políticas corporativas de seguridad informática · pdf filepolíticas...

Políticas Corporativas de Seguridad Informática

Programa de Seguridad de la Información

ATEB—INFO—SEC

Ver 5.1



Plan Estratégico de Negocios de ATEB 2015-2020

Elaboro: ATEB Elaboración inicial: 10/Nov./2010 Actualización: 30/Jun./2017

Versión: Ver. 5.1 Documento clasificado como de “USO INTERNO” Página: 2 de 89

CONTENIDO

Contenido ................................................................................................................................................. 2

1. Información inicial .................................................................................................................................. 7

1.1 Información del proyecto ................................................................................................................. 7

1.2 Registro de Cambios................................................................................................................... ......7

1.3 Autorización y Revisión del Documento....................................................................................... 11

1.4 Clasificación de la información del Documento .......................................................................... 11

2. Declaración de intención de las políticas de seguridad informática .............................................. 12

3. Definiciones generales ......................................................................................................................... 13

Introducción a las políticas .................................................................................................................. 13

1. Que son las políticas de seguridad informática ............................................................................... 13

2. Tipos de políticas ............................................................................................................................. 13

3. Políticas generales de seguridad informática .................................................................................. 13

4. Entorno de las políticas de seguridad informática ........................................................................... 14

5. Estructura de las políticas de seguridad informática ....................................................................... 15

6. Relación de las políticas definidas................................................................................................... 15

7. Como se definieron las políticas de seguridad de la información ................................................... 17

Objetivo de la definición de las políticas de la seguridad de la información ................................. 18

Definiciones ........................................................................................................................................... 18

Responsable de las políticas ............................................................................................................... 20

Audiencia................................................................................................................................................ 20

Alcances ................................................................................................................................................. 20

Versión de las políticas ......................................................................................................................... 20

Vigencia de las políticas ....................................................................................................................... 20

Fecha de revisión de las políticas ....................................................................................................... 21

Publicación ............................................................................................................................................ 21

Cumplimiento de las políticas .............................................................................................................. 21

Desviaciones .......................................................................................................................................... 22

Sanciones ............................................................................................................................................... 22

4. Políticas generales de seguridad de la información para el negocio ............................................. 23

Antecedentes ....................................................................................................................................... 23

1. Política del compromiso de la organización con la protección de la información ........................... 23

Estándares ........................................................................................................................................... 23

2. Política de la seguridad de la información ....................................................................................... 24

Estándares ........................................................................................................................................... 24






3. Política sobre los responsables de la seguridad informática........................................................... 25

Estándares ........................................................................................................................................... 25

4. Política de Gobernabilidad ............................................................................................................... 26

5. Políticas específicas de seguridad de la información ...................................................................... 27

I. Administración de la seguridad ........................................................................................................ 27

1. Política de confidencialidad de la información ................................................................................. 27

Estándares ........................................................................................................................................... 27

2. Política de integridad de la información ........................................................................................... 28

Estándares ........................................................................................................................................... 29

3. Política de disponibilidad de la información ..................................................................................... 29

Estándares ........................................................................................................................................... 29

4. Política de No-Repudio de la información……………………………………………………………….30

Estándares ……………………………………………………………………………………………………..30

5. Política de consistencia de la información ....................................................................................... 31

6. Política para la clasificación de la información ................................................................................ 31

Estándares para clasificar la información ............................................................................................ 32

Estándares para la clasificación PÚBLICA de la información .......................................................... 32

Estándares para la de clasificación USO INTERNO de la información ............................................ 32

Estándares para la de clasificación PRIVADA de la información ..................................................... 32

Estándares para la clasificación CONFIDENCIAL de la información ............................................... 33

Estándares de procedimiento de clasificación .................................................................................... 34

7. Política de administración de riesgos de la información.................................................................. 37

Estándares ........................................................................................................................................... 37

8. Política de auditorías y revisiones de cumplimiento ........................................................................ 39

Estándares ........................................................................................................................................... 39

9. Política de líneas base de seguridad ............................................................................................... 40

Estándares ........................................................................................................................................... 40

10. Política para la definición de una línea estratégica mínima de seguridad informática .................. 40

Estándares ........................................................................................................................................... 40

11. Política de propiedad de los activos informáticos .......................................................................... 41

Estándares ........................................................................................................................................... 42

II. Control de accesos ........................................................................................................................... 43

Antecedentes ....................................................................................................................................... 43

1. Política de dueños de la información ............................................................................................... 44

2. Política de controles de acceso ....................................................................................................... 45






Estándares ........................................................................................................................................... 46

3. Política de autorizaciones ................................................................................................................ 46

Estándares de autorización ................................................................................................................. 47

4. Política de identificación y autentificación de usuarios.................................................................... 47

Estándares de identificación ................................................................................................................ 48

Estándares de autenticación ............................................................................................................... 49

Estándares de operación de las cuentas de usuario ........................................................................... 51

III. Seguridad Física ............................................................................................................................... 53

Antecedentes ....................................................................................................................................... 53

1. Política para el uso y contratación de centros de cómputo ............................................................. 53

Estándares ........................................................................................................................................... 53

2. Política de seguridad física en las oficinas ...................................................................................... 54

Estándares ........................................................................................................................................... 54

IV. Seguridad en Equipos, Redes y Comunicaciones ....................................................................... 55

Antecedentes ....................................................................................................................................... 55

1. Política para la definición de una línea mínima de seguridad informática ...................................... 55

Estándares ........................................................................................................................................... 55

V. Seguridad en las aplicaciones y en las transacciones ................................................................. 57

Antecedentes ....................................................................................................................................... 57

1. Política de línea base de seguridad para las aplicaciones .............................................................. 57

Estándares ........................................................................................................................................... 57

2. Política de control de acceso a las aplicaciones ............................................................................. 58

Estándares ........................................................................................................................................... 58

3. Política de operación de las aplicaciones ........................................................................................ 59

Estándares ........................................................................................................................................... 59

De configuración de las aplicaciones .................................................................................................. 59

De control de cambios de las aplicaciones ......................................................................................... 59

Del manejo de bitácoras en las aplicaciones ...................................................................................... 59

De la documentación de las aplicaciones............................................................................................ 60

De los ambientes de operación de las aplicaciones ............................................................................ 60

De seguridad para el desarrollo de aplicaciones ................................................................................. 60

De seguridad en las bases de datos ................................................................................................... 61

De seguridad en el almacenamiento de los datos ............................................................................... 61

VI. Criptografía y encriptación ............................................................................................................. 62

1. Política de criptografía ..................................................................................................................... 62

Estándares ........................................................................................................................................... 62






2. Política de encriptación .................................................................................................................... 63

Estándares ........................................................................................................................................... 63

VII: En las operaciones de la organización ......................................................................................... 64

Antecedentes ....................................................................................................................................... 64

1. Política de personal ......................................................................................................................... 64

Estándares ........................................................................................................................................... 65

2. Política de concientización de la seguridad informática .................................................................. 65

Estándares ........................................................................................................................................... 66

3. Política de responsabilidad en el manejo de la seguridad de la información .................................. 67

Estándares ........................................................................................................................................... 67

4. Política de cumplimiento .................................................................................................................. 67

Antecedentes ....................................................................................................................................... 67

1. Política de compromiso de cumplimiento ........................................................................................ 67

2. Política de debido cuidado (Due care) ............................................................................................ 67

3. Política de diligencia debida (Due diligence) ................................................................................... 68

4. Política de ética en ATEB ................................................................................................................ 68

Estándares ........................................................................................................................................... 68

5. Política de protecciones de datos e información ............................................................................. 69

Estándares ........................................................................................................................................... 69

6. Política de protección contra software malicioso ............................................................................. 71

Estándares ........................................................................................................................................... 71

7. Política de escritorio limpio .............................................................................................................. 71

Estándares ........................................................................................................................................... 71

8. Política de equipo desatendido ........................................................................................................ 72

Estándares ........................................................................................................................................... 72

9. Política de uso permitido de los activos de la organización ........................................................... 73

Estándares ........................................................................................................................................... 74

10. Política de uso inaceptable de los recursos informáticos .............................................................. 74

Estándares ........................................................................................................................................... 74

Para las actividades de los sistemas informáticos .............................................................................. 74

Para las actividades de correo electrónico y de comunicaciones ....................................................... 75

11. Política para la gestión de incidentes de seguridad ...................................................................... 76

Estándares ........................................................................................................................................... 77

12. Política de acuerdos de confidencialidad ...................................................................................... 78

Estándares ........................................................................................................................................... 78

13. Política de contacto con las autoridades ....................................................................................... 78






Estándares ........................................................................................................................................... 78

14. Política para la adquisición, desarrollo y mantenimiento de sistemas de información ................. 78

Estándares ........................................................................................................................................... 79

15. Política de relación con proveedores............................................................................................. 80

Estándares ........................................................................................................................................... 80

16. Política de gestión de los activos de información .......................................................................... 81

Estándares ........................................................................................................................................... 82

17. Política de atención a desviaciones y exclusiones ........................................................................ 82

Estándares ........................................................................................................................................... 82

18. Política para la correcta validación de los datos que ingresan y que se proporcionan de salida en

los aplicativos ....................................................................................................................................... 83

Estándares ........................................................................................................................................... 84

19. Política de uso de dispositivos móviles ......................................................................................... 86

Estándares ........................................................................................................................................... 87

20. Política de teletrabajo .................................................................................................................... 87

Estándares ........................................................................................................................................... 87

21. Política para visitantes ................................................................................................................... 88

Estándares ........................................................................................................................................... 88

VIII. Continuidad del negocio ............................................................................................................... 89

Antecedentes ....................................................................................................................................... 89

1. Política de continuidad del negocio ................................................................................................. 89






1. Información inicial

1.1 INFORMACIÓN DEL PROYECTO

1.2 REGISTRO DE CAMBIOS

FECHA AUTOR VER. REFERENCIA DEL CAMBIO ESTATUS DEL

DOCUMENTO

25/Nov./2010

María E. Ramírez

1

Documento inicial

Primera versión para revisión de la

administración y del área legal.

Aprobado

29/Nov./2010 María E. Ramírez 1.1 Política de control de accesos modificada Aprobado

26/Feb./2012

María E. Ramírez

1.2 Política de disponibilidad de la

información actualizada

Política de respaldos y protecciones de datos actualizada

Aprobado

28/Feb./2013

María E. Ramírez

1.3

Política de Baseline.

Se integraron los requerimientos mínimos de seguridad de la información (Baselines)

Aprobado

15/Ago./2014

María E. Ramírez

2.0

Se adecuó las políticas 7.3 de respaldos

En las políticas de continuidad y protección de datos además de:

Timbrado

Cliente gratuito Contabilidad electrónica

Balanza de comprobación Catálogo de cuentas Pólizas

Aprobado

Información del proyecto

Denominación formal del Proyecto: ATEB — Info — Sec

Descripción: Programa de Seguridad Informático en ATEB

Organización: ATEB Servicios, S.A. de C.V. (ATEB)

Fecha de elaboración del documento inicial: 10/Nov./2010

Fecha de adecuación del documento actual: 02/Ene./2017

Administrador: Information Security Officer (ISO)

Patrocinador: Director General

Destinatario / usuario:

Interno.- Todo el personal y colaboradores para brindar los servicios de PCCFDI’s y de timbrado

(antes PCCFDI’s), Proveedores de Servicio de Recepción de Documentos Digitales (PCRDD), así

como Intercambio Electrónico de Datos (EDI)

Externo.- Aliados de Negocio, Personal Externo (Proveedores), SAT y Secretaría de Economía






Se actualizó la política de revisiones por auditoría para cumplir con los nuevos requerimientos del SAT

“Permitir y facilitar la realización de actos de

verificación y de supervisión por parte del

Servicio de Administración Tributaria y de

los terceros que para tales efectos

habilite la autoridad fiscal, de manera

física o remota, respecto de tecnologías de

la información, confidencialidad, integridad,

disponibilidad, consistencia y seguridad de

la información y/o cualquier otra de las

obligaciones relacionadas con la

autorización.

Los actos de verificación y de supervisión a

que se refiere la regla I.2.7.2.10. de la RMF

para 2014, podrán entenderse o

realizarse con cualquier persona que se

encuentre a cargo de la operación

relacionada con la certificación de CFDI

a que se refiere la autorización”

02/Ene./2015

María E. Ramírez

Héctor J. Pérez M.

3.0

Se reestructuró el documento

Se rediseñaron las políticas de: Clasificación de la información Criptografía y encriptación Divulgación, capacitación y

entrenamiento de la seguridad de la información

Cumplimiento regulatorio. Due care & Due diligence

Control de acceso a las aplicaciones

Los estándares de seguridad en el almacenamiento de los datos

Aprobado

27/Abr./2015


3.3 Se adecuaron los tiempos de vigencia

de contraseñas

Se actualizaron Data Owners

Aprobado

25/May./201

5


3.4

Se incorporó el organigrama del Programa de Gobernabilidad

Se adecuaron las políticas de resguardo y de disponibilidad de la información

Se incluyó la identificación de activos

Se incluyó dentro de la política de manejo de activos el custodio y usuarios

Aprobado

17/Jun./2015


3.5

Se incluyó la política de responsabilidad en el manejo de la seguridad de la información

Se incluyó la política de acuerdos de confidencialidad

Se incluyó la política de contacto con las autoridades

Aprobado






Se actualizó la instancia de gobierno de IFAI a INAI

Se incluyó la Política de Equipo Desatendido

Se incluyó la Política para la adquisición, desarrollo y mantenimiento de sistemas de información

Se incluyó la Política de relación con proveedores

Se adecuó el documento para su aplicación a nivel organizacional

13/Oct./2015


3.6

Se incluyó la Política de uso de dispositivos móviles

Se incluyó la Política de teletrabajo

Se actualizo la Política de auditorías y revisiones de cumplimiento

Aprobado

22/Dic./2015 Héctor J. Pérez M. 4.0 Se incluyó la Política para visitantes Aprobado

28/Mar/2016


4.1

Se adecuo la Política para la definición de una línea mínima de seguridad informática

Se adecuo la Política de Control de Accesos

Se adecuo la Política para visitantes

Aprobado

22/May/2016


4.2

Se adecuaron las Políticas: Política de equipo desatendido Política de escritorio limpio Política de personal

Inclusión de convenios de responsabilidad para personal externo

Inclusión de riesgos por personal externo

Seguridad Física Política de señalización

en centros de computo Política de

Señalización en las oficinas

Política de gestión de incidentes de seguridad

Política de administración de riesgos de la información

Política de contacto con las autoridades

Se incluyó la Política: Política de uso permitido de los

activos de la organización

Aprobado






12/09/2016


4.3

Se define en la estructura de las políticas de seguridad informática la característica de Sucintas.

Eliminación del estándar de bloqueo de usuario por ausencia debido a vacaciones.

Inclusión del no uso de redes inalámbricas en la política de control de accesos

Actualización de la nueva figura de Contralor de Aplicaciones antes llamado Product Owner y Área de Contralor de Aplicaciones en la Organización.

Actualización de la Política para la adquisición, desarrollo y mantenimiento de sistemas de información.

Aprobado

02/01/2017

Julio C. Navarrete

M.

5.0

Se modificó el estándar de identificación Actualización del estándar para los

responsables de la administración del sistema de control de acceso.

Actualización del estándar de autenticación Se agregó el estándar de manejo

de contraseñas de cuentas de superusuario, administrador y root.

Aprobado

30/06/2017

Jesús D.

Guerrero M.

5.1

Se agregó de cómo la empresa define: de seguridad informática en ateb, identificación y autentificación de usuarios, escritorio limpio, equipo desatendido, uso permitido de los activos de la organización.

Se actualizo la política de sanción.

Se adecuo la política de seguridad de la información.

Actualización de Organigrama de Gobernabilidad

Se adecuo la política de control de acceso.

Se adecuo la política de uso permitido de los activos de la organización.

Se adecuo la Política de relación con proveedores.

Se adecuo la política de dispositivos móviles.

Se actualizo el apartado de sanciones.

Se agregó la política de no-repudio de la información.

Aprobado






2. Declaración de intención de las políticas de seguridad informática

La información que es generada, procesada y utilizada por ATEB Servicios (ATEB) es uno de sus activos

más importantes junto con la confianza que le depositan sus clientes.

Dada la naturaleza de los negocios y del valor de los recursos de información que maneja, los Directivos

de ATEB consideran como su mayor compromiso salvaguardar estos activos, por lo que se deberán tomar

todas las medidas necesarias para proteger la información de modificaciones no autorizadas, su

destrucción o divulgación ya sea accidental o intencional y de la alta disponibilidad continua de los sistemas

y datos de y para sus clientes. Poner en peligro estos activos de información o de su alta disponibilidad

podría impactar severamente a sus clientes y afectar negativamente la operación, la reputación y los

ingresos de ATEB.

Por este motivo la responsabilidad de la seguridad de la información recae en los socios, directivos y todos

los empleados de esta organización. Adicionalmente, proteger la información de una manera efectiva es

esencial para asegurar la privacidad de la información de nuestros clientes.

Entre las principales líneas de negocio de ATEB se tienen las relacionadas con los siguientes procesos

sustantivos:

El intercambio electrónico de datos (EDI)

Todos los productos y servicios de facturación electrónica o comprobantes fiscales digitales por Internet (CFDI’s)

Documentos Digitales

Así las políticas, estándares y procedimientos definidos en el presente documento aplican de manera

indistinta para todas las líneas de negocio de ATEB, salvo los casos que explícitamente apliquen a alguna

línea de negocio de manera directa.

De esta manera las políticas que se presentan a continuación, ayudarán a todas las áreas de negocio de

la empresa a cumplir con los lineamientos señalados y también proveerán las bases necesarias para la

instrumentación efectiva de un programa de seguridad informático en la organización.

La persona con funciones de ISO será el responsable de mantener actualizadas y documentadas las

políticas y los estándares asociados para asegurar la protección de los activos informáticos de la empresa.

Los estándares abarcarán los siguientes temas:

1. Disponibilidad de los recursos informáticos. 2. La integridad de la información. 3. La confidencialidad de los datos de sus clientes. 4. El cumplimiento de los requerimientos operativos de las instituciones normativas y regulatorias. 5. El control de accesos por medio de los procedimientos de identificación, autentificación y

autorización y responsabilidad de los usuarios de los recursos de cómputo. 6. La gestión de la seguridad informática. 7. La detección y respuestas ante incidentes de seguridad informática.






3. Definiciones generales

INTRODUCCIÓN A LAS POLÍTICAS

1. Que son las políticas de seguridad informática

Las políticas de seguridad de la información son el conjunto de reglas que señalan como una

organización maneja, administra y gestiona, protege y asigna recursos para alcanzar el nivel de seguridad

definido como objetivo.

Una política es una directiva general de la alta dirección para generar un programa de seguridad de la

información, establecer sus metas, puntos de comparación así como determinar y asignar

responsabilidades.

