorizadopor la Direccin de Innovacin y Desarrollo Tecnolgico y debe existir una copia fuera de las

instalaciones.


27/76


Pgina 27 de 36 Clave: 5000-001-001

7.3.1.5 El Plan de Recuperacin de Desastres debe ser probado y verificado bajo unambiente controlado de simulacin de desastres peridicamente por la Direccin deInnovacin y Desarrollo Tecnolgico, las diferencias determinadas, resultado de las pruebasdeben ser reflejadas en dicho plan.

7.3.1.6 Los cambios en la operacin y en la infraestructura tecnolgica institucional debenreflejarse en los procedimientos descritos en el Plan de Recuperacin de Desastres.

7.3.1.7 El personal involucrado en el Plan de Recuperacin de Desastres deber ser

entrenado adecuadamente con el fin de minimizar los riesgos generados por descuido odesconocimiento.

7.3.1.8 Las Coordinaciones de la Direccin de Innovacin y Desarrollo Tecnolgicodebern contemplar en el presupuesto anual los recursos necesarios para atender lasactividades asociadas con el Plan de Recuperacin de Desastres.

7.3.2 Respaldos

7.3.2.1 Los respaldos deben de ser efectuados en estricto apego a las normas, polticas yprocedimientos definidos por la Divisin de Operaciones Centros Nacionales de

Procesamiento de la Coordinacin de Administracin de Infraestructura.

7.3.2.2 Los respaldos deben garantizar la integridad de la informacin (programas, datos,documentos, etc.). En los sistemas que lo permitan se deber dejar registro electrnico delproceso realizado.

7.3.2.3 La Divisin de Operaciones Centros Nacionales de Procesamiento debe mantenerlos controles necesarios para conocer el estado de cada copia de respaldo y su ubicacin.

7.3.2.4 La Divisin de Operaciones Centros Nacionales de Procesamiento debe implantarprocedimientos para preparar, almacenar y probar peridicamente la integridad de las copias

de seguridad y de toda la informacin necesaria para restaurar el sistema a una operacinnormal.

7.3.2.5 La Divisin de Operaciones Centros de Nacionales de Procesamiento debemantener una copia de los sistemas (aplicativo, parmetros de configuracin, versiones desoftware, etc.) anterior a la versin actual.

7.3.2.6 Los depositarios deben solicitar a la Divisin de Operaciones Centros Nacionalesde Procesamiento de Informacin un respaldo total del sistema, antes de efectuar cualquieractualizacin del mismo.


28/76


Pgina 28 de 36 Clave: 5000-001-001

7.3.2.7 La Divisin de Operaciones Centros Nacionales de Procesamiento de Informacindebe identificar los medios de almacenamiento de los respaldos indicando, nmero de seriedel respaldo, sistema al que corresponde, fecha, hora, tipo de respaldo y responsable de laejecucin del respaldo.

7.3.2.8 La Divisin de Operaciones Centros Nacionales de Procesamiento de Informacindebe generar las copias de los respaldos necesarios y almacenarlos en inmuebles diferentes,a fin de garantizar la recuperacin de la operacin en caso de contingencia.

7.3.2.9 La Divisin de Operaciones Centros Nacionales de Procesamiento de Informacin

debe registrar en una bitcora las recuperaciones realizadas, indicando al menos, nmero desolicitud de la restauracin, dueo de la informacin, nombre del sistema, seccin solicitada,nmero de serie del respaldo utilizado.

7.3.2.10 Los depositarios deben solicitar a la Divisin de Operaciones Centros Nacionalesde Procesamiento de Informacin las polticas de respaldo tomando en cuenta, el tipo deinformacin y las necesidades de operacin, de acuerdo al procedimiento establecido.

7.3.2.11 Los depositarios deben determinar e informar a la Divisin de OperacionesCentros Nacionales de Procesamiento de Informacin el calendario de respaldos que debeser tomado en cuenta de acuerdo al procedimiento establecido.

7.3.2.12 Las solicitudes de restauracin deben ser por escrito o por medios electrnicos ycontener al menos: autorizacin del dueo de la informacin o en su defecto el depositario desta, nombre del sistema del cual se desea recuperar la informacin, ruta de recuperacin yseccin que desea recuperar.

7.3.2.13 Las reas depositarias en conjunto con los responsables de la informacin debendeterminar la permanencia y la vigencia de la informacin respaldada de acuerdo a lasnecesidades legales, contractuales y operacionales del Instituto.

7.3.2.14 Las reas depositarias en conjunto con las responsables de la informacin deben

definir el procedimiento de eliminacin de respaldos, especfico por sistema o por tipo deinformacin de acuerdo a las necesidades legales, contractuales y operacionales delInstituto.