Es un resumen del uso aceptable de los recursos informáticos en una compañía u organización, se incluye a todos los empleados y proveedores externos.

Establece qué pueden hacer y qué NO los usuarios.

Las políticas NO necesariamente son obligatorias (Ver “Tipos de políticas” más adelante).

2. Tipos de políticas

Las políticas de seguridad de la información NO necesariamente son obligatorias ya que existen tres

categorías o tipos de políticas y solamente uno de estos tipos es de cumplimiento obligatorio, por lo que

no se generaliza el requerimiento de su cumplimiento. Las categorías de las políticas se muestran a

continuación.

# TIPO DE POLÍTICA CARACTERÍSTICAS DEL TIPO DE LA POLÍTICA 1. Regulatorias Este tipo de políticas señalan que estándares asociados se deben seguir

para una política definida, por lo que las hace las únicas de cumplimiento obligatorio.

Este tipo de política asegura que se cumplan las normas establecidas en leyes y reglamentos específicos para la empresa.

2. Consultivas

Estas políticas señalan a los empleados que comportamientos y actitudes deben apegarse y cuales deben evitar. También esboza posibles ramificaciones si los empleados no cumplen con los comportamientos y actividades establecidas.

Este tipo de políticas se utilizan para describir cómo procesar la información confidencial.

3. Informativas Este tipo de políticas mantiene informados a los empleados de la organización de ciertos tópicos, no son de cumplimiento obligatorio, señalan aspectos relevantes para la empresa.

3. Políticas generales de seguridad informática

Bajo el principio general de la Gobernabilidad de las Tecnologías de la Información, que es el conjunto de

responsabilidades y prácticas emitidas y ejercidas por la Dirección General con la finalidad de brindar una

dirección estratégica, garantizar que se logren los objetivos, determinar que los riesgos se administran en

forma apropiada y verificar que los recursos de la organización se utilizan con responsabilidad, este






documento se sustenta y alinea con las políticas generales establecidas por la Alta Dirección y la

planeación estratégica según se muestra en el Diagrama 1.

Diagrama 1

Estas Políticas Generales de Seguridad Informática fueron establecidas por la Dirección General con base

en su Programa de Gobernabilidad.

4. Entorno de las políticas de seguridad informática

La seguridad de la información en ATEB es un asunto que está directamente relacionado al riesgo de la

operación de sus negocios, es por eso que se debe entender como la capacidad de preservar la

confidencialidad, integridad y disponibilidad de la información de los contribuyentes, así como la

autenticidad, confiabilidad, trazabilidad y no repudio de la misma.

Para poder asegurar de una manera efectiva la información, sus directivos deben poder encarar y

responder siete preguntas fundamentales para la integridad de la seguridad informática en la plataforma

tecnológica que son:

1. ¿Sabemos quién está utilizando nuestros servicios y recursos de cómputo? 2. ¿Podemos controlar lo que ellos (los usuarios) hacen con y en nuestros sistemas? 3. ¿Podemos asegurar la integridad de nuestra información y de nuestros clientes? 4. ¿Podemos prevenir cambios no autorizados en nuestra información? 5. ¿Podemos garantizar la no—repudiación de una transacción? o expuesto de otra manera,

¿podemos saber y probar quién hizo qué? 6. ¿Sabemos si hay un problema de seguridad? Y en el supuesto caso que se presente un problema

de seguridad:

¿Podemos detectarlo suficientemente rápido para tomar acciones correctivas apropiadas?

¿Sabemos cómo minimizar y contener el impacto del problema de seguridad?

7. ¿Podemos prevenir la negación de los servicios que ofrecemos a nuestros clientes?

Las políticas y los estándares definidos ayudarán a responder satisfactoriamente estas preguntas y

además, proveerán las bases necesarias para la instrumentación efectiva de un programa de seguridad

informático.






5. Estructura de las políticas de seguridad informática

La estructura de definición de las políticas de seguridad de la información es la que se muestra en el

siguiente diagrama:

Como se puede observar las Políticas de Seguridad Informática” se integran por los siguientes elementos:

1. Las definiciones principales de la seguridad informática.

2. La declaración de intención de las políticas de seguridad de la información en donde se explicita porque los empleados, socios y proveedores deben conocer y cumplir las políticas.

3. Las propias políticas de seguridad de la información que se arman cada una a su vez de los antecedentes de porque existe esa política determinada, la definición formal de la política y sus posibles escenarios o particularidades.

4. Los posibles estándares que obliguen el cumplimiento de la política en referencia.

De esta manera los estándares son actividades de cumplimiento obligatorio o mandatorias, acciones,

reglas o regulaciones diseñadas para proveer a las políticas con una estructura, soporte y dirección

específica para que resulten efectivas.

Las políticas de seguridad están estructuradas de acuerdo al Knowledge Database KDB del International

Information Systems Security Certification Consortium, (ISC2) y están expresadas para ser mapeadas

fácilmente para el cumplimiento de los objetivos y controles manejados por el estándar ISO 27001:2013 y

de los procesos y objetivos de control del estándar CobiT versión 4.1.

En el portal de ISACA se puede consultar la manera de mapear estas áreas para el cumplimiento de estos

estándares internacionales de mejores prácticas.

6. Relación de las políticas definidas

El documento de políticas está dividido en dos grupos: Políticas generales de negocio de la seguridad de

la información; y Políticas específicas de seguridad de la información.

Políticas generales de negocio de la seguridad de la información.






Definen la postura de la empresa con respecto a la seguridad de la información basados en los

pilares de Gobierno, riesgo y cumplimiento normativo.

Incluyen las siguientes cuatro políticas de negocio con respecto a la protección de la información:

1. Políticas del compromiso de la organización con la protección de la información 2. Políticas de la seguridad de la información 3. Políticas sobre los responsables de la seguridad informática 4. Políticas de Gobernabilidad

Políticas específicas de seguridad de la información.

Definen cada una de las políticas de manera específica estructuradas en los siguientes grupos:

I. Administración de la seguridad 1. Políticas de confidencialidad de la información 2. Políticas de integridad de la información 3. Políticas de disponibilidad de la información 4. Políticas de No-Repudio de la información 5. Políticas de consistencia de la información 6. Políticas de clasificación de la información 7. Políticas de administración de riesgos de la información 8. Políticas de auditorías y revisiones de cumplimiento 9. Políticas de líneas base de seguridad 10. Políticas para la definición de una línea estratégica mínima de seguridad informática 11. Políticas de propiedad de los activos informáticos

II. Control de accesos 1. Políticas de dueños de la información 2. Políticas de controles de acceso 3. Políticas de autorizaciones 4. Políticas de identificación y autentificación de usuarios

III. Seguridad física 1. Políticas para el uso y contratación de centros de cómputo 2. Políticas de seguridad física en las oficinas

IV. Seguridad en Equipos, Redes y Comunicaciones 1. Políticas para la definición de una línea mínima de seguridad informática






V. Seguridad en las aplicaciones y en las transacciones 1. Políticas de línea base para las aplicaciones 2. Políticas de control de acceso a las aplicaciones 3. Políticas de operación de las aplicaciones

VI. Criptografía y encriptación 1. Políticas de criptografía 2. Políticas de encriptación

VII: Operaciones de la organización 1. Políticas de personal

2. Políticas de concientización de la seguridad informática

3. Política de responsabilidad en el manejo de la seguridad de la información

4. Políticas de cumplimiento

5. Políticas de protecciones de datos e información

6. Política de protección contra software malicioso

7. Política de escritorio limpio

8. Política de equipo desatendido

9. Política de uso permitido de los activos de la organización

10. Política de uso inaceptable de los recursos informáticos

11. Política para la gestión de incidentes de seguridad

12. Política de acuerdos de confidencialidad

13. Política de contacto con las autoridades

14. Política para la adquisición, desarrollo y mantenimiento de sistemas de información

15. Política de relación con proveedores

16. Políticas de gestión de los activos de información

17. Políticas de atención a desviaciones y exclusiones

18. Política para la correcta validación de los datos que ingresan y que se proporcionan de salida

en los aplicativos.

19. Política de uso de dispositivos móviles

20. Política de teletrabajo

21. Política para visitantes

VIII. Continuidad del negocio 1. Políticas de continuidad del negocio

7. Como se definieron las políticas de seguridad de la información

Mientras más compleja es una política o un proceso de seguridad al que se tienen que apegar los usuarios,

más posibilidades tiene de fracasar dicha política.

Las políticas deben ser claras, breves, concisas, que vayan al grano de tal manera, que toda la gente de

la organización las pueda leer, comprender y cumplir. Las políticas de seguridad informática deben ser:

1. Sucintas (Breves, concisas y precisas). 2. Claras y entendibles. 3. Prácticas y realizables (Posibles de cumplir). 4. Cooperativas. 5. Dinámicas.

Para que las políticas sean efectivas deben estar visibles y al alcance de todos para su consulta.

El ISO se debe asegurar de que estén apropiadamente comunicadas a través de toda la organización y

de que hayan sido entendidas por todo el personal de la empresa.






Reiterando lo anterior, las políticas deben ser sucintas, claras y entendibles, prácticas, cooperativas1

y dinámicas. Las políticas de seguridad de la información son consistentes con las políticas generales de

la empresa y sobre todo, con las de la misión general de la organización.

No hay una seguridad perfecta, asegurar los activos informáticos es un proceso continuo.

OBJETIVO DE LA DEFINICIÓN DE LAS POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN

La presente definición para las políticas de seguridad de la información y de los estándares asociados es

esencial para hacerle saber a todos los empleados de la organización lo que pueden hacer y lo que no

para salvaguardar los activos informáticos de la empresa.

Sobre lo que pueden hacer, las políticas les señalan como hacerlo y sobre lo que no deben hacer les

marcan claramente sus responsabilidades.

Por lo que el objetivo de las políticas y estándares resumen el uso aceptable de los recursos informáticos

en la organización e incluye a todos los empleados, socios de negocio y proveedores externos.

DEFINICIONES

Aplicaciones sensitivas y de misión crítica – Las aplicaciones sensitivas y de misión crítica son aquellas

que manejan información considerada como confidencial y además su ausencia o indisponibilidad de las

mismas puede ocasionar problemas de negocio para los clientes de la empresa, como son las aplicaciones

relacionadas a los procesos sustantivos de la organización.

CONFIDENCIALIDAD – Asegurar que la información esté protegida de su revelación no autorizada.

DISPONIBILIDAD – Que la información y los recursos informáticos estén disponibles cuando se les necesite

para alcanzar los requerimientos del negocio y evitar pérdidas substanciales por su ausencia.

ESTÁNDARES DE SEGURIDAD INFORMÁTICA – Son actividades mandatorias, acciones, reglas o regulaciones

diseñadas para proveer a las políticas con una estructura, soporte y dirección específica para que resulten

efectivas.

GUÍAS – Son lineamientos más generales que los procedimientos, diseñados para garantizar los objetivos

de las políticas al proveer una infraestructura dentro de la cual deberán ser implantados los procedimientos.

Mientras los estándares son de carácter mandatorio, las guías son recomendaciones.

ID’S FUNCIONALES – Son aquellas cuentas de usuario genéricas que se requieren para la operación de los

sistemas (Ej. Administrator, Root, Operator, SA —administrador de base de datos—, etc.), y están

asociadas a un grupo de personas, una función o a un rol específico.

INFORMACIÓN DE ATEB – Son todos los registros de transacciones, información de clientes, reportes,

memoranda, correos electrónicos, aplicaciones, software del sistema y toda la información propietaria,

manejada o administrada por ATEB.

INTEGRIDAD – La información es confiable, completa y esté protegida de modificaciones no intencionales,

no anticipadas y no autorizadas por la propia organización y que mantenga la consistencia entre la

información interna en la computadora y la realidad del mundo exterior.

1 Cooperativas: que todas las áreas de negocio participen en la revisión de las políticas para evaluar el impacto que

sufrirán en su operación al momento de instrumentar cada política.






ISO (Information Security Officer) – La persona responsable de la seguridad informática en la organización

que es independiente de las áreas de tecnología.

Una de sus funciones es mantener actualizadas y documentadas las políticas de seguridad de la

información y los estándares para asegurar la protección de los bienes informáticos.

Es el máximo responsable en planificar, desarrollar, controlar y gestionar las políticas, procedimientos y

acciones, con el fin de mejorar la seguridad de la información dentro de sus pilares fundamentales:

confidencialidad, integridad y disponibilidad.

El oficial de seguridad de la información, es responsable de proteger los negocios del impacto de esos

riesgos, necesita de políticas, productos y servicios para dirigir el desafío de mantener la seguridad.

Figuran también entre sus responsabilidades:

Responsable de decisiones de seguridad de TI

Responsable de las decisiones del cumplimiento regulatorio y la continuidad del negocio

Responsable por las decisiones de seguridad corporativa (seguridad física, seguridad de las instalaciones e investigaciones).

Alcance de las funciones:

El oficial de seguridad tiene rango de responsabilidades y está a cargo de:

Seguridad de la información

Auditorias relacionadas con seguridad

Investigación de nuevas tecnologías de seguridad

Continuidad de negocio/recuperación de desastres

Seguridad de las instalaciones (Seguridad Física y Seguridad Lógica)

Seguridad personal

Protección de la propiedad intelectual

Protección de los datos personales

Prevención del fraude

Privacidad de la información y control de la clasificación de la información

Verificación de perfiles de seguridad

PROCEDIMIENTOS – especifican a detalle la manera en que la política y los estándares y guías de soporte

estarán implementados en un ambiente operativo.

PROVEEDOR EXTERNO – Cualquier empleado temporal o transitorio, consultor, personal staff eventual o

cualquier vendedor o proveedor que maneje o tenga acceso a la información.

RESPONSABILIDAD – El término de responsabilidad en seguridad informática significa poder determinar que

individuo específico en una organización es el responsable directo de actos con los recursos de cómputo.

Para responsabilizar a una persona es necesario poder identificarla de una manera efectiva de tal forma

que no pueda repudiar esas acciones.

SEPARACIÓN DE TAREAS – Es el término usado para indicar que dos mecanismos —o en su caso personas—

se deben coordinar para “abrir” o “desplegar” un proceso sensitivo, información o un componente del

sistema. De esta manera debe haber un acuerdo explícito entre dos entidades para ganar acceso o

permiso al recurso solicitado.

SISTEMAS DE INFORMACIÓN – Son todos los productos, aplicaciones, computadoras, computadoras

personales, servidores, estaciones de trabajo, sistemas, redes de cómputo, componentes de las redes de






cómputo, servicios y tecnologías utilizadas para almacenar, procesar o transmitir información ya sean estos

de propiedad de la empresa o rentados.

RESPONSABLE DE LAS POLÍTICAS

El ISO (Information Security Officer) es la persona responsable de mantener permanentemente

actualizadas y documentadas las políticas, los estándares y los controles de acceso para asegurar la

protección de los activos informáticos.

Todas las dudas y sugerencias sobre estas políticas se deben dirigir al ISO directamente.

AUDIENCIA

Estas políticas están dirigidas a todo el personal que labora en la empresa y socios de negocio, mismos

que se deben apegar a ellas.

Cada uno de los empleados y socios de negocio es responsable del cumplimiento de las mismas.

Los socios y los directivos de la organización deben estar conscientes del contenido de las políticas y se

deben asegurar de que se establezcan los procesos y procedimientos apropiados para que se cumplan

por todo el personal asignado a sus áreas de negocios.

Todas las dudas y sugerencias sobre estas políticas se deben dirigir al ISO.

ALCANCES

Estas políticas, estándares y procedimientos aplican para:

Para los socios de la empresa

Todo el personal con niveles Directivos y Gerenciales

Para todas las líneas de negocio de ATEB, salvo los casos que explícitamente apliquen a alguna línea de negocio específica.

Todas las áreas operativas, técnicas y administrativas de la organización.

Para los socios de la empresa, sus socios de negocios, colaboradores externos y consultores que laboren para la empresa.

De esta manera las políticas están dirigidas a todo el personal que labora en la organización y se deben

apegar a ellas. Cada uno de los empleados es responsable de su cumplimiento

VERSIÓN DE LAS POLÍTICAS

La versión del presente documento de políticas y estándares de seguridad de la información es la que se

estipula al inicio del documento y se refleja en el pie de todas las páginas.

VIGENCIA DE LAS POLÍTICAS

El período de vigencia de la presente versión de las políticas y estándares de seguridad de la información

es de un año calendario, por lo que la fecha en que entran en vigencia las presentes políticas es el 1° de

enero de 2016. La fecha de término es el 31 de diciembre de 2016.

De esta manera se resume que la vigencia del presente documento de políticas en la siguiente tabla:






Vigencia Fechas

Inicio Viernes 1° de enero de 2016

Término Sábado 31 de diciembre de 2016

Para la fecha de inicio cada una de las áreas de negocio deberá estar cumpliendo con todas las políticas

y estándares o contar con un programa de trabajo calendarizado y documentado para llegar a cumplir con

las presentes disposiciones, en un plazo apropiado que sea autorizado por el ISO.

FECHA DE REVISIÓN DE LAS POLÍTICAS

El ISO revisará las políticas, estándares y los mecanismos de controles de acceso de manera semestral

y las actualizará con base en el estado de la tecnología informática y a las disposiciones regulatorias y

legales que imperen en ese momento.

En caso de no sufrir ninguna modificación o actualización las políticas y estándares, el ISO deberá reflejar

la revisión en la sección de “Registro de cambios” con la inscripción “Sin cambio”

PUBLICACIÓN

Las políticas y estándares de seguridad informática las publicará el responsable de seguridad informática,

respaldado por la autoridad de la Dirección General y los Gerentes de las áreas de negocio. Se distribuirán

de manera electrónica a todos los directivos, empleados, socios de negocio que laboren en las

instalaciones de la empresa.

Se enviará a nombre de la Dirección General un correo electrónico a todos los empleados con la

declaración de intención de seguridad informática con la que continuará operando la empresa y con las

ubicaciones donde se podrán consultar las políticas y estándares de seguridad.

Estas políticas y los estándares de seguridad informática se pondrán disponibles para ser consultados por

los empleados y proveedores externos en la Intranet y en el buzón común de correo de la empresa. Cada

política con todos sus puntos o declaraciones de política, se publicará en línea en una página o buzón

independiente para una consulta más rápida y eficiente.

CUMPLIMIENTO DE LAS POLÍTICAS

Todo el personal que labora en la empresa, los socios de negocio y consultores externos se deberán

apegar a las políticas de seguridad de la información establecidas por la Alta Dirección.

Además, todos los procesos y procedimientos de negocios y sistemas también se deberán ajustar para

cumplir con las políticas de seguridad informática.

Es responsabilidad de los gerentes, del área de sistemas, del ISO y de cada una de las áreas de negocio

asegurar que se cumplan estas políticas.

Se realizarán periódicamente auditorias y escrutinios de riesgos de negocios para revisar que se cumplan

con las políticas.






DESVIACIONES

La Dirección General puede llegar a aprobar explícitamente desviaciones de las áreas de negocio a las

políticas y estándares de seguridad informática. Estas desviaciones deberán estar apropiadamente

documentadas, indicando el motivo de la desviación y los riegos de negocio asociados al no apegarse a

los lineamientos estipulados.

Las desviaciones se deberán solicitar por escrito por el Director del área correspondiente y avalado por el

ISO.

La Dirección General evaluará y aprobará o rechazará la solicitud de desviación. En caso de aprobación,

la desviación tendrá una vigencia máxima de 180 días, por lo que todas las desviaciones serán siempre

menores a seis meses, que es el plazo con el que contarán el área de negocios y de sistemas para resolver

conjuntamente el problema de seguridad que se presente motivo de la desviación.

SANCIONES

Con el propósito de facilitar la aplicación y unificación de los criterios que permitan cumplir en tiempo y de

manera eficiente con el procedimiento que establece la normatividad interna, se impondrán medidas

disciplinarias en materia laboral a los trabajadores que incurran en irregularidades en el desempeño de

sus labores.

Cualquier empleado o proveedor externo que se encuentre que ha violado las presentes disposiciones,

estará sujeto a acciones disciplinarias correctivas, que pueden llegar incluso en la separación laboral del

empleado o a la suspensión de negocios de la compañía proveedora de bienes o servicios con ATEB y a

las sanciones legales aplicables en esta materia.

De manera enunciativa mas no limitativa cualquier acción, omisión y/o actividad no identificada dentro de

las políticas de seguridad de la información y que pongan en riesgo la confidencialidad, integridad y

privacidad de la información, se tomaran las medidas necesarias y estará sujeto a acciones disciplinarias

correctivas.

Es por ello que la Dirección de la empresa, o el área que esta faculte, podrán sancionar los incumplimientos

laborales a que el colaborador faltase dentro de estas políticas.

El poder sancionador al colaborador se caracteriza por:

• Frente un incumplimiento contractual se impone una determinada sanción.

• El grado de la falta determina la sanción a imponer.

• Debe haber proporcionalidad entre la falta y la sanción a imponer.

• Un incumplimiento laboral sancionado no puede dar lugar a otra sanción posterior.

• No se puede imponer sanciones no previstas en disposiciones legales, reglamentarias o convenios

colectivos.

• No debe ser discriminador el poder sancionador del empresario.






4. Políticas generales de seguridad de la información para el negocio

Antecedentes

La información que es generada, procesada, utilizada, resguardada y custodiada por ATEB es uno de sus

activos más importantes junto con la confianza que les depositan sus clientes.

Dada la naturaleza de los negocios y del valor de los recursos de información que se manejan, los

Directivos de ATEB consideran como su mayor compromiso el salvaguardar estos activos, por lo que se

deberán tomar todas las medidas necesarias para proteger la información de modificaciones no

autorizadas, su destrucción o divulgación ya sea accidental o intencional y de la alta disponibilidad continua

de los sistemas y datos de y para sus clientes.

Poner en peligro estos activos de información o de su alta disponibilidad podría impactar severamente a

sus clientes y afectar negativamente la operación, la reputación y los ingresos de la empresa.

Por este motivo la responsabilidad de la seguridad de la información recae en los directivos y todos los

empleados de esta organización. Adicionalmente, proteger la información de una manera efectiva es

esencial para asegurar la privacidad de la información de nuestros clientes.

Las políticas que se presentan a continuación, ayudarán a todas las áreas de negocio y a la organización

a cumplir con los lineamientos señalados y también proveerán las bases necesarias para la

instrumentación efectiva de un programa de seguridad informático en la organización.

1. Política del compromiso de la organización con la protección de la información

1. La información que es generada, procesada, utilizada, resguardada y custodiada por ATEB y por sus clientes, es uno de sus activos más importantes junto con la confianza que les depositan sus clientes.

2. Cada área administrativa, operativa, técnica y de negocio deberá instrumentar y mantener documentados procedimientos apropiados para asegurar que toda la información de ATEB esté protegida y cumpla con todas las políticas y estándares de seguridad de la organización.

Estándares

1. Todas las áreas administrativas, operativas, técnicas y de negocio deben participar activamente para mantener la confidencialidad y la integridad de la información, la organización y la de sus clientes y las deberán proteger de daños, alteraciones, divulgación o pérdida accidental o intencional. Las áreas de negocio deberán:

a) Asegurará explícitamente toda la información, la empresa, sus productos, aplicaciones, servicios procesos y tecnologías.

b) Identificará los riesgos de seguridad informática e instrumentará controles apropiados para mitigar esos riegos.

2. Todas las áreas administrativas, operativas, técnicas y de negocio deben coadyuvar para mantener la disponibilidad permanente de los equipos, comunicaciones, las aplicaciones y los datos de sus clientes.

3. Todas las áreas administrativas, operativas, técnicas y de negocio deberán cumplir y hacer cumplir la normatividad interna corporativa y de entidades regulatorias nacionales e internacionales, así como la legislación vigente nacional e internacional

4. Los directivos y ejecutivos de las áreas de negocio deberán incluir y mantener informado de estos procesos al ISO.






2. Política de la seguridad de la información

1. La seguridad de la información en ATEB es un asunto que está directamente relacionado al riesgo de la operación de los negocios.

Para poder asegurar de una manera efectiva la información, la Dirección General deberá poder responder las siguientes preguntas:

¿Quiénes tienen las responsabilidades de la seguridad informática en la Organización?

¿Pueden estas personas incurrir en un incidente de seguridad?

2. Cada área de negocio incorporará un procedimiento de seguridad informática dentro de sus políticas y procedimientos que asegure el cumplimiento de estas políticas al desarrollar e instrumentar aplicaciones, sistemas y servicios para el apoyo de sus funciones.

3. Las tareas asociadas a la administración de la seguridad informática dentro de la empresa no podrán ser realizadas por proveedores externos.

Los proveedores externos únicamente podrán brindar asesorías y soporte técnico relacionadas a la seguridad informática.

Los proveedores externos que participen en la asesoría de seguridad informática deberán firmar un convenio de confidencialidad y no divulgación de información, así como una declaración de conducta de ética.

4. La Normatividad y Legislación aplicable a la empresa serán con las leyes y reglamentos y demás relativas a la seguridad de la información, entre las que se encuentran Ley Federal de Protección de Datos Personales en Posesión de Particulares, y las Leyes Federal y General de Acceso a la Información Pública Gubernamental. Estándares

1. Cualquier individuo asignado en cualquier rol de seguridad informática no debe poder realizar ningún tipo de transacciones u operaciones que entren en conflicto con su rol.

Ellos específicamente no deberán poder iniciar, concluir, programar, agendar, procesar o autorizar

cualquier tipo de transacción de negocios.

2. Acorde con los niveles de riesgo de los sistemas de información:

Las funciones de administración del sistema y de administración de seguridad deberán estar segregadas para proveer la separación de tareas para ese sistema.

Todas las acciones administrativas relacionadas al manejo de cuentas de usuarios (Ej. Añadir o borrar cuentas de usuario, cambiar permisos y privilegios de cuentas, cambios de passwords, deshabilitación y rehabilitación de cuentas) deberán estar documentadas y requieren de una verificación y supervisión por parte del ISO.

3. El responsable del área de sistemas, el ISO, las áreas de negocio instrumentarán un procedimiento para asegurar que todas las funciones de seguridad de los productos, herramientas y servicios adquiridos estén configurados apropiadamente para cubrir satisfactoriamente las políticas de seguridad informática. En los sistemas adquiridos, se deberán remover, eliminar, deshabilitar o proteger todas las capacidades de acceso por default al sistema para prevenir el uso no autorizado del mismo.

4. Las áreas de negocio revisarán anualmente:

Que sus prácticas de seguridad informática estén actualizadas y cumplan con las políticas y estándares vigentes de seguridad.






Que se actualicen las clasificaciones de riesgos de información asignadas a los sistemas de información y a los datos que maneje cada área, así como las evaluaciones de riesgo de operación de sus sistemas.

5. Cada Gerente de área se deberá asegurar que todos los empleados y proveedores externos asignados a su área cumplan con los requerimientos establecidos en las políticas y en los estándares de seguridad informática.

Cada Gerente de área también pondrá a disposición de sus empleados capacitación y entrenamiento periódico de prácticas de seguridad informática.

El ISO apoyará y asesorará activamente a los gerentes para que puedan cumplir con esta misión.

3. Política sobre los responsables de la seguridad informática

1. Debido a las características de negocio y del manejo de información de nuestros clientes, debe existir un grupo responsable de la seguridad informática en ATEB formado por al menos dos personas:

Un responsable de establecer, supervisar la implementación de un programa de seguridad de la información así como de la verificación y cumplimiento del mismo (ISO).

Un coordinador de la administración de la seguridad responsable de la instrumentación del día a día del programa de seguridad informático, del programa de divulgación y capacitación a los demás empleados de las políticas y estándares de seguridad informática (ISA).

Habrá una persona responsable de la seguridad informática en ATEB con el título “Oficial de Seguridad Informática” (Information Security Officer (ISO)) para establecer y mantener actualizadas y documentadas las políticas de seguridad de la información y los estándares para asegurar la protección y salvaguarda de los activos informáticos de la organización.

Estándares

1. El Oficial de Seguridad Informática (ISO) será el responsable directo de la administración de la seguridad informática que incluye:

Definir un programa de seguridad de la información en la organización

Establecer una planeación de la implementación del programa de seguridad informática

Establecer una línea mínima de seguridad de la información

La identificación y autenticación de los usuarios;

La autorización de uso de recursos por los usuarios;

Definir la responsabilidad2 de los usuarios;

Definir y vigilar los controles de acceso a los recursos informáticos de la organización;

Así como de detectar incidentes de seguridad informática y de las respuestas ante ellos y deberá administrar las desviaciones a la seguridad que sean autorizadas por el Director General.

También deberá estar actualizado permanentemente de las nuevas vulnerabilidades y amenazas que

acechan sobre los sistemas de la organización y evaluar los posibles impactos que pudieran tener

sobre ATEB. Deberá revisar y aprobar o rechazar las desviaciones que se hagan a las políticas de

seguridad informática. Por último, deberá elaborar periódicamente reportes y métricas del estado que

guarda el programa de seguridad informática a los directivos de la empresa. Es responsable de la

instrumentación del día a día del programa de seguridad informático y de la divulgación y capacitación

a los demás empleados de las políticas y estándares de seguridad informática; de evaluar los riesgos

2 Responsabilidad: El término de responsabilidad en seguridad informática significa poder determinar que individuo

específico en una organización es el responsable directo de actos con los recursos de cómputo. Para responsabilizar a una persona es necesario poder identificarla de una manera efectiva de tal forma que no pueda repudiar esas acciones.






y vulnerabilidades que se encuentren en la organización; deberá asegurar que se realicen las acciones

correctivas correspondientes; se deberá asegurar que toda la infraestructura de tecnología que se

incorpore a la empresa cumpla con las políticas y estándares de seguridad.

4. Política de Gobernabilidad

1. La gobernabilidad de las TI es la alineación de las Tecnologías de la Información y la Comunicación (TIC’s) con la estrategia del negocio.

Hereda las metas y la estrategia a todos los departamentos de la empresa y provee el mejor uso de la tecnología y de sus estructuras organizacionales para alcanzarlas.

De esta manera la gobernanza de TI es la manera en que la administración y la gerencia de las

empresas crean ligas, unifican conceptos, lideran y organizan a las TI para enfocarlas hacia la

estrategia del negocio.

Es por esto que es fundamental alinear el programa de seguridad de la información con las estrategias

de negocios de ATEB para apoyar sus objetivos de negocio al dar orientación sobre lo que debe

hacerse y una medida sobre cuándo se ha alcanzado, buscar soluciones de seguridad convenientes

para nuestras líneas de negocio considerando la tecnología y la estructura de la organización y que la

inversión en la infraestructura tecnológica y en su protección sea congruente con la estrategia de la

empresa y un perfil bien definido para afrontar las amenazas y disminuir los riesgos en base a costos

aceptables.

2. Todas las iniciativas para la adquisición, pruebas, implantación, revocación, supresión y control de calidad de los activos informáticos que incluyen bienes y servicios deberán estar alineados y de conformidad con las disposiciones establecidas en el “Programa de Gobernabilidad en ATEB”.

3. El Programa de Seguridad Informático de ATEB se alineará en su totalidad para apoyar a la empresa a alcanzar sus objetivos de negocio en el corto, mediano y largo plazos.

ORGANIGRAMA

PROGRAMA DE GOBERNABILIDAD

ATEB Servicios, S.A de C.V.






5. Políticas específicas de seguridad de la información

La definición de las políticas está estructurada según la propuesta por el ISC2 en su Common Body of

Knowledge vigente hasta abril 15 de 2015.

I. ADMINISTRACIÓN DE LA SEGURIDAD

1. Política de confidencialidad de la información

1. Se entenderá como “Confidencialidad de la información” el que la información esté protegida en todo momento de su revelación no autorizada, ya sea a personal interno o externo a la organización.

2. La seguridad de la información es un asunto que está directamente relacionado al riesgo de la operación de los negocios.

Para poder asegurar de una manera efectiva la información, las áreas de Sistemas y las de negocios deben poder responder las siguientes preguntas fundamentales para la confidencialidad de la nuestra información:

Confidencialidad:

¿Podemos asegurar la confidencialidad de nuestra información?

¿Podemos asegurar que los requerimientos apropiados de privacidad estén satisfechos?

¿Podemos asegurar que los datos estén disponibles únicamente para aquellos que tienen la necesidad

y la autorización para utilizarla?

Responsabilidad:

¿Podemos garantizar la no—repudiación de una transacción?

¿Podemos saber y probar quién hizo qué?

¿Se puede demostrar la responsabilidad de cada usuario por sus actividades en los sistemas?

Estándares

1. Toda la información clasificada como PRIVADA Y CONFIDENCIAL deberá estar encriptada cuando esté almacenada o sea transmitida por cualquier medio electrónico u óptico.

2. Toda la información clasificada como PRIVADA Y CONFIDENCIAL deberá estar encriptada cuando esté almacenada en cualquier medio electrónico u óptico que no esté controlado y monitoreado de los intentos de violación de acceso.

3. Toda la información clasificada como PRIVADA Y CONFIDENCIAL deberá estar encriptada cuando esté almacenada en centros de resguardo de datos como son las protecciones fuera del centro de cómputo (Off Site).

4. Las áreas de negocio notificarán a todos los usuarios de los sistemas de información (en particular a los usuarios de correo electrónico y de buzones de voz) que toda la información almacenada o transmitida por estos sistemas es de propiedad de ATEB y que ésta información podrá ser revisada y monitoreada con fines administrativos, legales, regulatorios y de seguridad.

5. Las áreas de negocio protegerán la información sin importar el medio en que se encuentre.

Este estándar aplica y sin estar limitado, a todos los siguientes medios de registro o almacenamiento de información: Todos los medios de almacenamiento de tecnología actual (Discos duros externos,






memorias flash –USBs-, CD, DVD, NAS, SAN, etc.) e incluso tecnologías obsoletas (casetes, disquetes, etc.), además de impresiones, microfilmaciones, microfichas, o documentos en papel.

6. Todos los passwords y llaves criptográficas estarán clasificadas como información “Confidencial” por lo que deberán estar siempre encriptadas cuando estén almacenadas en cualquier ambiente electrónico u óptico.

7. La dirección general desarrollará, documentará y obligará un programa de limpieza de escritorios que proteja toda la información clasificada como CONFIDENCIAL de accesos no autorizados.

8. La información clasificada como CONFIDENCIAL deberá ser destruida al final de su ciclo de vida de tal manera que quede inservible e irrecuperable.

9. Las áreas de negocio documentarán y publicarán la responsabilidad directa de sus empleados que utilicen sistemas personales para desarrollar sus funciones laborales (Ej. Computadoras caseras, laptops, PDA’s —Palm Pilots—, Internet móvil en teléfonos y pagers, etc.). Cada empleado que utilice estos sistemas deberá comprender su responsabilidad de seguridad y como cumplir con las políticas de seguridad de la información.

10. Todas las aplicaciones que manejen información clasificada como CONFIDENCIAL deberán estar salvaguardadas por un mecanismo de cierre de sesión automática a los 10 minutos de inactividad del usuario en esa aplicación.

11. Las áreas de negocio documentarán y publicarán la responsabilidad directa de sus empleados al mandar comunicaciones a grupos de usuarios y de noticias.

Los usuarios que envíen comunicados a estos grupos de discusión deberán contener un texto para

deslindar de responsabilidades a ATEB indicando claramente que las opiniones expresadas son

estrictamente de carácter personal y no necesariamente representan las ideas de ATEB. Esto aplicará

salvo que el comunicado este dentro del ámbito de las funciones laborales del empleado.

“Los enunciados y las opiniones aquí expresadas son de mi total responsabilidad y no necesariamente representan los puntos de vista de ATEB ".

12. Todos los empleados deberán extremar sus precauciones cuando abran correos electrónicos y archivos adjuntos a esos correos que provengan de remitentes desconocidos, ya que pueden contener virus, bombas de correo electrónico, código malicioso o caballos de Troya.

2. Política de integridad de la información

1. Se entenderá como “Integridad de la información” el que la información sea en todo momento confiable, esté completa y esté protegida de modificaciones no intencionales, no anticipadas y no autorizadas por la propia organización.

2. La seguridad de la información es un asunto que está directamente relacionado al riesgo de la operación de los negocios.

Para poder asegurar de una manera efectiva la información, las áreas de Sistemas y las de negocios

deben poder responder las siguientes preguntas fundamentales para la seguridad informática:

Integridad:

¿Podemos prevenir cambios no autorizados a nuestra información, ya sean estos deliberados o

accidentales?

¿Podemos asegurar la fiabilidad de nuestra información y que podemos confiar en la misma?

Responsabilidad:

¿Podemos garantizar la no—repudiación de una transacción?






¿Podemos saber y probar quién hizo qué?

¿Se puede demostrar la responsabilidad de cada usuario por sus actividades en los sistemas?

Estándares

1. La Gerencia de Sistemas instalará productos antivirus, antispam, antispyware, etc. aprobados.

Esta área será la responsable de actualizar, mantener y monitorear su operación apropiada en todas las computadoras personales, en todos los servidores de la red y los servidores de correo electrónico. El área reportará las estadísticas operativas correspondientes periódicamente.

2. Las áreas de negocio documentarán y publicarán la responsabilidad directa de sus empleados que utilicen sistemas personales para desarrollar sus funciones laborales (Ej. Computadoras caseras, laptops, PDA’s —Palm Pilots—, Internet móvil en teléfonos y pagers, etc.).

Cada empleado que utilice estos sistemas deberá comprender su responsabilidad de seguridad y como cumplir con las políticas de seguridad de la información.