7.3.2.15 Las Coordinaciones Delegacionales de Informtica debern considerar laspolticas definidas en la presente seccin en su mbito de competencia.

7.3.3 Seguridad fsica

7.3.3.1 Los administradores de la infraestructura informtica del Instituto deben restringir ycontrolar el acceso a los componentes de cada uno de los elementos de la infraestructura


29/76


Pgina 29 de 36 Clave: 5000-001-001

informtica del Instituto de conformidad a la normatividad en materia de Administracin deBienes Muebles.

7.3.3.2 Los administradores de la infraestructura informtica del Instituto deben protegerlos respaldos y datos institucionales del acceso de personal no autorizado para tal fin.

7.3.3.3 Los administradores de la infraestructura informtica del Instituto deben llevar unregistro del personal que accede a las reas restringidas incluyendo el motivo de la visita.

7.3.3.4 Los administradores de la infraestructura informtica del Instituto deben mantener

actualizadas las listas de autorizacin de acceso a personal contratado de proveedores deservicio de terceros.

7.3.3.5 Los administradores de la infraestructura informtica del Instituto debenimplementar y dar el seguimiento pertinente al programa de mantenimiento a infraestructurainformtica.

7.3.3.6 Los administradores de la infraestructura informtica del Instituto deben instalar lainfraestructura informtica en ambientes adecuados para su operacin, administracin,monitoreo y control de acceso, para minimizar las amenazas a las que se encuentrenexpuestos.

7.3.3.7 Los administradores de la infraestructura informtica del Instituto deben evaluar yaprobar las instalaciones elctricas, comunicaciones, sistemas contra incendios y de aireacondicionado y dems recursos, que garanticen las condiciones adecuadas para laoperacin ptima de la infraestructura tecnolgica del Instituto.

7.3.4 Administracin de la infraestructura informtica

7.3.4.1 El personal de soporte tcnico local debe asegurar que todo el equipo de cmputoporttil y de escritorio o de propsito especfico que se encuentren conectados a la redinstitucional, en el mbito de su competencia cumplan con los siguientes requisitos:

a. Cuenta con un nombre de equipo que identifique de manera rpida alresponsable del equipo y su ubicacin, de acuerdo a la nomenclaturaestablecida por la Divisin de Soporte Tcnico y Seguridad Informtica.

b. Est asignado al dominio correspondiente (metro, sur, norte, occidente o centro)o a la jerarquizacin de red que se haya definido.

c. Cuenta con el software de antivirus y su respectivo agente de actualizacinautomtica.

d. Cuenta con los ltimos parches de seguridad del sistema operativo liberado porel proveedor.

e. Con respecto al equipo de cmputo porttil y de escritorio, la cuenta de usuario

asignada no posea atributos de administrador local del equipo.


30/76


Pgina 30 de 36 Clave: 5000-001-001

f. De ser aplicable, contar con el software de Administracin y Prevencin deRiesgos.

7.3.4.2 Los administradores de infraestructura informtica deben limitar el acceso a lossistemas operativos, sistemas institucionales y/o bases de datos, mediante la identificacindel usuario, a travs de su cuenta y contrasea, as como, la asignacin de un perfil y un rolcon nivel de acceso especfico.

7.3.4.3 Los administradores de infraestructura informtica deben prohibir la utilizacin dedatos reales, confidenciales o reservados extrados de bases de datos, por lo que se les

deber dar algn tratamiento para ocultar el dato original para realizar pruebas en lossistemas de desarrollo, de tal manera que no se ponga en riesgo la confidencialidad del dato.

7.3.4.4 El registro de usuarios y la administracin de la seguridad de los sistemas deinformacin que son accedidos en forma local y/o a travs de la red de comunicaciones,deber realizarse por los responsables de la seguridad de cada sistema o plataforma.

7.3.4.5 El registro de las cuentas de usuario para autenticar el acceso a equipos decmputo y sistemas institucionales, de las diferentes plataformas de cmputo instaladas,debe ser solicitado con apego a los procedimientos que se establezcan para ello.

7.3.4.6 Las cuentas con privilegios especiales sobre el sistema (por ejemplo: root en Unix,Administrador en Windows XP y Vista) sern de uso restringido, slo para casos deemergencia y para actividades relacionadas con el soporte tcnico y la seguridad informtica(administracin de normas de seguridad, definicin de relaciones de confianza,administracin de registros de auditora y de seguridad, administracin de cuentas y gruposde usuarios, actualizacin del sistema operativo).