3. Todos los empleados deberán extremar sus precauciones cuando abran correos electrónicos y archivos adjuntos a esos correos que provengan de remitentes desconocidos, ya que pueden contener virus, bombas de correo electrónico, código malicioso o caballos de Troya.

3. Política de disponibilidad de la información

1. Se entenderá como “Disponibilidad de la información” el que la información así como todos los recursos informáticos requeridos para la operación de la organización estén disponibles cuando se les necesite para alcanzar los requerimientos del negocio y evitar pérdidas substanciales por su ausencia.

2. Por las características de las aplicaciones sensitivas de los servicios que brinda ATEB, la ausencia de datos y/o de información, puede poner en riesgo al negocio de ATEB, al negocio de sus clientes o de los contribuyentes, su situación financiera, de imagen corporativa, etc. por lo que sus aplicaciones se consideran de misión crítica para el negocio y deben ser de manera permanente de alta disponibilidad para la propia empresa y para sus clientes.

Estándares

1. Se consideran como aplicaciones sensitivas y de misión crítica las relacionadas a las líneas de negocio de:

Timbrado de comprobantes fiscales (CFDI)

Facturación electrónica

Documentos Digitales

Intercambio electrónico de datos (EDI)

Por lo que deben ser tratadas como de alta disponibilidad.

2. Para las aplicaciones sensitivas y de misión crítica se elaborará un plan de alta disponibilidad que incluya los siguientes aspectos:

a. El centro de cómputo y todos sus servicios asociados como las instalaciones eléctricas, de aire acondicionado, de emergencia para prevención y detección de incendios, etc.

b. Las telecomunicaciones.

c. La protección permanente de los sistemas, aplicaciones y los datos que se registran y manejan en los mismos, de tal manera que permita la restauración inmediata de los mismos al procurar en lo posible que no se afecte la operación de ATEB.

d. Controles de acceso físico, como seguridad policial, CCTV, señalización, bitácoras de entrada y salida de las instalaciones del centro de cómputo, etc.






e. Equipo de cómputo de tecnología no obsoleta, que tenga servicio de mantenimiento por el fabricante del equipo, monitoreo de la capacidad operativa y de crecimiento de los equipos, administración del retiro de los medios de almacenamiento, etc.

f. Definir e instrumentar una arquitectura de la plataforma tecnológica que evite tener elementos que sean considerado con puntos únicos de falla “Single Point of Fail (SPF)” que la sola ausencia de alguno de ellos, afecte la operación de ATEB.

4. Política de No-Repudio de la información

1. Se entenderá como cono “no-repudio de la información” al procedimiento que protege a cualquiera de las partes involucradas de la negación de la transacción de información; el no-repudio debe ser eficaz en los mecanismos de seguridad implementados para validar, mantener y poner a disposición de los involucrados las pruebas irrefutables de evidenciar la veracidad de las transacciones de la información y su contenido.

No-repudio de origen. Este servicio proporciona al receptor de un objeto digital una prueba infalsificable del origen de dicho objeto, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el destinatario.

No-repudio de recepción. Proporciona al emisor la prueba de que el destinatario legítimo de un

mensaje u objeto digital genérico, realmente lo recibió, evitando que el receptor lo niegue posteriormente y consiga sus pretensiones. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor.

2. Debido a la amenaza de seguridad de la información que puede presentar la organización en la manipulación de transacciones tales como (documentos digitales), el servicio de no repudio es el procedimiento que debe proteger a cualquiera de las partes involucradas, sin embargo la manipulación no autorizada y sin conocimiento de los documentos emitidos por ATEB Servicios pueden originar graves problemas derivados de falsificaciones, modificaciones accidentales o intencionadas, pérdidas o retrasos, e incluso disputas sobre el momento exacto de envió o recepción. Tras estos comportamientos ilegítimos se deben de implementar mecanismos de no repudio como pueden ser; firmas digitales, firmas manuscritas, facturas timbradas, correos electrónicos, certificados, logs, bitácoras de eventos o cualquier mecanismo que sirva para generar evidencia irrefutable.

Estándares

4. El no repudio deberá estar relacionado con la autenticación para identificar al emisor de un mensaje, el creador de un documento o dispositivo conectado a un servicio.

5. Deberá autorizar el sistema de información o persona con responsabilidades funcionales sobre el servicio para controlar el acceso de los usuarios a zonas restringidas, a distintos equipos y servicios después de haber validado el proceso de autenticación.

6. Verifica el correcto funcionamiento de las políticas o medidas de seguridad tomadas (auditoria).

7. Se deberá tener suficientes pruebas en los mecanismos implementados de no repudio para resolver diferencias.

8. Se deberán hacer uso de mecanismo de seguridad en las transacciones de información para evitar el no repudio, como pueden ser :

Administración de los dispositivos de hardware de seguridad (HSM) Información cifrada Firmas digitales y manuscritas Copias de seguridad Logs de seguridad






5. Política de consistencia de la información

1. Se entenderá como “Consistencia de la información” el que la información y los sistemas se comporten de manera estable, coherente, con estabilidad y solidez a lo largo de su vida útil.

2. La información deberá mantener la consistencia entre la información interna en la computadora y los sistemas con la realidad del mundo exterior.

3. Se aplicará en todo momento el siguiente principio a los sistemas de cómputo.

6. Política para la clasificación de la información

1. Todos los datos e información que utilicen los productos y servicios de misión crítica deberán estar clasificados y etiquetados de conformidad al esquema de clasificación de información de la organización.

2. El esquema de clasificación de la información usado en la empresa será el descrito más adelante en el estándar respectivo.

3. El esquema de clasificación seleccionado cumplirá con las normas establecidas por el SAT y por el INAI.

4. Basados en la evaluación del riesgo de negocio y en la clasificación de la información, los dueños de la información especificarán el nivel de seguridad requerida para proteger esta información y asegurar que existan los controles suficientes para alcanzar éste nivel de protección especificada.

5. Los objetivos de la clasificación de la información son los siguientes:

Para cumplir con requerimientos legales, regulatorios y de cumplimiento (compliance)

Para reducir riesgos

Para reducir los costos de la protección

Para identificar la información y los recursos informáticos más valiosos

6. Los criterios para clasificar la información son los siguientes:

Asociación de identidad personal

Es sensitivo al contexto Costo de conseguir, adquirir, desarrollar y/o mantener la información El valor es determinado por el dueño de la información El costo/valor de la información se registra y calcula en función de sus transacciones de

negocios

o Costo de adquirirla o Costo de desarrollarla o generarla o Costo de mantenerla o Costo de remplazarla (si se llega a perder) o Costo de protegerla o Valor de los datos o información para la empresa, los Data owners, los usuarios y la

competencia o/o adversarios o Utilidad de la información

Valor de la información

Edad

Vida útil

7. Para fines de estas políticas se entenderá lo siguiente:

Internal World = External Reality






Datos personales: Cualquier información concerniente a una persona física identificada o identificable.

Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.

En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futura, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.

Titular: La persona física a quien corresponden los datos personales.

Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

Transferencia: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.

Estándares para clasificar la información

1. El esquema de clasificación de la información se apega a la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. El esquema de clasificación se divide en una jerarquía de cuatro niveles y es la siguiente:

i PÚBLICA

ii USO INTERNO

iii PRIVADA (Equivalente a RESERVADA)

iv CONFIDENCIAL (Equivalente a RESERVADA CONFIDENCIAL)

Estándares para la clasificación PÚBLICA de la información

1. Es toda aquella información que está disponible afuera de la organización o de que su intención es la de ser usada con fines públicos por el dueño de la información.

Además y de conformidad con la LFPDPPP con excepción de la información reservada o confidencial

prevista en la Ley, los sujetos obligados deberán poner a disposición del público y actualizar, en los

términos del Reglamento y los lineamientos que expida el Instituto o la instancia equivalente a que se

refiere el Artículo 61 de la citada ley, toda la información que no esté clasificada como reservada,

confidencial y que contravenga la protección de datos personales.

Estándares para la de clasificación USO INTERNO de la información

1. Es toda la información que es comúnmente compartida por el personal de la organización y no tiene la intención de ser distribuida fuera de la compañía, pero además no está clasificada como confidencial.

Estándares para la de clasificación PRIVADA de la información

1. Es toda la información de datos personales del personal de la organización, clientes, proveedores, asociados de negocio e incluso solamente visitantes, que incluye cualquier información concerniente a una persona física identificada o identificable.






2. Por este motivo y de conformidad con la Protección de datos personales se deberán adoptar las medidas necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, transmisión y acceso no autorizado.

Los sujetos obligados no podrán difundir, distribuir o comercializar los datos personales contenidos en los sistemas de información, desarrollados en el ejercicio de sus funciones, salvo que haya mediado el consentimiento expreso, por escrito o por un medio de autenticación similar, de los individuos a que haga referencia la información.

No se requerirá el consentimiento de los individuos para proporcionar los datos personales en los casos en que exista una orden judicial.

Estándares para la clasificación CONFIDENCIAL de la información

1. De conformidad con la política de confidencialidad de la información se entenderá como “Confidencialidad de la información” el que la información esté protegida en todo momento de su revelación no autorizada, ya sea a personal interno o externo a la organización.

2. Se considera información CONFIDENCIAL aquella que cumpla con cualquiera de los siguientes incisos:

Información que si es divulgada a individuos no autorizados, podría repercutir en un impacto negativo y significativo para la organización en sus obligaciones legales, regulatorias o en sus estados financieros.

Información para la autenticación de identidades como son los passwords y los números de PIN de acceso.

Cualquier forma de llave criptográfica.

Información acerca de clientes, de empleados y de negocios de la organización que se esté obligados a proteger.

Información que las áreas de negocio determinen que tiene el potencial de perder ventajas competitivas o repercutir en impactos negativos y significativos para el negocio si se divulga a individuos no autorizados.

Que cumpla con cualquiera de las especificaciones establecidas en la LFPDPPP de la información considerada como “Reservada y Confidencial”, mismos que se enumeran a continuación:

I. Comprometer la seguridad nacional, la seguridad pública o la defensa nacional;

II. Menoscabar la conducción de las negociaciones o bien, de las relaciones internacionales,

incluida aquella información que otros estados u organismos internacionales entreguen con

carácter de confidencial al Estado Mexicano;

III. Dañar la estabilidad financiera, económica o monetaria del país;

IV. Poner en riesgo la vida, la seguridad o la salud de cualquier persona, o

V. Causar un serio perjuicio a las actividades de verificación del cumplimiento de las leyes,

prevención o persecución de los delitos, la impartición de la justicia, la recaudación de las

contribuciones, las operaciones de control migratorio, las estrategias procesales en

procesos judiciales o administrativos mientras las resoluciones no causen estado.

También se considerará como información reservada:

I. La que por disposición expresa de una Ley sea considerada confidencial, reservada, comercial reservada o gubernamental confidencial.

3. Se deberá implementar los controles y mecanismos requeridos para proteger y hacer buen uso de la información personal a la que tuviera acceso, así como asegurar el apego con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y con otras legislaciones aplicables como son las siguientes:






LEY FEDERAL de Transparencia y Acceso a la Información Pública Gubernamental (11/06/2002)

REGLAMENTO de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (11 de junio de 2003)

LEY FEDERAL de Protección de Datos Personales en Posesión de los Particulares (5 de julio de 2010)

4. Los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley.

5. Los datos personales deberán recabarse y tratarse de manera lícita conforme a las disposiciones establecidas por estas Leyes y Reglamentos y demás normatividades aplicables.

6. Por las características de los datos sensitivos de los servicios que brindamos a nuestros clientes de los servicios relacionados con la facturación electrónica y timbrado de comprobantes fiscales (CFDI), todos los datos o la información que los pueda llegar a identificar de manera específica y que puedan poner en riesgo al negocio del cliente, su situación financiera, de imagen o la salud de los individuos que trabajen o representen a los intereses de la empresa será clasificada bajo el esquema de CONFIDENCIAL.

7. Toda la información que esté clasificada como CONFIDENCIAL deberán estar encriptados tanto en su almacenamiento, tránsito y en los medios que los contengan.

Estándares de procedimiento de clasificación

Procedimiento general de clasificación de la información

a) Definir proceso de clasificación b) Implementarlo c) Operarlo y supervisarlo






1) Definir proceso de clasificación

a) Identificar de manera general quienes deberán clasificar la información en la organización b) Definir los niveles de clasificación que se usarán c) Especificar los criterios con que se determinará como clasificar la información d) Indicar los métodos que serán utilizados para transferir la custodia de la información a un Dueño

diferente de la información e) Seleccionar los procedimientos para desclasificar la información

2) Implementar proceso






a) Indicar los controles de seguridad y/o mecanismos de protección requeridos para cada nivel de clasificación.

b) Documentar cualquier excepción a las posibles desviaciones de la clasificación Identificar al Dueño (último responsable) apropiado para clasificar la información.

c) Crear un procedimiento para revisar periódicamente la clasificación de la información y la propiedad de los datos.

d) Identificar a cada dueño específico de la información. e) Identificar al Custodio que será responsable de mantener la disponibilidad de la información. f) Capacitar a los dueños de la información y al custodio en sus roles, responsabilidades y

actividades con respecto a la clasificación de la información.

3) Operar el proceso en el día a día

a) Clasificar la información. b) Transferir la custodia de la información. c) Desclasificar la información. d) Revisar el cumplimiento de la clasificación. e) Realizar procesos recurrentes de divulgación, capacitación y entrenamiento a los empleados de

la organización.






7. Política de administración de riesgos de la información

1. En la organización se deberán realizar un análisis y una evaluación de riesgos de negocio ocasionados por el uso de las TI dentro de la organización.

Los hallazgos del análisis y de la evaluación de riesgos serán la entrada para definir los controles

técnicos, administrativos y operativos que se implementarán en la empresa.

La salida del análisis de riesgos, mejoramiento e implementación de controles, deberá ser siempre la

mitigación de riesgos en la organización.

2. En el análisis y la evaluación de riesgos participarán la Dirección General, dueños de los datos y todos sus funcionarios quienes sustentan todo el conocimiento de negocios de la empresa.

Este equipo es interdisciplinario para considerar todos los aspectos de la evaluación de riesgos y su

intervención decidida y reflexiva permite tener una representación clara y objetiva de los riesgos de

negocio que la empresa y sus clientes puedan encarar.

3. Las áreas administrativas, operativas, técnicas y de negocio definirán e instrumentarán el proceso para evaluar los riesgos de negocio asociados a cada sistema de información que esté bajo su control y le designará un nivel de riesgo respectivo de conformidad al proceso de gestión de riesgos de la empresa.

4. La evaluación de riesgos deberá considerar la identificación de:

Los procesos sustantivos y de misión crítica para la empresa

Las actividades que se realizan en los procesos críticos con sus roles y responsabilidades asociados

Los activos informáticos que apoyan la realización de los procesos críticos

Las amenazas a los procesos

El impacto al negocio si el sistema de información sufre un incidente de seguridad informática.

Evaluación del riesgo de negocio que enfrenta la empresa

Mapa de riesgos de negocio

Selección de controles para tratar los riesgos

Plan para tratar los riesgos

Estándares

1. El proceso de identificación, análisis, cuantificación, priorización y evaluación de riesgos se realizará dos veces al año, en períodos semestrales.

2. La evaluación y tratamiento de riesgos deberá de obedecer el siguiente modelo de referencia basado en Cobit 4.1:






3. Aceptación de riesgos. Cualquier área de la organización que no pueda cumplir con cualquier parte de las políticas y estándares de seguridad informática, deberá solicitar una desviación respectiva y enviar una forma de aceptación de riesgos al Director General, a los dueños de los datos y al Gerente del área para la aprobación respectiva. La forma de aceptación de riesgos no estará en vigor hasta que el ISO la haya recibido y sea autorizada por los directores.

Todas las aceptaciones de riesgos aprobadas tendrán una vigencia máxima de 360 días (menos de un año) a partir de la fecha de recepción de la forma por el ISO. Al término de ese plazo se revisará la aceptación del riesgo en base a un proceso de evaluación de riesgos.

Las aceptaciones de riesgos incluirán la identificación del requerimiento que no se puede cumplir, una explicación de porqué no se puede cumplir, una declaración del riesgo que se está aceptando y la definición de los Controles Compensatorios que mitigarán el riesgo y un plan para cumplir con el requerimiento omitido.

4. Transferir/Compartir los riesgos. Cuando los riesgos deben de ser compartidos o transferir por medio de una cobertura de seguro, la posibilidad de pérdida es tratada haciendo una transferencia de la organización. Este es el claro ejemplo de los diferentes seguros posibles para la organización.

Las transferencias de riesgos incluirán la identificación del requerimiento que se debe transferir, una explicación de porqué se transfirió y una declaración del riesgo que se está transfiriendo.

5. Evitar el riesgo. Un riesgo es evitado cuando en ATEB no se acepta.

Se deberá de tener las condiciones suficientes y enteradas a la dirección general ya que puede ser más negativa que positiva. Si el evitar riesgos fuera usado excesivamente en la organización se deberá de contar con la documentación apropiada de riesgo evitado, siempre aprobado por la alta dirección y el ISO de la organización.

6. Mitigar el Riesgo. Define e implementa las medidas de protección. Además sensibiliza y capacita los usuarios conforme a las medidas.

Se deberá de crear, implementar, aplicar y monitorear los controles apropiados para reducir la probabilidad o el impacto de los riegos, siempre debiendo ser autorizados por la dirección general y los dueños de los datos.

El ISO de la organización revisará la creación, implementación y aplicación de los controles que mitiguen el riesgo siempre debiendo de asegurar que no contengan riesgos inherentes en su aplicación o riesgos asociados en su función.

7. Acciones acordadas ante diferentes niveles de riegos.

Las acciones que se realizarán con los diferentes niveles de riesgo que se encuentren durante el

proceso de análisis y cálculo del riesgo son las siguientes:






8. Política de auditorías y revisiones de cumplimiento

Se actualizó la política de revisiones por auditoría para cumplir con los nuevos requerimientos del SAT

“Permitir y facilitar la realización de actos de verificación y de supervisión por parte del Servicio de

Administración Tributaria y de los terceros que para tales efectos habilite la autoridad fiscal, de manera

física o remota, respecto de tecnologías de la información, confidencialidad, integridad, disponibilidad,

consistencia y seguridad de la información y/o cualquier otra de las obligaciones relacionadas con la

autorización.

Los actos de verificación y de supervisión a que se refiere la regla I.2.7.2.10 de la RMF 2014, podrán

entenderse o realizarse con cualquier persona que se encuentre a cargo de la operación relacionada

con la certificación de CFDI a que se refiere la autorización”

Los actos de verificación y de supervisión a que se refiere la regla 2.8.10.2 de la RMF para 2015, fracción

V. podrán entenderse o realizarse con cualquier persona que se encuentre a cargo de la operación

relacionada con la certificación de CFDI a que se refiere la autorización”

“Permitir y facilitar la realización de actos de verificación y de supervisión por parte del SAT y de los terceros

que para tales efectos habilite la autoridad fiscal, de manera física o remota, respecto de tecnologías de la

información, confidencialidad, integridad, disponibilidad, consistencia y seguridad de la información y/o

cualquier otra de las obligaciones relacionadas con la autorización”.

1. En la empresa se deberán realizar auditorías y revisiones de cumplimiento dentro de la organización.

2. Las auditorías y revisiones de cumplimiento deberán ser efectuadas por personal independiente a la operación del negocio de los procesos de facturación electrónica, como Prestador de Servicios de Certificación (PCCFDI los servicios como PCCFDI) y como Proveedor de Servicios de Recepción de Documento Digitales (PCRDD).

3. El personal que dirija las auditorías y revisiones de cumplimiento deberán ser realizadas por personal calificado, que sustente certificaciones vigentes en materia de seguridad informática tales como las que se mencionan a continuación pero no se limita a estas “CISSP, CISM, CISA, CEH y ECSA”.

Estándares

1. Se realizarán auditorías internas de cumplimiento semestralmente.

2. Los resultados de las auditorías se clasificarán como CONFIDENCIAL.

3. Los resultados de las auditorías tendrán una vigencia máxima de 12 meses.

4. Los resultados de las auditorías que ya no son vigentes se deberán disponer conforme a la política “Política de disposición de información y medios de almacenamiento”.

5. Las observaciones de las auditorías se deberán subsanar por prioridades de acuerdo al nivel de riesgo de cada observación.

Mientras el nivel de riesgo o el impacto sea más alto se atenderán y resolverán primero.

6. Todas las observaciones atendidas y resueltas deberán estar sustentadas en evidencias físicas verificables.

7. Se realizara un programa bianual de auditorías, el cual considerará la realización de al menos dos auditorías de revisión de cumplimiento normativo interno por año.

8. El programa bianual de auditorías considerará al menos la revisión del cumplimiento de:

La matriz vigente con los requerimientos del SAT para la certificación de los proveedores del servicio PCCFDI (PCCFDI).

La matriz vigente de los requerimientos del SAT para la certificación de los proveedores del servicio PCRDD.






9. Política de líneas base de seguridad

1. En la empresa se tendrán identificadas tres líneas base de seguridad para gestionarlas en capas:

1) Línea base de seguridad para la estrategia de seguridad de la información de la organización 2) Línea base de seguridad para las aplicaciones sensitivas 3) Línea base de seguridad para la configuración de equipos, servidores y comunicaciones

Estándares

1. Se identificará, divulgará y capacitará a todos los empleados y colaboradores de la organización la estrategia de seguridad de la información de la organización y la importancia de la protección y salvaguarda de los datos e información que se maneja internamente y con sus clientes.

2. Se identificará, documentará e implementará una línea base de seguridad para las aplicaciones sensitivas y de misión crítica.

3. Se identificará, documentará e implementará una línea base de seguridad para los equipos, servidores físicos y virtuales, equipos de uso específico como HSM, NTP, etc. y comunicaciones que utilicen las aplicaciones sensitivas y de misión crítica.

10. Política para la definición de una línea estratégica mínima de seguridad informática

1. Las áreas administrativas, operativas, técnicas y de negocio instrumentarán un mecanismo de la protección de la información mediante una línea estratégica mínima de seguridad informática basada en un proceso de gestión de riesgos de negocio asociados con los temas de:

a) Los centros de cómputo que utiliza la organización b) Las telecomunicaciones c) El control de accesos físicos a las instalaciones y a los centros de cómputo d) La protección física de los equipos de cómputo y su nivel de actualización tecnológica e) Los ambientes de operación f) Desarrollo y adecuación de aplicaciones propietarias g) La custodia de la información h) Administración de la seguridad, e implementación de los controles necesarios para asegurar el

cumplimiento de una línea mínima de seguridad.

Estándares

1. Postura de la empresa sobre la seguridad de la información

Aseguramiento del compromiso institucional con la protección de la información

Interacción con otras áreas como seguridad, vigilancia, protección civil o externos como la Policía.

Seguridad en el manejo de la documentación sensitiva impresa

Seguridad en los procesos y manuales

2. Seguridad en el Personal

Seguridad en el manejo de personal previo a la contratación

Seguridad en el manejo de personal previo a la separación del mismo

3. Gestión de los Activos

4. Seguridad Física

En los centros de cómputo

En las oficinas

5. Gestión de la Seguridad

Manejo de incidentes y respuestas a los mismos.

Control de auditorías, atención, observaciones y respuestas a las mismas






Medición y métricas de seguridad de la información y resaltar que no son lo mismo estos dos conceptos.

Mecanismos de no-repudio como pueden ser: Administración de los dispositivos de hardware de seguridad (HSM) Información cifrada Firmas digitales y manuscritas Copias de seguridad Logs de seguridad

Pruebas y monitorización permanentes de seguridad a la plataforma tecnológica, aplicaciones y a las bitácoras de auditorías y trazabilidad de las operaciones.

6. Seguridad de la Plataforma Tecnológica

Plan y pruebas de continuidad del negocio: Manejo de contingencias Manejo de continuidad de negocios (COB) Manejo del plan ante desastres (DRP) Preparación de los planes ante desastres Pruebas de escritorio, reales y no anunciadas Mantenimiento de los planes BCP y DRP Activación de los planes ante desastres Recuperación de los planes ante desastres Reconstitución (Business Resumption Plan o BRP) Desactivación del plan ante desastres (DRP)

Manejo de recuperación de datos (Data Recovery)

Criptografía Administración de criptografía y llaves criptográficas Administración de los dispositivos de hardware de seguridad (HSM)

Protección Contra Código Malicioso Manejo y operación de programas antivirus, antispam y antispyware Manejo y control de sistemas de detección y prevención de intrusos

Manejo y control de las licencias de software

Control de cambios en las aplicaciones

Control de cambios en la plataforma tecnológica

Control de cambios en las configuraciones de los equipos, sistemas operativos y servidores virtuales.

Control de capacidades de la plataforma tecnológica

7. Cumplimiento Legal y Regulatorio

Administración y actualización de los acuerdos y convenios de confidencialidad con autoridades y socios comerciales.

Administración y actualización de los acuerdos de confidencialidad previos a la contratación de personal interno.

Administración y actualización de los acuerdos de confidencialidad en la separación de la contratación de personal interno.

11. Política de propiedad de los activos informáticos

1. Todos los activos informáticos como son los equipos físicos y virtuales, las aplicaciones y los datos deberán tener un responsable único de su protección y salvaguarda.

2. Estos activos deberán estar debidamente identificados en el inventario de activos que soportan el servicio de EDI, PCCFDI y PCRDD.






Estándares

1. A todos los activos informáticos como son los equipos físicos y virtuales, las aplicaciones y los datos se les asignará un “Dueño” o último responsable de proteger dichos activos.

2. Todos los equipos físicos o lógicos y servicios que utilice la organización para el manejo de sus aplicaciones sensitivas y de misión crítica son responsabilidad directa de la organización, aunque estos equipos estén por fines de negocio contratados en renta.

Esto significa que la protección y custodia final de la información que reside en estos equipos es

responsabilidad directa de ATEB.

3. La protección de todos los equipos físicos y virtuales es responsabilidad del Gerente de Sistemas de la organización.

4. La protección de las aplicaciones sensitivas y de misión crítica son responsabilidad del Gerente de Sistemas de la organización.

5. La protección de las bases de datos que manejan información sensitiva y de misión crítica es responsabilidad del Gerente de Sistemas de la organización.

6. La protección y supervisión de la información sensitiva y de misión crítica es responsabilidad de cada uno de las personas asignados con el rol de “Data owner” respectivo.






II. CONTROL DE ACCESOS

Antecedentes

Un acceso es la interacción de información entre un sujeto y un objeto del sistema, lo que significa la

posibilidad de hacer algo con un recurso de cómputo como puede ser, verlo, utilizarlo, modificarlo, borrarlo,

etc.

Un control de permisos o de accesos establece la manera en cómo se permitirá o restringirá explícitamente

esta posibilidad al sujeto de hacer algo con el recurso de cómputo.

Las decisiones para el despliegue e implementación de los controles de accesos recaen en el rol del ISO

del área de seguridad informática. Entre sus funciones están, con base a las autorizaciones otorgadas por

los dueños de los datos e información así como de la aplicación, la de otorgar y revocar la afiliación de los

individuos a los “Grupos de usuarios” con permisos de acceso definidos con base en las tareas y al rol del

grupo.

Para poder asegurar de una manera efectiva la información de ATEB, el área de Sistemas y los dueños

de la información deben poder responder las siguientes preguntas fundamentales para la seguridad

informática:

¿Sabemos con certeza quiénes usan nuestra información?

¿Podemos controlar lo que los usuarios hacen con nuestros sistemas e información?

¿Podemos establecer y mantener límites y restricciones apropiadas en cada actividad de nuestros

usuarios?

Por lo que es necesario identificar en cada área de negocios a aquellas personas asignadas como

representantes de la propiedad de la información que maneja el área, quienes deberán:

a) Evaluar los riesgos que enfrentan y asignar una calificación del nivel de protección que requieren sus datos.

b) Asignar permisos o autorizar quién puede hacer qué sobre el subconjunto de datos que son responsables como dueños de los mismos.

c) Entre los permisos que deberán asignar y suprimir están explícitamente los de:

Lectura de datos

Escritura de datos

Borrado de datos

Creación de datos

d) Revisar que se cumplan sus instrucciones de autorización a los usuarios para tener acceso a la información.

La autenticación de los usuarios es uno de los riesgos más críticos y fundamentales al proteger los

sistemas de información. Como se mencionó, este es el primer control usado para limitar el acceso a

los sistemas. Mientras mayor sea el riesgo asociado con un acceso no autorizado a los sistemas,

mayor es la necesidad de instrumentar mecanismos fuertes para autenticar usuarios.

Esta definición de controles de acceso ayuda a seleccionar e instrumentar mecanismos apropiados

de identificación y autenticación.

Passwords estáticos: Son los que no cambian de una sesión a otra sesión, por lo que se pueden

reutilizar al menos una vez.






Passwords dinámicos: Cambian automáticamente de una sesión a otra usando un pase (token)

basado en hardware o software. También son conocidos como “passwords de una sola vez”.

Generalmente son cadenas alfanuméricas que es diferente cada vez que es usado o puede cambiar

en un intervalo, por ejemplo, cambiar cada minuto.

Cuentas de usuario de default: Es muy frecuente que los productos de software vengan

preinstalados con cuentas de usuario con un password de default o en blanco. Estos passwords son

ampliamente conocidos y distribuidos como información pública. La comunidad de hackers mantiene

en Internet listas de estas cuentas con sus passwords respectivas. Si los passwords de estas cuentas

no son cambiados o deshabilitados inmediatamente después de la instalación del producto, la

organización afronta un riesgo significativo de que personas no autorizadas puedan tener acceso a

los sistemas de información usando esas cuentas de default.

1. Política de dueños de la información

1. La información que reside en la infraestructura del sistema PCRDD y CFDI así como el cliente gratuito y todos sus componentes respectivos, es propiedad de los contribuyentes del SAT y está en resguardo y custodia de ATEB, por lo que también esta información debe ser protegida de:

1) La divulgación no autorizada;

2) Cambios o modificaciones no autorizados, su destrucción ya sea accidental o intencional; y

3) De la alta disponibilidad continua de los sistemas y datos, de y para, sus clientes,

independientemente de que los contribuyentes sean los propietarios de su información, ATEB

tiene la libertad y obligación de enviar oportunamente copia de la información de los comprobantes

fiscales digitales de los contribuyentes al SAT así como cuando esta entidad se lo solicite.

2. El custodio permanente de la información que reside en la plataforma tecnológica de la empresa es la Gerencia de Sistemas.

3. Las áreas administrativas, operativas, técnicas y de negocio que serán las usuarias de la información son las siguientes:

Gerencia de ventas, Gerencia de soporte, Gerencia de implementación, Gerencia de administración, Gerencia de documentos digitales, Gerencia de capital humano, Gerencia de desarrollo.

Área de Contraloría y Área de Seguridad Informática

Usuarios Externos: Contribuyentes SAT y SAT

4. Las áreas administrativas, operativas, técnicas y de negocio designarán a los responsables de la información como “Dueños de la Información”, para la custodia de los datos que esté bajo su control.

5. Los Dueños de la Información clasificarán los datos y la información que esté bajo su control, según el esquema de clasificación de la información definido en la política de clasificación de la información.

6. Las áreas administrativas, operativas, técnicas y de negocio se asegurarán de mantener actualizado un inventario de productos, aplicaciones y bienes informáticos bajo su control.

Este inventario identificará específicamente al dueño de la información, el nivel del riesgo de negocio que presenta y la clasificación de la información asignada.






2. Política de controles de acceso

1. Todas las plataformas de tecnología deberán contar con un mecanismo de control de acceso que cumpla la política de identificación y autentificación de usuarios antes de poder utilizar los activos informáticos de la organización.

2. En ATEB se ejercerá un modelo de control de acceso no-discrecional, que es un conjunto de controles operados y mantenidos centralizadamente y establecidos con la finalidad de hacer cumplir las políticas de seguridad y sus objetivos y le niega la posibilidad al usuario de asignar los mismos permisos de acceso a los recursos informáticos a individuos que no han sido autorizados por la organización.

3. Todos los accesos con derecho deberán poder ser rastreados a un USER ID y al dueño asignado a esa clave de usuario.

4. Las áreas de negocio instrumentaran controles de acceso que:

Soporte de principio de “menor privilegio”

Soporte de principio de “need-to-know”

Estén completamente documentados

Puedan ser auditables

5. Las áreas de negocio protegerán todos los sistemas de información de accesos no autorizados y se asegurarán de que estos sistemas utilicen productos de seguridad, funciones o procesos con los que se pueda medir el nivel de clasificación de los propios sistemas y de la información que manejen. Estos requerimientos incluyen ambientes operativos que no sean de producción, como pueden ser los ambientes de desarrollo y pruebas o el de control de calidad.

6. Las áreas de negocio instrumentarán y documentarán procesos para revisar y verificar al menos anualmente los derechos de acceso a los sistemas.

Para los sistemas que manejen información clasificada como PRIVADA Y CONFIDENCIAL se harán las revisiones al menos semestralmente.

7. Cuando una persona abandona la organización, todas sus afiliaciones a los “Grupos de usuarios” se deberán borrar dentro del sistema. El ISO también es el responsable de coordinar y administrar los controles de acceso físicos, a los sistemas operativos y a las aplicaciones.

8. Las áreas de negocio instrumentarán y documentarán un proceso para asegurar que cualquier cambio que ocurra en los permisos de accesos de los usuarios sea de forma inmediata y proveedores externos se refleje máximo en 24 horas en que ocurra dicho cambio.

Cada director de área será responsable por los permisos y derechos de acceso de los empleados y proveedores externos que estén bajo su control.

9. La alta dirección aprobará un letrero o rótulo que se desplegará en todos los puntos de entrada a los sistemas y a las aplicaciones desarrolladas por la organización en donde los usuarios inicien una sesión de trabajo.

10. El área de sistemas responsable de operar y mantener las redes de cómputo, se deberán asegurar de que:

Todas las conexiones de protocolo de Internet (IP) deberán estar protegidas por un firewall aprobado por la compañía.

Ninguna red inalámbrica (Wireless) tenga conexión a la red de la organización, a las redes de los centros de datos y acceso a los tres niveles de servicio.

Todas las conexiones a Internet deberán estar protegidas por un sistema de detección de intrusiones en tiempo real aprobado por la organización.






Todos los accesos por MODEM deberán estar protegidos contra usos no autorizados.

Todas las conexiones por MODEM están prohibidas en cualquier equipo, excepto donde estén explícitamente aprobadas y documentadas por escrito por la dirección de la organización y por el ISO.

Todos los usuarios ajenos a la organización (externos, proveedores y clientes) no tendrán acceso a los activos de la misma.

Estándares

1. Todos los usuarios de la plataforma tecnológica de la organización deberán contar con credenciales únicas e intransferibles de acceso a todos los sistemas.

Las credenciales de acceso a la plataforma tecnológica se integrarán al menos por:

a) una clave de usuario b) una contraseña.

La contraseña es un dato que siempre estará clasificado como Confidencial.

Cada usuario es directamente responsable del uso de su credencial de acceso.

2. El enfoque que se utilizará para implementar el modelo de control de accesos no-discrecional será a través de listas de control de accesos (ACL’s). Los ACL’s son una técnica de control de accesos que se refieren al registro de:

Los usuarios (en este contexto se incluye en el término “usuarios” a los individuos, los Grupos de Usuarios, computadoras y procesos) a los que se les ha otorgado la autorización de usar un recurso de cómputo en particular.

Los tipos de acceso que le fueron autorizados a ejercer sobre el recurso (lectura, escritura, borrado, etc.).

3. Los criterios para otorgar los permisos de acceso se basarán en:

La identidad del individuo o proceso

El rol del individuo o del grupo de usuarios

La localización de donde intente realizar el acceso

Día y fecha de acceso.

Restricciones de servicios como no poder realizar dos accesos desde lugares o equipos diferentes simultáneamente.

Los modos de acceso comunes que son: Leer, Escribir, Cambiar y Eliminar. En la lista de control de acceso discrecional no se le asignará al usuario la calidad de Dueño (Owner) ni la de poder modificar los permisos asignados a un objeto.

3. Política de autorizaciones

1. Los dueños de las aplicaciones y de los datos de las aplicaciones deberán especificar de manera expresa para cada usuario que pueden hacer en cada aplicación.

Los usuarios de las aplicaciones y datos pueden ser:

Usuarios internos

Usuarios externos como consultores, auditores, etc.

2. Todos los usuarios de las aplicaciones y de los datos de las aplicaciones, internos o externos a la organización, tienen las mismas responsabilidades con respecto al uso y manejo las mismas, como es la protección de la información.






3. Todo el personal, interno y externo que se separe de la organización se le deberán suspender y eliminar todos sus permisos de acceso lógicos y físicos a las aplicaciones y a los datos de las aplicaciones, antes de ser notificados que serán separados de la organización.

Estándares de autorización

1. La persona específica identificada como Data Owner que autorice a un sujeto el acceso a los datos sensitivos y confidenciales, será directamente responsable de analizar que la persona que reciba los permisos otorgados no tenga conflicto de intereses con esa asignación.

2. La persona específica identificada como Data Owner que autorice a un sujeto el acceso a los datos sensitivos y confidenciales, será directamente responsable de analizar que la persona que reciba los permisos otorgados no entre en conflicto con el “Otro principio de seguridad” de Segregación de funciones.

Es decir, el sujeto con permisos no podrá tener funciones de administrador y operador de datos de manera simultánea.

3. La asignación de permisos para los usuarios deberá apegarse al principio de integridad de la información del “Menor privilegio / Necesidad de Conocer” que implica que siempre se deberá proporcionar la asignación mínima de permisos de acceso en base a la necesidad para poder cumplir con sus tareas (“Least privilege / need to know”)

4. Se utilizarán los procedimientos descritos en la guía de operación de controles de acceso definidos en el documento denominado “SAT-PAC-030 Control de acceso.