7.3.4.7 Los administradores de infraestructura informtica deben personalizar las cuentaspara las actividades de administracin de servidores, bases de datos, servicios o sistemasinstitucionales, as como las cuentas con atributos para realizar el monitoreo de lasactividades realizadas por cada usuario.

7.3.4.8 El personal institucional que tenga atributos de administrador de contratos, debedefinir y vigilar el acceso que un proveedor o contratista podr tener a la informacin,limitando el alcance a informacin confidencial o reservada a no ser que sea autorizadoexplcitamente por el responsable de la misma, en este caso el proveedor o contratistadeber firmar un acuerdo de confidencialidad.

7.3.4.9 Los administradores de infraestructura informtica deben registrar los procesosejecutados en el da y el estatus de terminacin de los mismos, tambin deben registrardiariamente los eventos como fallas o inhabilitacin de cada servicio y las causas del evento.


31/76


Pgina 31 de 36 Clave: 5000-001-001

7.3.4.10 Los administradores de infraestructura informtica deben asegurarse que en lasbitcoras de auditora queden registrados los eventos realizados por las cuentas incluyendoaquellas con permisos especiales (administrator, guest, root, system, etc.).

7.3.4.11 La bitcora de auditora slo podr ser accedida por la cuenta de administracin ypor las cuentas que se hayan creado para efectuar revisiones, las cuales podrn ser llevadasa cabo por la Divisin de Soporte Tcnico y Seguridad Informtica o por quien sta designe.

7.3.4.12 En referencia a las bases de datos, los responsables de su administracindebern considerar implementar esquemas en donde los datos viajen y se almacenen

encriptados.

7.3.4.13 Se deber considerar la segregacin de roles de tal manera que losadministradores de base de datos slo tengan acceso a las estructuras de las bases dedatos a las que tengan autorizacin y los usuarios autorizados slo a los datos.

7.3.4.14 Se deber considerar el incluir mecanismos de seguridad en las bases de datosque coadyuven a identificar a los usuarios que modifiquen datos y que afecten a alguno delos atributos de la seguridad de la informacin.

7.3.4.15 Se otorgarn accesos a las bases de datos slo al personal autorizado para ello y

que se encuentre adscrito en la Direccin de Innovacin y Desarrollo Tecnolgico.

7.3.4.16 Los closets de comunicaciones o de red debern estar ubicados en lugarescerrados y resguardados dentro de los edificios institucionales.

7.3.4.17 El acceso a los closets de comunicaciones o de red ser restringido por laseguridad propia de cada edificio institucional y el acceso a estos nicamente serautorizado al personal que la Direccin de Innovacin y Desarrollo Tecnolgico, a travs desus Coordinaciones, haya designado para ello y en caso que personal externo de unproveedor de servicios requiera acceso a stos, deber presentar una identificacin oficial dela empresa al momento de realizar el trabajo, previamente autorizado por personal del

Instituto encargado de la funcin.

7.3.4.18 Los administradores de los equipos de comunicaciones, deben realizar revisionesperidicas de las bitcoras de los sistemas de comunicacin para verificar si se hanpresentado eventos que supongan un intento de ataque o de explotacin de vulnerabilidadesy de ser as debern notificarlo a la Divisin de Soporte Tcnico y Seguridad Informtica.

7.3.4.19 Los administradores de los equipos de comunicaciones, deben implantarindicadores en los sistemas de control y monitoreo, que les notifiquen cualquier desviacinen los parmetros de operacin relevantes que pudiera ser originada por intentos de ataqueo explotacin de vulnerabilidades, a fin de llevar a cabo acciones proactivas tendientes a

atender o solucionar la causa raz que dio lugar a los eventos. De existir elementos que


32/76


Pgina 32 de 36 Clave: 5000-001-001

indiquen lo arriba mencionado, deber notificarlo a la Divisin de Soporte Tcnico ySeguridad Informtica.

7.3.4.20 Los administradores de los equipos de comunicaciones debern contemplar elcontar con esquemas de redundancia en los enlaces de mayor demanda o criticidad para laoperacin del Instituto, de acuerdo con los recursos destinados para tal fin.

7.3.4.21 Los bienes informticos de acuerdo con su nivel de criticidad, exposicin yoperacin, debern estar protegidos por equipo especializado que minimice los riesgos en laseguridad de la informacin de acuerdo con los recursos disponibles.

7.3.4.22 La configuracin de los equipos de seguridad, cuando se justifique, deberncontemplar esquemas de alta disponibilidad.

7.3.4.23 Los enlaces de comunicacin externos debern estar protegidos por equipoespecializado que minimice los riesgos en la seguridad de la informacin.

7.3.4.24 Los administradores de la infraestructura informtica que se encuentren en lazona de produccin realizarn las actividades propias de la administracin de los mismos ensitio, en caso de hacerlo de manera remota, debern de realizar esta actividad a travs desoftware de cifrado de canal.

7.3.5 Administracin de cuentas de usuario y contraseas

7.3.5.1 La asignacin de cuentas de usuario para cualquiera de los servicios y/o sistemasque operan dentro del Instituto, deber identificar a un solo usuario que fungir comoresponsable de sta, siendo de uso exclusivo del titular de la cuenta e intransferible a otrousuario, por lo que las cuentas debern ser personalizadas y nicas.

7.3.5.2 Los administradores deben establecer el perfil y el rol con el nivel de accesoespecfico de acuerdo a las polticas de la aplicacin o sistema al que el usuario requieraacceder.

7.3.5.3 Los administradores, en el caso que el aplicativo o software del sistema lo permita,deber limitar el nmero de intentos infructuosos consecutivos que el usuario ingrese paraintentar validar su contrasea.

7.3.5.4 Los administradores, de acuerdo con los recursos disponibles, debern restringirel nmero de sesiones por usuario para asegurar los atributos de confidencialidad,integridad, disponibilidad y no repudiacin de la informacin.

7.3.5.5 Los administradores deben habilitar el registro o bitcora de eventos, relacionadocon los accesos a los sistemas y las actividades realizadas por los usuarios.


33/76


Pgina 33 de 36 Clave: 5000-001-001

7.3.5.6 Los administradores deben bloquear cualquier cuenta de usuario la cual no sehaya firmado en el sistema o la red despus de 30 das naturales.

7.3.5.7 Los administradores deben eliminar cualquier cuenta de usuario que no se utilicepor un perodo de 60 das naturales, si no hay causa justificada.

7.3.5.8 Los administradores deben eliminar cualquier cuenta de usuario del cual le seanotificado el cambio de situacin laboral o baja definitiva del Instituto.

7.3.5.9 Los administradores deben forzar el cambio de la contrasea de la cuenta de

usuario en un periodo mximo de 60 das naturales, la cual debe ser distinta, por lo menos, alas ltimas 5 usadas.

7.3.5.10 Las contraseas no deben ser mostradas en pantalla mientras son tecleadas.

7.3.5.11 Las contraseas deben de tener una longitud mnima de 8 caracteres y estarconstituidas por letras y nmeros. Los administradores debern de abstenerse en generarcontraseas con:

a. Informacin personal (nombres propios, apellidos, fecha de nacimiento oconmemorativas, nombre de mascotas, etc.)

b. Secuencias bsicas de teclado o de numeracin (asdf o 1234)c. Caracteres repetidos en la misma contrasea (111222)d. Palabras que se encuentre en el diccionario.e. Caracteres especiales

7.3.5.12 Los administradores del correo electrnico deben facilitar a los usuarios el cambiode contrasea cuando stos lo requieran.

7.3.6 Deteccin de intrusos y vulnerabilidades

7.3.6.1 La Divisin de Soporte Tcnico y Seguridad Informtica debe revisar diariamente

la existencia de actualizaciones de los sistemas operativos y aparicin de nuevos virusinformticos, con la finalidad de minimizar los riesgos de seguridad.

7.3.6.2 La Divisin de Soporte Tcnico y Seguridad Informtica al conocer unaactualizacin a las que se refiere el numeral anterior, notificar a travs del servicio deCorreo Electrnico Institucional, a la Divisin de Administracin de Bases de Datos, Divisinde Interoperabilidad, Divisin de Operaciones Centros Nacionales de Procesamiento y laDivisin de Coordinaciones Delegacionales de Informtica, as como a cada CoordinadorDelegacional de Informtica en los Estados de la Repblica, para que evale y en su casoaplique dicha actualizacin.


34/76


Pgina 34 de 36 Clave: 5000-001-001

7.3.6.3 La Divisin de Soporte Tcnico y Seguridad Informtica al detectar la existencia deun nuevo virus informtico, notificar a travs del servicio de Correo Electrnico Institucional,a la Mesa de Servicio y la Divisin de Coordinaciones Delegacionales de Informtica ascomo a cada Coordinador Delegacional de Informtica en los Estados de la Repblica, con lafinalidad de que se informe a los usuarios y stos se encuentren en posibilidades dereconocer el virus informtico y as sea minimizado el riesgo de propagacin.