4. Política de identificación y autentificación de usuarios

La presente política describe una serie de requisitos necesarios y de recomendaciones encaminadas a

mejorar la seguridad y robustez en la identificación y autenticación mediante el uso de contraseñas

personales para el acceso a los servicios o tecnologías ofrecidos por ATEB.

1. Todas las plataformas de tecnología de la organización deberán de autentificar la identidad de los usuarios antes de iniciar una sesión de trabajo o una transacción (incluyendo otros sistemas y aplicaciones que tengan acceso a estas plataformas), a menos que la información a la que se va a tener acceso esté clasificada como PÚBLICA.

2. Todos los usuarios estarán identificados para ingresar a las plataformas de tecnología por al menos:

Una clave de usuario única (USER ID) y

Una metodología de autenticación como es un password estático o dinámico; una llave pública; un mecanismo biométrico u otro mecanismo de autenticación que permita la identificación única del usuario.

3. Los usuarios son directamente responsables de toda actividad asociada con su USER ID y password.

4. Sobre los passwords estáticos:

Nunca se deberán compartir, dar a conocer o escribir en ningún lugar.

Consistirán de un mínimo de 8 (ocho) caracteres alfanuméricos.

Nunca se deberán desplegar en la pantalla o impresora texto claro.

Nunca se deberán almacenar en ningún dispositivo en texto claro.

5. Los USER ID asociados a passwords estáticos se deberán deshabilitar después —y no más— de 5 (cinco) intentos fallidos de login.

6. Las áreas de negocio deberán de asegurarse de que:






Todos los passwords estáticos se cambien periódicamente cada 30 (treinta) días.

Que los USER ID sean deshabilitados a los 90 (noventa) días de inactividad de la cuenta.

7. Los ID’s funcionales se considerarán como una excepción de las restricciones de: compartir passwords; deshabilitar la clave después de 5 intentos fallidos de login; los cambios periódicos de passwords; y de los requerimientos de USER ID único.

1. Para los passwords estáticos y reutilizables, se definirá un procedimiento de cambio de claves de acceso confidencial (passwords) difícil de adivinar y cambios periódicos. Un password difícil de adivinar deberá considerar:

a. Un tamaño mínimo.

b. Requerir diferentes conjuntos de caracteres como letras minúsculas, mayúsculas, números y caracteres especiales como el símbolo $.

c. Que no se repitan caracteres consecutivos.

d. Que el password sea diferente a su clave de usuario.

e. Contar con un diccionario de palabras prohibidas como puede ser el usar “password” como password.

f. Que nunca se desplieguen en pantalla.

g. Que los passwords siempre se guarden encriptados, con un mecanismo confiable de encriptación y de preferencia que el algoritmo no tenga proceso de reversa, o sea, que no se puedan desencriptar, por ejemplo el algoritmo SHA1.

h. Que se cambien con una periodicidad de 90 días a lo máximo.

i. Que no se permita repetir ninguno de los últimos 3 passwords.

j. Para los passwords de las claves sensitivas como Administrador local, Root, Administrador de dominio, Administrador de las bases de datos, etc. Se utilice el principio de separación de privilegios arriba descrito.

k. Tener un procedimiento especial para la utilización de las claves funcionales.

Estándares de identificación

1. El Gerente de Sistemas en conjunto con el Contralor de Aplicaciones son los únicos responsable para la administración del sistema de control de accesos.

2. Los sistemas de información no permitirán a los usuarios, clientes o contribuyentes invocar ninguna función o tarea sin estar previamente en sesión bajo una clave de usuario que identifique al que realice la tarea (se exceptúa el proceso de login).

3. Cada usuario contará con una clave de acceso única denominada como “Clave de Usuario” (USER ID).

4. Las claves de usuarios (USER ID) deberán estar compuestas de al menos por 10 caracteres.

5. Las claves de los usuarios deben ser de fácil definición para que estas puedan ser fácilmente identificadas y asociadas al usuario.

6. El sistema de información no permitirá que los usuarios o los procesos cambien dinámicamente su identificación sin una autorización expresa.

7. La asignación de las claves de usuario, deberán estar respaldadas por sus respectivas responsivas de asignación y uso de claves.






Estándares de autenticación

1. Manejo de contraseñas de superusuario, administrador y root:

a. El Gerente de Sistemas deberá poseer parte del password y el Contralor de Aplicaciones deberá poseer otra parte del password del sistema de control de accesos siguiendo el procedimiento para manejo de contraseñas de superusuario, administrador y root de acceso a los servicios productivos, aplicaciones sensitivas y de misión crítica.

2. Mecanismos de autenticación mínimos:

b. La generación, utilización y cancelación de las claves de acceso de los usuarios están sujetas a las políticas de control de acceso.

c. La selección de los mecanismos de autenticación deberán basarse en alguna de las siguientes clases, listadas en orden ascendente de seguridad que proveen:

i. Passwords estáticos

ii. Passwords dinámicos

d. Si el sistema de información lo permite porque provee la funcionalidad, la siguiente información se deberá desplegar después de un proceso exitoso de autenticación:

i. Fecha y hora del último acceso del usuario.

ii. El número de intentos fallidos de acceso a la cuenta desde el último acceso exitoso a la clave de usuario.

e. En los casos fallidos de inicio de sesión por error en la captura de la clave de usuario y el password no se deberá notificar al usuario la razón de la negación de permiso de acceso, ya que esta información puede llegar a ser muy valiosa para un potencial atacante del sistema.

f. Las aplicaciones no deben depender del sistema operativo para proveer la identificación y autenticación del usuario, esto mitiga el riesgo de que un atacante al tener acceso al sistema operativo o a la red con un USER ID válido tenga automáticamente acceso a las aplicaciones operativas.

3. Passwords estáticos:

a) Configuración de los passwords:

Todos los passwords estáticos se deberán apegar a los siguientes requerimientos de creación:

i. Consistirán de un mínimo de 8 (ocho) caracteres alfanuméricos.

ii. Se formarán del conjunto combinado de caracteres:

Letras mayúsculas

Letras minúsculas

Números y

Caracteres especiales como el signo $.

iii. Se exigirá una combinación con al menos un carácter de cada grupo escogido por el usuario (Letras mayúsculas, minúsculas, números y caracteres especiales como el signo $).

iv. El password no podrá ser igual que el USER ID del usuario.

v. Los passwords no podrán comenzar ni terminar con espacios en blanco.

vi. Los passwords no podrán contener más de dos caracteres idénticos consecutivos.

b) Todos los passwords estáticos se deberán apegar a los siguientes requerimientos de cambio:






vii. Deberán existir procedimientos establecidos para el cambio de passwords, incluyendo aquellos que pertenezcan a clientes y contribuyentes.

c) Cambios de passwords:

viii. El usuario deberá capturar su password viejo y 2 (dos) veces el password nuevo para autorizar y confirmar el cambio del mismo.

ix. Se deberá limitar el cambio de password iniciado por el usuario a uno máximo al día.

x. Se prohibirá la reutilización de los passwords por al menos tres cambios consecutivos de password.

xi. Se deberá solicitar automáticamente que los passwords sean cambiados máximo a los 30 días de vigencia del mismo.

xii. Los passwords que han expirado su vigencia deberán ser cambiados antes de realizar cualquier otra actividad en el sistema de información.

xiii. Se requerirá de cambios de password forzados siempre que se sepa que se comprometió la seguridad de cualquier password, incluyendo los que pertenezcan a los clientes y contribuyentes.

xiv. Deberá existir un procedimiento para que el ISO o el administrador de seguridad informática cambie inmediatamente el password al enterarse de que la cuenta está siendo utilizada por otra persona que no es el usuario autorizado.

xv. Las claves de usuario asociadas con passwords estáticos:

Se deberán deshabilitar de acuerdo a las políticas de seguridad de la información después de un período de inactividad.

Se deberán eliminar si a los 30 días de creada no ha sido nunca utilizada para entrar al sistema de información.

Se deberán eliminar a los 30 días de inactividad de la cuenta.

Se deberán inactivar o suspender en cualquier ausencia del usuario prolongada por más de diez días.

Deberá iniciar el protector de pantalla salvaguardado por password después de 15 minutos de inactividad o cuando el usuario se aparte de su lugar de trabajo.

d) Distribución de passwords:

Todos los passwords estáticos se deberán apegar a los siguientes requerimientos de distribución

y reinstalación (reset):

xvi. Cada vez que el administrador de seguridad cree un nuevo password para una clave de usuario de un empleado, cliente o contribuyente, se le deberá requerir al usuario el cambio de password antes de ingresar al sistema de información.

xvii. Control compensatorio: Si el sistema no tiene técnicamente esta posibilidad, el administrador de seguridad deberá exigirle al usuario que cambie su password en presencia de él.

xviii. Para el reseteo de un password o el cambio de una password asistido por el administrador de seguridad se requerirá la autorización respectiva del usuario dueño de la clave de usuario y de su supervisor, para comprobar la identidad del usuario.

e) Generalidades sobre los passwords:

xix. Los passwords de las aplicaciones sensitivas y de misión crítica NUNCA serán encriptados, siempre se guardará el hash del password de tal manera que no tengan un proceso de






decodificación. La única salvedad a esta disposición será la de los passwords de las cuentas de usuario funcional.

xx. Se deberán deshabilitar los mensajes del sistema de información que indiquen la razón por la cual un password específico no puede ser seleccionado, ya que esta información puede llegar a ser muy valiosa para una potencial atacante.

xxi. Los empleados, proveedores externos, clientes y contribuyentes deberán ser capacitados en el manejo apropiado de passwords.

xxii. Los passwords no deberán ser almacenados en la computadora personal para “facilidad” del usuario.

4. USER ID’s de default:

a) Todas las cuentas de default de los proveedores de hardware y de software deberán ser identificadas antes de la implementación o actualización del sistema.

b) Todos los passwords de las cuentas de default de los proveedores deberán ser cambiados inmediatamente después de ser instalado el producto.

c) Todas las cuentas de default de los proveedores deberán ser borradas, desactivadas, renombradas o de no ser posible esto de otra manera serán ocultadas.

d) Las áreas de sistemas y de seguridad informática deberán tener documentados procedimientos apropiados para el cambio de password o la deshabilitación de todas las cuentas de default si esas cuentas no son necesarias para la operación del sistema.

5. Claves de acceso privilegiadas

a) Se reducirá al mínimo el número de cuentas de usuarios con permisos privilegiados.

b) Solamente deberán ser utilizadas desde estaciones autorizadas, de preferencia solamente de manera local al equipo donde resida la cuenta. Con esta medida se pretende ayudar a identificar rápidamente intrusiones a los sistemas de información desde equipos no autorizados.

c) Todas estas cuentas deberán ser evaluadas como de ALTO RIESGO.

d) La utilización de estas cuentas se deberá reducir al mínimo posible, siempre se deberán documentar incluyendo fecha, hora y motivo de uso. Con esta medida se pretende asentar las bases para buscar accesos no autorizados a estas cuentas.

e) El uso de estas cuentas deberá ser supervisado y monitoreado por el asistente del ISO y las bitácoras de acceso al sistema revisadas semanalmente para buscar discrepancias entre las utilizaciones documentadas y las no documentadas que indicarían la presencia de un intruso en los sistemas de información.

Estándares de operación de las cuentas de usuario

El uso de las credenciales de usuario deberá apegarse a los siguientes estándares:

1. Se deberá bloquear la clave de acceso al existir un máximo de 5 intentos fallidos.

2. Las políticas de control de acceso deberán ser revisadas y actualizadas por lo menos cada 6 meses.

3. Entrega de documentación que indique la administración de claves de acceso.

Implementación de controles para el alta.

Implementación de controles para cambios.

Implementación de controles para baja de los usuarios.

4. La vigencia de las credenciales para el acceso a la plataforma de ATEB es la siguiente:






Usuarios internos con autorizaciones de acceso no privilegiadas de seis meses.

Usuarios internos con autorizaciones de acceso privilegiadas de tres meses.

Credenciales de acceso privilegiadas como Administrator, Root, etc. tres meses.

Las credenciales de los clientes es de 12 meses.

5. El tiempo de conexión máximo desatendido para cualquier usuario es de 10 (diez) minutos.

Las conexiones de sesión de las aplicaciones desatendidas por más de 10 minutos se deberán cortar y sacar al usuario de la aplicación.

6. Los equipos de cómputo desatendidos por más del plazo estipulado deberán ser bloqueados automáticamente por el sistema operativo con base en las políticas de configuración de los equipos.

7. Todo el personal, interno y externo que se separe de la organización se le deberán suspender y eliminar todos sus permisos de acceso lógicos y físicos a las aplicaciones y a los datos de las aplicaciones, antes de ser notificados que serán separados de la organización.

8. La autorización y asignación de permisos a los usuarios siempre estará en base a los “Otros principios de integridad” de:

Soporte de principio de “menor privilegio”

Soporte de principio de “need-to-know”






III. SEGURIDAD FÍSICA

Antecedentes

Dentro de los elementos que se deben proteger en ATEB están las áreas físicas de:

a) Los centros de cómputo en dónde se ubique la infraestructura tecnológica y b) Las oficinas administrativas.

De manera adicional, se instrumentarán en los centros de cómputo, mecanismos de protección

ambientales y de soporte y mantenimiento.

Por el tipo de información que se maneja en la organización se deben segregar las áreas restringidas

mediante controles de accesos físicos mediante bardas y cercas, guardias y vigilancia y circuitos cerrados

de televisión o CCTV.

1. Política para el uso y contratación de centros de cómputo

1. Los centros de cómputo en que residan y se ejecuten las aplicaciones críticas deberán estar en lugares seguros, libres de amenazas de alto impacto y con controles de protección perimetrales.

2. Los centros de cómputo en que residan y se ejecuten las aplicaciones críticas deberán contar con controles de señalización de seguridad.

3. Los centros de cómputo deberán contar con una infraestructura de seguridad, instalación eléctrica y monitoreo que minimice la posibilidad de detener las operaciones de las aplicaciones críticas de ATEB.

4. Los centros de cómputo deberán contar con sus propios planes de DRP para garantizar la continuidad de su operación

Estándares

1. Ubicación física. El centro de cómputo en que operen las aplicaciones críticas de ATEB deberá seleccionarse con una ubicación física segura y libre de riesgos de alto impacto como son:

Estar alejado como mínimo 100mts de lugares de alto riesgo como: o Gasolineras o Bancos o Gaseras o Minas o Acometidas de cableado de luz o Gas o etc.

2. Estructura. El centro de cómputo debe contar con protección perimetral adecuada que impida el acceso fácil desde el exterior y de ser posible, debe tener algún elemento adicional de protección como malla de picos, malla eléctrica, etc.

El centro de cómputo debe contar con paredes de concreto, puerta blindada, piso falso, acceso ya sea por sistema biométrico o tarjeta de proximidad, o mínimo con acceso por teclado.

3. Infraestructura. El centro de cómputo debe contar con sistema contra incendios (Gas FM200), detectores de humo.

El centro de cómputo debe contar con cableado estructurado que cubra la necesidad de continuidad en el servicio de Telecomunicaciones.

Para el centro de cómputo se debe contemplar seguridad de interconectividad.

El centro de cómputo debe contar con un adecuado sistema de aire acondicionado para evitar problemas de sobrecalentamiento en el equipo.






El centro de cómputo debe contar restricción de acceso de medios de almacenamiento al personal externo e interno que acceda al propio centro de cómputo.

Revisiones periódicas por parte de la Unidad Verificadora de Instalaciones Eléctricas u otro órgano de revisión y validar que el sistema de tierra de seguridad mantiene valores menores a 2 ohms.

El sistema eléctrico debe ser monitoreado en línea por un sistema automatizado integrado al sistema de monitoreo general del centro de datos.

Medidas de detección de humedad y líquidos para evitar inundaciones.

4. Instalación eléctrica. El centro de cómputo debe contar con equipamiento eléctrico que permita mantener la continuidad del servicio.

5. Mantenimiento. El centro de cómputo debe contar con un plan de mantenimiento para los equipos, cableado, sistemas contra incendio, plantas, etc.

6. Planes de continuidad y de recuperación en caso de desastres.

El centro de cómputo debe contar con la documentación necesaria de BCP que consideran las aplicaciones e infraestructura requerida para garantizar la continuidad de la operación.

Los planes de continuidad del centro de cómputo deberán ser probados al menos anualmente para verificar su efectividad y eficiencia y las desviaciones son atendidas de manera inmediata, las desviaciones son solventadas en menos de 3 meses.

7. Proveedores de los centros de cómputo.

Para el caso de los proveedores de centros de cómputo y hospedaje de la información, el Director

de Seguridad revisará que cumplan con los estándares mínimos de seguridad al presentar estos

el resultado o reporte de auditoría de cumplimiento denominado como:

“Service Organization Control Report 1” (SOC 1) Tipo 2 o también conocido formalmente como “Statement on Standards for Attestation Engagements No. 16 Type 2” (SSAE 16).

En caso de que los proveedores externos aún no cuenten con estos reportes deberán presentar al menos el Reporte de Auditoria SAS 70 Tipo II (Statement on Auditing Standards No. 70) con una vigencia remanente de más de seis meses.

2. Política de seguridad física en las oficinas

1. Se deben proteger las oficinas como áreas seguras mediante controles de entrada apropiados para asegurar que sólo se permita acceso al personal autorizado.

2. Por el tipo de información que se maneja en la organización las oficinas administrativas se deben considerar como áreas restringidas.

3. En las oficinas de la organización se deberán contar con controles de accesos físicos mediante bardas y cercas, guardias o vigilancia y circuitos cerrados de televisión o CCTV.

4. En las oficinas de la organización, deberán contar con controles de señalización de seguridad.

Estándares

1. Se deben utilizar perímetros de seguridad (barreras tales como paredes y puertas de ingreso controlado, policías o recepcionistas) para proteger áreas operativas y de oficina que contienen información de la empresa.

2. Se deben proteger las áreas seguras mediante controles de entrada apropiados para asegurar que sólo se permita acceso al personal autorizado.






IV. SEGURIDAD EN EQUIPOS, REDES Y COMUNICACIONES

Antecedentes

La línea base es un conjunto de requerimientos mínimos que se deben cumplir con la configuración de los equipos, servidores físicos y virtuales, equipos de uso específico como HSM, NTP, etc. y comunicaciones que utilicen las aplicaciones sensitivas y de misión crítica en ATEB.

1. Política para la definición de una línea mínima de seguridad informática

1. Los activos (aplicativos, servidores, bases de datos, dispositivos de red, etc.) del centro de datos que dan soporte al proceso de PCRDD y CFDI deben contar con líneas base de seguridad documentadas e implementadas, que consideren como mínimo:

La protección del BIOS en arranque de los sistemas.

La deshabilitación de unidades de almacenamiento removibles.

La instalación del S.O. en partición exclusiva.

La inhabilitación de puertos, protocolos, usuarios y servicios innecesarios.

Recomendaciones de seguridad del fabricante del equipo y sistema operativo.

Los activos que dan soporte al proceso de PCRDD y CFDI deben contar con los últimos parches de

seguridad y actualizaciones emitidas por el fabricante de los servidores y sistemas operativos que

hayan pasado por un procedimiento de pruebas previas a la implementación.

Estándares

1. Plataforma:

Tecnología actualizada El aplicativo deberá estar alojado en equipo de cómputo actualizado y que cuente con los elementos que garanticen el rendimiento y funcionalidad requerido por el aplicativo y sobre todo por el servicio.

Seguridad en los sistemas operativos El sistema Operativo instalado en el equipo deberá ser el adecuado para su correcto funcionamiento.

Capacidades y monitoreo de las mismas Toda la infraestructura y el equipo de cómputo deberán contar con el control de capacidades y rendimiento.

Disposición de la información En caso de que la vida útil de los datos clasificados como confidenciales llegue a su fin por cuestiones regulatorias, de operación o de negocio, se deberá borrar de los medios de almacenamiento de una manera segura, o ser destruida en caso de datos físicos en documento impreso. Lo que implica que la información del cliente en medios de almacenamiento será borrada de las bases de datos vigentes de operación. Los documentos físicos serán destruidos al ser triturados.

Retiro y disposición de medios magnéticos Se debe contar con el registro de todos los medios electrónicos que tienen relación con el proceso, además de contar con procedimientos para el retiro de los medios electrónicos ya sea por daño, obsolescencia o que se haya cubierto su vida útil.

Servidores adicionales como de tiempo y de protecciones de certificados digitales 2. Equipo de Cómputo: La protección física de los equipos de cómputo.

Los activos como servidores, bases de datos, dispositivos de red, etc. que dan soporte al proceso de PCRDD y CFDI deben contar con líneas base de seguridad documentadas e implementadas, que consideren como mínimo:

Protección del BIOS en arranque de los sistemas.






Deshabilitación de unidades de almacenamiento removibles.

Instalación del S.O. en partición exclusiva.

Inhabilitación de puertos, protocolos usuarios y servicios innecesarios.

Recomendaciones de seguridad del fabricante del equipo y sistema operativo.

Los últimos parches de seguridad y actualizaciones emitidas por el fabricante de los servidores y sistemas operativos.

Se deberá contar con un servidor de tiempo NTP, con una sincronización por medio de un GPS en su infraestructura.

Todos las computadoras personales, servidores de red, laptops y estaciones de trabajo deberán estar salvaguardadas por un protector de pantalla con password y establecer una activación automática a los 10 minutos de inactividad o de que el equipo esté desatendido.

El password deberá cumplir la política de identificación y autenticación.

3. Redes: Infraestructura de telecomunicaciones, protección de dispositivos, etc. Implementación de dispositivos y controles para prevenir el acceso no autorizado a los sistemas.

Segmentación de redes en zonas, implementando dispositivos firewall para restringir el acceso a los sistemas que almacenan y procesan la información relacionada con el SAT, PCRDD, CFDI y contribuyentes.

La infraestructura de red se deberá configurar para que únicamente sistemas e individuos autorizados tengan acceso a los sistemas con información relacionada con el SAT, PCRDD, CFDI y contribuyentes.

4. Comunicaciones: Servicios de telecomunicaciones de voz. Telecomunicaciones de datos e Internet. Redundancias de telecomunicaciones y accesos a Internet. Las redes dentro del centro de datos deben contar con dispositivos de prevención o detección

de Intrusos. La red debe estar protegida con dispositivos de seguridad que apliquen listas de control de

acceso. Las redes deben estar segmentadas para proteger el flujo de información en redes con

distintos tipos de usuarios.

5. Configuración de seguridad de los equipos: Se deberá realizar un análisis de configuración Se deberán realizar periódicamente pruebas de seguridad en tres niveles:

a) Análisis de vulnerabilidades de los equipos y redes no invasivas b) Pruebas de penetración invasivas y no destructivas (Ethical hacking) c) Pruebas de penetración invasivas y destructivas

Se deberá contar con evidencias del análisis de vulnerabilidades de cada equipo de la plataforma

Se deberá contar con evidencias de consultas periódicas a las bases de datos de vulnerabilidades de los grupos de interés, al menos las tres siguientes:

a) NIST NVD (National Vulnerability Database); b) del MIT: MITRE CVE's & CWE’s; c) SANS: 20 Critical Security Controls

Se deberá contar con evidencias de las configuraciones de seguridad en los equipos






V. SEGURIDAD EN LAS APLICACIONES Y EN LAS TRANSACCIONES

Antecedentes

La mayor cantidad de vulnerabilidades en la seguridad se encuentran adentro de los aplicativos. Es por

esto que es necesario establecer una línea base de seguridad para las aplicaciones que se desarrollen

para los procesos relacionados con los CFDI’s y el PCRDD.

1. Política de línea base de seguridad para las aplicaciones

1. Las aplicaciones sensitivas y de misión crítica deben contar con la definición de líneas base de seguridad, documentadas e implementadas que consideren e incluyan como mínimo:

Implementación de autenticación de los usuarios (internos o clientes).

Implementación de mecanismo de no repudio de transacciones.

Protección contra inyección de código.

Inicio de sesión seguro.

Validación de datos de entrada / salida para evitar errores en el procesamiento de la información.

Manejo de errores.

Expiración de sesiones después de 10 minutos de inactividad.

Estándares

Las líneas base de seguridad de las aplicaciones sensitivas y de misión crítica deben considerar los

siguientes elementos:

1. Implementación de autenticación de los usuarios (internos y clientes).

2. Implementación de mecanismo de no repudiación de las transacciones mediante bitácoras respectivas.

3. Protección contra inyección de código malicioso.

Del personal interno como desarrolladores

De usuarios internos y externos autorizados

De sujetos (personas y ejecutables) no autorizados

4. Inicio de sesión seguro.

Conexión encriptada

Proceso de identificación y autentificación mediante credenciales

No despliegue de las contraseñas de las credenciales

Bitácoras de conexión

5. Validación de datos de entrada / salida para evitar errores en el procesamiento de la información.

6. Manejo de errores.






2. Política de control de acceso a las aplicaciones

1. Todas las aplicaciones sensitivas y de misión crítica deberán seguir los siguientes requerimientos para poder ser usadas por los usuarios internos y los clientes de la empresa:

Controles de acceso a las aplicaciones

Manejo de las claves de usuarios y sus contraseñas de autenticación

Manejo de seguridad por roles y actividades

Manejo obligado de segregación de funciones

Las aplicaciones sensitivas y de misión crítica deberán operar en cumplimiento a los lineamientos de

operación segura de conformidad a los estándares que se establezcan al respecto.

Estándares

1. Todas las aplicaciones sensitivas y de misión crítica deberán ser iniciadas mediante un proceso de identificación de credenciales I-A-A (Identificación, Autenticación y Autorización de permisos).

2. El proceso de autorización de permisos de las claves de usuario de las aplicaciones deberán ser autorizadas por el Data Owner y realizadas técnicamente por la persona que tenga el rol de ISA (Information Security Administrator) en la organización.

Las autorizaciones que se le otorguen a los sujetos siempre será en base a sus roles asignados.

3. El inicio de sesiones de los usuarios deberán apegarse a lo establecido en la Política de controles de acceso del capítulo II. Políticas de Control de accesos.

4. Para procurar que se cumpla con el objetivo de seguridad de integridad de la información se establecerá en todas las aplicaciones sensitivas y de misión crítica de la empresa el concepto conocido formalmente como “Principios Básicos de la Integridad de la Información”.

1) Rotación de funciones

– Rotar al personal en las diferentes funciones de la organización.

– No dejar a una persona demasiado tiempo en un solo rol en la misma función con

responsabilidad administrativa.

– Obligar al personal con funciones clave en la empresa a tomar vacaciones al menos una vez al

año.

2) Separación de tareas

– Dos mecanismos o personas que se deben coordinar para “abrir”, “desplegar” o “completar” un

proceso sensitivo, modificar información sensitiva y confidencial o un componente del sistema

o aplicativo de misión crítica.

– Debe haber un acuerdo explícito entre dos entidades para ganar acceso o permiso al recurso

solicitado cuando éste sea un componente del sistema o aplicativo de misión crítica.

3) Menor privilegio / Necesidad de Conocer

– Asignación mínima de permisos de acceso en base a la necesidad para poder cumplir con sus

tareas (“Least privilege / need to know”).






3. Política de operación de las aplicaciones

1. Todas las aplicaciones sensitivas y de misión crítica deberán seguir los siguientes requerimientos de operación:

Contar con una configuración segura

Contar con un control de cambios

Registro de bitácoras de operación

De la documentación

Ambientes de operación aislados e independientes entre sí para el desarrollo de las aplicaciones, sus pruebas y de producción.

De seguridad para el desarrollo de aplicaciones

De seguridad en las bases de datos y su contenido

Estándares

De configuración de las aplicaciones

1. Todas las aplicaciones sensitivas y de misión crítica deberán sentar una configuración segura con respecto a:

Control y aseguramiento de las transferencias de información en la red e Internet

Validación de las entradas o capturas iniciales

Controles de mitigación de Backdoors y de troyanos

Criptografía y manejo de llaves de encriptación

Separación entre los aplicativos, los datos y los sistemas operativos de los equipos

Posibilidad de exportación de información masiva por los usuarios

Control de vigencia de las sesiones activas de usuarios

Las aplicaciones deberán iniciarse de conformidad con la Política de control de accesos

Todas las sesiones que estén inactivas por más de diez minutos deberá expirar la sesión y sacar al usuario de la misma. Para continuar operando la aplicación el usuario deberá iniciar sesión de conformidad con la Política de control de accesos

De control de cambios de las aplicaciones

1. Todas las aplicaciones deberán tener un proceso de control de cambios que consideren al menos los siguientes elementos:

Fecha del cambio

Identificación del control de cambio

Responsable del cambio

Que generó el cambio

Estimación de impacto de cambios

Pruebas

Autorización

Liberación de cambios

Reversos de cambios

Del manejo de bitácoras en las aplicaciones

1. Todas las aplicaciones sensitivas y de misión crítica deberán generar las siguientes bitácoras como pistas de auditoría:

Manejo de bitácoras de los errores o problemas en los aplicativos

Manejo de bitácoras y pistas de auditorías durante la operación






2. Las aplicaciones sensitivas y de misión crítica deben contar con bitácoras de acceso y uso, que deben contener como mínimo:

Fecha y hora.

Usuario.

IP origen.

Registro de intentos de acceso fallidos.

Registro de accesos exitosos.

Registro de actividad de los usuarios.

Registro de cierre de sesión ya sea por inactividad o por parte del usuario.

Registro de consulta de las propias bitácoras.

Registro de errores y/o excepciones.

De la documentación de las aplicaciones

1. Todas las aplicaciones sensitivas y de misión crítica deberán estar documentadas en los siguientes niveles:

Arquitectura de la aplicación

Diagrama conceptual y de componentes de la aplicación

Diagrama de estructura de datos y de entidad – relación para las bases de datos

Control de cambios

Control de versiones

2. Toda la documentación de las aplicaciones deberá estar completa y actualizada: a. Interna al código fuente b. Diagrama conceptual c. Arquitectura de la aplicación d. De estructura de datos e. Diagramas entidad relación de las bases de datos

3. Toda la documentación deberá estar debidamente protegida y vigente de los desarrollos

De los ambientes de operación de las aplicaciones

1. Todas las aplicaciones sensitivas y de misión crítica deberán considerar al menos los siguientes tres ambientes segregados e independientes de operación:

Ambiente de producción

Ambiente de control de calidad y pruebas

Ambiente de desarrollos

2. El personal de desarrollo no deberá tener acceso en ningún momento al ambiente de producción. 3. No se deberá copiar información del ambiente de producción a los de control de calidad y pruebas ni

al de desarrollo. 4. Se deberá tener un control documentado de la migración de aplicaciones entre ambientes.

De seguridad para el desarrollo de aplicaciones

Para el desarrollo y adecuación de las aplicaciones propietarias se deberá cumplir con los siguientes

requerimientos:

1. Arquitecturas de los aplicativos considerando la seguridad respectiva 2. Manejo de los niveles de clasificación por los aplicativos y sistemas 3. Configuración de la operación de los aplicativos:

Inicio y duración de las sesiones






Transferencias de información en la red e Internet

Posibilidad de exportación de información masiva por los usuarios

Documentación protegida y vigente de los desarrollos

Manejo de las claves de usuarios y sus contraseñas de autenticación

Controles de acceso a las aplicaciones

Validación de las entradas o capturas iniciales

Controles de mitigación de Backdoors y de troyanos

Criptografía y manejo de llaves de encriptación

Manejo de bitácoras y de errores o problemas en los aplicativos

Manejo de bitácoras y pistas de auditorías de operación

Manejo obligado de segregación de funciones

Separación entre los aplicativos, los datos y los sistemas

De seguridad en las bases de datos

1. Para el desarrollo y adecuación de las aplicaciones propietarias se deberá cumplir con los siguientes requerimientos del manejo de las bases de datos:

Manejo de las claves de administradores de bases de datos

Separación de bases de datos

Documentación de la estructura de las bases de datos

Control sobre la inserción de Triggers

De seguridad en el almacenamiento de los datos

1. Los medios donde se almacene información sensitiva y confidencial deberá estar inventariada y etiquetada con el nivel de CONFIDENCIAL.

2. Los medios donde se almacene información CONFIDENCIAL se deberá dar el tratamiento de acuerdo a esta clasificación.

3. Los medios donde se almacenen respaldos o información de los contribuyentes o del SAT deberán estar sujetos a un procedimiento formal de destrucción o borrado seguro que debe contener como mínimo:

Solicitud y Autorización explícitas de la destrucción o borrado.

Actas de destrucción o borrado firmadas por el personal que lo realiza.






VI. CRIPTOGRAFÍA Y ENCRIPTACIÓN

1. Política de criptografía

1. Para la administración y protección de los certificados, llaves de encriptación y passphrases se llevarán registros de los hashes de control para cada una de las llaves, certificados y otros elementos de criptografía para asegurar la integridad de los mismos.

2. La solución implementada deberá cumplir con los controles de criptografía, independientemente del tipo de solución o arquitectura implementada.

3. Los mecanismos de criptografía deberán estar alineados a mejores estándares de seguridad y deberán prevenir el descifrado de llaves.

Estándares

1. Los hashes deberán ser verificados semanalmente y se mantendrá un registro de las revisiones mediante la documentación respectiva en la que se especificará:

a) Las llaves o certificados evaluados b) Los hashes de control esperados c) Los hashes de control obtenidos

2. Se generarán tickets de incidentes o documentación formal para darle seguimiento a las posibles desviaciones.

3. La ubicación física en donde se encuentre almacenada la llave privada del certificado digital que emite el SAT al PCCFDI y/o al PCRDD deberá encontrarse segregada:

No deberá haber personal operativo de forma regular.

Deberá mantenerse un registro de los accesos.

No deberá ingresar personal no monitoreado a esa zona.

4. Deberán registrarse todos los accesos físicos al dispositivo en donde se almacena la llave privada del certificado digital que el SAT le emitió al PCCFDI y/o al PCRDD.

5. Deberán registrarse todos los accesos lógicos y las operaciones en el dispositivo donde se almacena la llave privada del certificado digital que el SAT emitió al PCCFDI y/o al PCRDD.

6. El acceso al dispositivo que contiene la llave privada del certificado emitido por el SAT debe realizarse a través de una autenticación de la identidad de la persona que accede a dicho dispositivo.

7. La capacidad de ejecución de tareas a realizar en el dispositivo que almacena la llave privada del certificado emitido por el SAT deberá estar definida con base en roles.

Los roles de gestión y configuración de parámetros de seguridad deben ser asignados a personal

restringido con autorización y responsabilidad claramente asignada.

8. El dispositivo que almacena la llave privada del SAT debe contar con recubrimiento especial, sensible, que prevenga que el dispositivo sea abierto, o que al ser abierto, impida el acceso a la información.

9. Administración de parámetros críticos de seguridad (tal como la llave privada) en el dispositivo que almacene dicha llave.

10. Deberá registrarse formalmente el procedimiento de ingreso de la llave privada.

Esto se realizará frente a un testigo independiente y se generará un acta en la cual los participantes

firmarán que han atestiguado dicho ingreso y que la llave no fue copiada ni ha sido comprometida.

11. Una vez ingresada la llave privada al dispositivo que la almacenará, ésta ya no se almacenará en ningún otro dispositivo.






12. Se deberán implementar mecanismos de criptografía para soportar las siguientes funcionalidades: a) Autenticación de los clientes, PCCFDI y PCRDD. b) No repudiación de las transacciones. c) Inspección documental, entrevistas, revisión de archivos de configuración y pruebas de acceso a

la aplicación para asegurar que se han implementado mecanismos de criptografía para asegurar: a. La autenticación de los clientes, PCCFDI y/o PCRDD. b. La autenticación del PCCFDI y/o PCRDD con el SAT. c. No repudio de transacciones.

2. Política de encriptación

1. Toda la información clasificada como CONFIDENCIAL deberá estar encriptada de conformidad con los estándares de encriptación de datos.

Estándares

1. Las contraseñas de acceso (Passwords y Passphrases) deberán estar encriptadas para evitar su posible conocimiento por personal no autorizado.

2. La información clasificada como CONFIDENCIAL, deberá estar encriptada para evitar su posible conocimiento por personal no autorizado.

Este requerimiento incluye todos los medios de almacenamiento usados como bases de datos, discos,

unidades NAS y/o SAN, cintas, respaldos en sitio y fuera de sitio, etc.






VII: EN LAS OPERACIONES DE LA ORGANIZACIÓN

Antecedentes

La protección de la información en ATEB abarca más allá de la contenida adentro de la plataforma

tecnológica como lo son computadoras, servidores físicos y virtuales, redes, comunicaciones, medios de

almacenamiento digital, etc.

La salvaguarda de la información considera elementos externos como los datos en documentación

impresa, personal, el conocimiento de los colaboradores de la empresa, etc.

Además, la Gerencia de Sistemas, con el apoyo de sus proveedores externos del Data Centre y

Administrador de la plataforma tecnológica hospedada en el Data Centre, administra los recursos

informáticos requeridos para soportar la operación diaria de las operaciones de negocio.

Estos estándares representan el conjunto de requerimientos mínimos de seguridad informática que se

deben cumplir para garantizar la disponibilidad de los sistemas de información.

Al cumplir con las políticas y estándares de respaldo de la información, se establece una barrera de

seguridad que tiene el objetivo de asegurar la disponibilidad de los sistemas de información en todo

momento.