7.3.6.4 La Divisin de Soporte Tcnico y Seguridad Informtica en conjunto con lasDivisiones de Administracin de Bases de Datos, Gestin del Conocimiento, deTelecomunicaciones, Divisin de Interoperabilidad y la Divisin de Coordinaciones

Delegacionales de Informtica, definirn las acciones que mitiguen los intentos de intrusin ala infraestructura tecnolgica del Instituto.

7.3.6.5 La Divisin de Soporte Tcnico y Seguridad Informtica podr supervisar omonitorear todo aquel bien informtico del cual exista indicio de actividad sospechosa y en sucaso, denegar el acceso a la red de dicho bien, extraer informacin del mismo para anlisisforense con el fin de mitigar el riesgo que pudiera ocasionar dicha actividad.

7.4 Para el desarrol lo y liberacin de sistemas

7.4.1 Funcionalidad

7.4.1.1 Las Divisiones y Coordinaciones de la Direccin de Innovacin y DesarrolloTecnolgico encargadas de desarrollar sistemas de informacin, deben apegarse a lasnormas, guas tcnicas y procedimientos generados por la Divisin de Interoperabilidad.

7.4.1.2 Las Divisiones y Coordinaciones encargadas de desarrollar sistemas deinformacin, deben definir la arquitectura de seguridad de acuerdo a las normas, guastcnicas y procedimientos generados por la Divisin de Soporte Tcnico y SeguridadInformtica.

7.4.1.3 Las Divisiones y Coordinaciones encargadas de desarrollar sistemas deinformacin debern coordinarse con La Divisin de Soporte Tcnico y SeguridadInformtica, de Administracin de Bases de Datos, de Telecomunicaciones, de OperacionesCentros Nacionales de Procesamiento e Interoperabilidad para determinar los mecanismos ycontroles de autenticacin, autorizacin, confidencialidad, integridad, no repudio ydisponibilidad de dichos sistemas.

7.4.2 Ambientes de trabajo

7.4.2.1 El ambiente de desarrollo debe observar las siguientes condiciones:

a. Debe ser de uso exclusivo de analistas y/o programadores.


35/76


Pgina 35 de 36 Clave: 5000-001-001

b. Debe contener un directorio de software base utilizado por el rea de desarrollopara sus trabajos.

c. Debe contener un directorio de desarrollo y pruebas donde residan los sistemasque estn siendo desarrollados.

d. Debe contener un directorio de control para la correcta publicacin otransferencia a los ambientes de produccin, programas ejecutables que hansido desarrollados o modificados y la transferencia del cdigo fuente de losprogramas al repositorio de software institucional.

e. Debe contener un directorio de archivos fuente donde se alojarn todos losprogramas fuente de la organizacin, que se encuentren en produccin, mismo

que debe tener un esquema robusto de control de acceso, ya que forma partedel activo informtico del Instituto.

7.4.2.2 El ambiente de produccin debe observar las siguientes condiciones:

a. Deben residir los directorios que contengan archivos de datos, bases de datos,programas ejecutables o compilados, distribuidos por sistemas o aplicacionesen produccin.

b. Debe contener un directorio de Objetos Ejecutables el cual contendr todoslos objetos ejecutables, que corresponden con programas fuentes debidamenteautorizados y de acuerdo con las normas sobre desarrollo de aplicaciones.

7.4.3 Liberacin de sis temas

7.4.3.1 La Divisin de Soporte Tcnico y Seguridad Informtica, de Administracin deBases de Datos, de Telecomunicaciones, de Operaciones Centros Nacionales deProcesamiento e Interoperabilidad, deben evaluar y aprobar la arquitectura de seguridaddefinida as como los mecanismos de seguridad implementados en el sistema o servicio a finde validar que la informacin es protegida de acuerdo a los alcances establecidos.

7.4.3.2 Cualquier requerimiento de cambio en la funcionalidad o componentes del sistemainformtico generar una nueva evaluacin y aprobacin de los mecanismos de seguridad

implementados.

7.4.3.3 Las Divisiones encargadas del proceso de liberacin de sistemas informticosdeben supervisar la separacin de funciones entre los responsables de la implementacin yel rea de desarrollo.


36/76


Pgina 36 de 36 Clave: 5000-001-001

Transitorios

PRIMERO. La presente norma entrar en vigor a partir de la fecha en que sea registradapor la Unidad de Organizacin y Calidad en el catlogo normativo institucional.

SEGUNDO. Con el presente ordenamiento, se deja sin efecto la Norma 5000-001-001, lacual fue validada y registrada el 30 de noviembre de 2006.


37/76


Pgina 1 de 8 Clave: 5000-001-001

APNDICE A Cmo habilitar el protector de pantalla de los equipos de cmputo


38/76

NOR

manual informatica

Documents