1. Política de personal

1. Selección y contratación.- En el proceso de selección de personal el área que busca capital humano deberá notificar claramente al área responsable de contratación de los colaboradores que se debe realizar la verificación de antecedentes de todos los candidatos a puestos internos de la empresa.

2. A todos los candidatos, el personal que desee ingresar a puestos internos de la empresa se les deberá llevar a cabo la verificación de antecedentes.

3. Al personal que ingrese a la organización y vaya a trabajar directamente con información sensitiva y/o confidencial de los clientes, deberá evaluarse si el candidato se somete a un proceso de evaluación de confianza.

4. Separación.- El área responsable del capital humano de la empresa deberá instrumentar los procedimientos necesarios para la devolución de los activos que el personal tuvo asignado mientras laboraba en la empresa.

5. Terceros. En el proceso de la administración y manejo de personal o empleados externos a la organización se deben de contemplar las siguientes figuras.

Empleados externos

Consultores externos

Proveedores de servicios

Se deben identificar los riesgos a la información de la organización, a cualquiera de las instalaciones de la organización y a las instalaciones del procesamiento de la información cuando se impliquen a terceros, tales como empleado externos a la organización, consultores externos y proveedores de servicios

Se deben implementar controles robustecidos apropiados antes de conceder el acceso a cualquier personal considerado como tercero o externo en la organización.






Estándares

1. Todos los empleados de nuevo ingreso deberán firmar un convenio de confidencialidad de la información con ATEB.

2. Todos los empleados que se separen de la organización deberán firmar un convenio o acuerdo de confidencialidad para garantizar que el personal dado de baja conservará sus obligaciones con respecto a la confidencialidad de la información a la que tuvo acceso durante su estancia en la empresa.

3. Se deben formalizar mediante un convenio respectivo o acuerdo de servicio las responsabilidades del personal externo con respecto a la seguridad de la información.

4. La formalización y la atención a los riesgos inducidos por terceros, puede pero no se debe limitar a la firma de convenios, entendimiento de los riesgos y secrecía contractual del personal externo con la información a la que se tuviera contacto con la organización.

5. La atención a los riesgos inducidos por terceros, puede pero no se debe limitar a controles de acceso robustecidos para la identificación, atención y vigilancia del personal externo que ingresa a las instalaciones de la organización e instalaciones de procesamiento de la organización.

2. Política de concientización de la seguridad informática

1. Se deberá contar con un programa de concientización de la seguridad de la información que considere los siguientes niveles de educación en materia de seguridad de la información:

Divulgación a todo el personal

Capacitación a todo el personal

Entrenamiento específico al personal que esté involucrado directamente en el manejo de información sensitiva y/o confidencial

El proceso de divulgación y capacitación de la seguridad informática sirve para concientizar y

sensibilizar a los trabajadores de lo que implica la seguridad dentro de la organización.

Es usada para enseñar a los empleados sus obligaciones y responsabilidades en cuanto a la

protección de los activos de la organización frente a las amenazas internas y externas.

Los empleados aprenderán a proteger la información de la empresa frente a los ataques electrónicos,

como virus y gusanos, la ingeniería social y otras las amenazas físicas, lógicas y de personal.

Los programas de sensibilización al personal en materia de seguridad de la información le permiten a

la organización el poder reducir el nivel de riesgo mediante la integración de la seguridad en todos los

procesos sustantivos del negocio.

2. El programa de concientización deberá tener una estructura y una metodología formal de conformidad con los estándares establecidos al respecto.

3. El alcance del programa de concientización considerará los siguientes elementos:

• Estructurar una campaña de comunicación. • Definición de las métricas para evaluación de la efectividad. • Reforzamiento de la campaña inicial.

Esto aplicará al personal de todos los niveles de la organización, desde los directivos hasta los empleados que no tengan contacto con la plataforma tecnológica para el desempeño de sus labores cotidianas.






Estándares

1. Todo el personal deberá pasar por un proceso de concientización de seguridad de la información y su reforzamiento respectivo al menos dos veces al año.

En este proceso de capacitación se tocarán diversos aspectos con respecto a la protección de la información y a la obligación y responsabilidad de los empleados en el manejo de la misma.

2. Todo el personal de nuevo ingreso a la empresa deberá pasar por un proceso de concientización de seguridad de la información como parte del proceso de inducción a la misma.

3. La metodología para la concientización del personal en materia de seguridad de la información deberá considerar al menos los siguientes elementos: a) Un diseño con la estrategia de concientización en seguridad b) Un proceso previo al inicio del programa de capacitación c) Lanzamiento y mantenimiento d) Evaluación del plan e) Reforzamiento de la campaña inicial

4. El diseño de la estrategia de concientización en seguridad deberá considerar los siguientes elementos:

Selección del patrocinador

Definición de metas y objetivos

Diagnóstico de cultura corporativa

Análisis de resultados

5. El proceso previo al inicio del programa de capacitación deberá considerar:

Estructuración de la campaña de concientización

Selección de tipo de campaña

Selección de medios de difusión

Elaboración de material escrito y electrónico

6. El lanzamiento y mantenimiento deberá considerar:

Definición de calendarios

Ejecución de eventos, conferencias y sesiones informativas

Publicación de medios impresos y electrónicos

7. La evaluación del plan deberá considerar:

Elaboración de las métricas de determinación de efectividad

Selección de herramientas

Ejecución de evaluación

8. El reforzamiento de la campaña inicial deberá considerar:

Análisis de resultados de la evaluación

Adecuaciones a la campaña

Desarrollo del plan de mantenimiento






3. Política de responsabilidad en el manejo de la seguridad de la información

1. Todo el personal deberá conocer sus responsabilidades con respecto al manejo de la información de ATEB.

2. Todo el personal deberá aceptar de manera formal su responsabilidad en el manejo de la seguridad de la información.

3. Todo el personal debe manejar de manera correcta y adecuada la información que operan diariamente en sus funciones laborales, manteniendo siempre la seguridad de la información como elemento clave.

Estándares

1. Se debe de informar mediante un acuerdo o formato por escrito los accesos a la información que el empleado puede ingresar, modificar y borrar.

2. La Gerencia de Capital Humano debe de tener las medidas necesarias para poder sancionar a los empleados que incurran en un mal manejo de la información y por consecuencia haya sido violada la seguridad de la información. Estas medidas pueden ser desde una llamada de atención hasta la separación de su cargo.

3. La Gerencia de Sistemas debe de contar con los mecanismos suficientes y sustentables para poder realizar verificaciones de No Repudio y control de cambios a la información que tienen accesos los empleados de ATEB.

4. Política de cumplimiento

Antecedentes

ATEB está totalmente comprometido con el cumplimiento regulatorio de las normas regulatorias

nacionales por lo que todos sus socios, directivos, empleados, colaboradores y proveedores también

deberán asumir este compromiso total. Adicionalmente la administración de la organización, sus productos

y servicios deben cumplir con los marcos regulatorios extranjeros para apoyar a sus clientes que lo

requieran y así darle una ventaja competitiva a la empresa sobre su competencia.

Ningún socio, directivo, empleado o colaborador tendrá actitudes en contra de estas disposiciones.

1. Política de compromiso de cumplimiento

1. ATEB está comprometido totalmente con el cumplimiento regulatorio de las normas regulatorias nacionales por lo que todos sus socios, directivos, empleados y colaboradores y proveedores también deberán asumir este compromiso total.

2. La administración de la organización, sus productos y servicios deben cumplir con los marcos regulatorios extranjeros para apoyar a sus clientes que lo requieran y así darle una ventaja competitiva a la empresa sobre su competencia.

2. Política de debido cuidado (Due care)

1. Los socios y directivos de la organización deberán tener en todo momento el debido cuidado (Due Care) de que la empresa asuma la responsabilidad de las actividades que tienen lugar dentro de la corporación y de que se tomen las medidas necesarias para ayudar a proteger a la empresa, sus recursos y a los empleados de posibles amenazas.

En la organización se practicará el debido cuidado por medio del desarrollo, implementación y

verificación del cumplimiento de políticas, estándares y procedimientos de seguridad de la información.

De esta manera se mostrará que se está actuando de forma responsable y tendrá una menor

probabilidad de ser encontrados negligentes y responsables si algo que se lleva a cabo con el manejo

de la información sale mal.






Due care = Hacer lo correcto

3. Política de diligencia debida (Due diligence)

La diligencia debida es tener el cuidado en ejecutar algo.

Due Diligence = Proceso de buscar y detectar irregularidades

1. Los socios y directivos de la organización instrumentarán controles suficientes para investigar y comprender las amenazas que enfrenta la compañía y determinar el nivel de riesgo de la misma.

2. Los socios y directivos tomarán las acciones necesarias para llevar el nivel de riesgo de la organización a un nivel aceptado y tolerado de conformidad con los lineamientos que se establezcan en la estrategia de gestión de riesgos corporativos.

4. Política de ética en ATEB

1. Los colaboradores de ATEB en las distintas áreas, deberán asegurar que las actividades realizadas dentro de la organización estén apegadas a los valores, ética, políticas, procedimientos, leyes y normativas, aplicables en la organización.

2. La comunidad de ATEB deberá de interactuar de manera respetuosa con los compañeros, colaboradores, jefes, competencia, proveedores, clientes, accionistas y con la sociedad en general, promoviendo siempre un trato amable, de igualdad, cortés, responsable, ético y de sana convivencia.

3. ATEB, en todos los niveles jerárquicos, deberá tener un trato responsable, ético y transparente con las entidades de gobierno, no deberán aceptar ni hacer, ningún tipo de ofrecimiento de cualquier índole por parte de o hacia éstas, evitando así malas interpretaciones por parte de nuestros grupos de interés.

4. Los colaboradores de ATEB deberán cumplir expresamente con las leyes aplicables a todos los ciudadanos, ser partícipes de los usos y costumbres de la sociedad, ejercer sus profesiones con ética, realizar actos seguros que no pongan en riesgo su salud o la de sus compañeros dentro de la empresa, promover la calidad de vida con su familia, con la empresa y con el país.

5. Todos los colaboradores de ATEB deberán conocer y respetar las políticas establecidas al interior de las áreas, así como las generales, por su parte la Dirección y Gerentes de las áreas se asegurarán que sean comunicadas, revisadas y actualizadas al menos una vez al año.

Estándares

1. Los socios y directivos tomarán las acciones necesarias para realizar un proceso de verificación del cumplimiento del marco normativo nacional así como de los estándares y políticas corporativas.






5. Política de protecciones de datos e información

1. Se deben generar respaldos de los activos y la información que dan soporte a las aplicaciones sensitivas y de misión crítica, por lo que los datos e información de estos considerados, se protegerán o respaldarán diariamente.

2. Los tipos de respaldos serán los diarios, semanales e históricos mensuales.

3. Los datos de operación diaria, en respaldos e históricos serán resguardados y custodiados en todo momento por la Gerencia de Sistemas. Los medios de almacenamiento en dónde se resguarden los datos deberá estar etiquetada conforme a la política de clasificación de la información.

Estándares

1. Las protecciones semanales serán los fines de semana por las noches mediante el proceso de “full backups”.

Solamente se respaldarán los datos.

2. Las protecciones diarias serán por las noches mediante el proceso de “backups” incrementales o diferenciales.

Solamente se respaldarán los datos.

3. Las protecciones mensuales serán el último día de cada mes por las noches mediante el proceso de “full backups”.

Se respaldarán los datos históricos del mes, las aplicaciones, los sistemas operativos y sus utilerías,

los manejadores de bases de datos, la configuración de los equipos y de las aplicaciones, las llaves

criptográficas y contraseñas vigentes.

4. La custodia y resguardo de esta información será por parte del área de Operaciones de la Gerencia de Sistemas.

5. Se tendrán bitácoras con al menos la siguiente información:

Tipos de respaldos

Periodicidad de los mismos

Respaldos de las pistas de auditorías y de trazabilidad de las operaciones

Resguardos In site

Resguardos Off site

Etiquetado de los respaldos

Disposición de los medios físicos de los respaldos

6. Para los proveedores externos de centros de cómputo y de los Security Operation Center (SOC’s) 7. El procedimiento de los respaldos considerará al menos las siguientes actividades:

ACTIVIDAD DESCRIPCIÓN

Copias de

seguridad de la

información

Es el proceso de copiar los datos de un medio de almacenamiento a otro.

Incluye las utilerías de Copy & Backup de las bases de datos.

Verificación de las

copias de seguridad

Es el proceso de revisar que las protecciones hayan sido bien realizadas,

que estén completas y sean correctas.

Validación de las

copias de seguridad

Es el proceso por el cual los dueños de los datos pueden obtener

información considerando como fueron copiados esos datos.






ACTIVIDAD DESCRIPCIÓN

Mecanismos de

comprobación

Se tendrán tres mecanismos de control para la comprobación de las

protecciones:

1. Las que emitan los sistemas de respaldo.

2. Las de análisis de los reportes que emitan los sistemas de respaldo como son la verificación de:

La duración de la protección

Tamaño de los respaldos

Cantidad de registros escritos

Tendencias respectivas en duración y tamaño de datos

3. La restauración de la protección y la validación respectiva por parte de los dueños de los datos.

Restauración de las

copias de seguridad

Es el proceso de una recomposición real del ambiente de producción

cuando llegue a presentarse un problema de pérdida o inconsistencia de

información.

Registro y

etiquetado de las

copias de seguridad

Es el proceso de identificación de los activos mediante las fechas en el

formato del día, mes y año de creación de las copias de seguridad.

Protección de las

copias de seguridad

Es el proceso de proteger y custodiar los medios externos de las copias de

seguridad en las bóvedas de ATEB:

Del Data Centre primario

Del Data Centre secundario o alterno

En la bóveda externa de ATEB

Así como en y durante su traslado entre estas bóvedas.

Codificación de las

cintas de respaldo

(Encriptación)

Es el proceso de cifrado de las cintas donde se almacenan los respaldos

de los activos o copias de seguridad de la organización para evitar su

posible conocimiento por personal no autorizado.

Decodificación de

las cintas de

respaldo

(Desencriptación)

Es el proceso de descifrado de las cintas donde se almacenan los

respaldos de los activos o copias de seguridad de la organización para la

restauración o para su posible conocimiento por personal autorizado.

Identificación de

problemas

Es el proceso de identificación de un problema de seguridad con la

creación de uno o más respaldos o copias de seguridad. Identificados por

la fecha de creación y fecha de remediación.

Bitácoras de los

respaldos

Se llevará el registro de actividades del proceso de protecciones y

recuperaciones de datos en una bitácora.

Se llevará el registro de una bitácora separada en independiente por cada

centro de datos.






6. Política de protección contra software malicioso

1. Se requiere el aseguramiento del compromiso institucional de la información mediante la protección contra código malicioso mediante el uso de programas antivirus, antispam, antispyware.

Estándares

1. Todos los equipos deberán estar protegidos por programas antivirus, firewalls, antispam, antispyware. antimalware en general.

2. Se deberán establecer mecanismos automatizados para que se actualicen de manera automática las listas negras y el motor del antivirus.

3. Las estaciones de trabajo, los equipos como laptops y dispositivos móviles de la empresa deberán tener un motor de antivirus diferente al de los servidores.

4. Los empleados y colaboradores no deberán tener autorización para modificar la configuración de las herramientas de protección de sus equipos.

5. Los equipos al detectar código malicioso deberán generar alertas que se comuniquen al área de Operación de la Gerencia de Sistemas para ser revisado y corregido el incidente.

6. El área de seguridad deberá llevar bitácoras de los incidentes, sus seguimientos y remediación de los problemas en cuestión del código malicioso.

7. Política de escritorio limpio

La presente política describe la protección de cualquier tipo de información, en cualquiera de sus formas

que puedan estar contenidas en escritorios del centro de trabajo y en general todo tipo de información que

es utilizada por cualquier colaborador de ATEB, para apoyar la realización de sus actividades laborales.

1. La información sensitiva y confidencial no solamente reside dentro de la plataforma tecnológica, también se presenta en forma impresa como contratos de confidencialidad de los clientes, estrategias de negocio, información de datos privados de personas, etc. Es por ese motivo que la información impresa se debe proteger y salvaguardar de su divulgación no autorizada.

2. La información privada no solamente reside dentro de la plataforma tecnológica, también se presenta en forma impresa. Es por ese motivo que la información impresa se debe proteger y salvaguardar de su divulgación no autorizada.

3. Cualquier dato sensible, privado o del ámbito confidencial, en el cual su clasificación contenga la calidad de la información y clasificación de la misma deberá de ser no accesible por cualquier usuario no autorizado en la organización incluyendo usuarios internos y externos, mediante el guardado de la información en anaqueles, gavetas o medios de seguridad que puedan proteger la fácil accesibilidad a este tipo de información.

Estándares

1. Todos los empleados internos así como los colaboradores externos deberán tener su entorno de trabajo y escritorio libre de información sensitiva y confidencial.

2. Todos los empleados internos así como los colaboradores externos deberán al final de sus jornadas laborales dejar sus escritorios limpios de información sensitiva y confidencial.

3. Todos los empleados internos así como los colaboradores externos deberán al final de sus jornadas laborales guardar su equipo de cómputo en cajones, anaqueles, gavetas, cajas fuertes o cualquier






medio que proteja el equipo de cómputo de un robo, debiendo tener como mínimo mecanismos de seguridad como chapas con llave, candados o mecanismos de combinaciones.

4. Todos los empleados internos así como los colaboradores externos deberán al final de sus jornadas laborales guardar todos los documentos que contengan información sensitiva y confidencial en cajones, anaqueles, gavetas, cajas fuertes o cualquier medio que proteja la información con mecanismos de seguridad como chapas con llave, candados o mecanismos de combinaciones.

5. Todos los empleados deberán realizar como última actividad de labores revisar que su entorno de trabajo esté limpio y los lugares que sirvan de repositorio de información sensitiva y confidencial estén bien cerrados con llave y/o candado.

6. Se deben de implementar controles que brinden la seguridad necesaria para que los íconos del escritorio del sistema operativo de todos los equipos de cómputo no sean accesibles para sustracción de la información. Haciendo no necesaria la aplicación de éste control a los servidores de la organización.

7. Todos los empleados deberán tener su pantalla del equipo de cómputo despejada de información que pueda ser relevante, como pueden ser; notas con información de contraseñas, direcciones IP, o algún otro tipo de información que ponga en riesgo la confidencialidad, integridad y disponibilidad de la información.

8. Política de equipo desatendido

La presente política debe garantizar que los equipos desatendidos sean protegidos adecuadamente,

requiriendo una protección específica contra accesos no autorizados cuando se encuentren desatendidos.

1. Todas las computadoras personales, laptops y estaciones de trabajo deberán estar salvaguardadas por un protector de pantalla con password y establecer una activación automática máximo a los 10 minutos o menos de inactividad o de que el equipo esté desatendido.

2. El password deberá cumplir la política de identificación y autenticación y nunca se deberá de eximir de un password para el inicio o reinicio de sesión.

Estándares

1. Todos los empleados internos deberán cumplir con el protector de pantalla mediante el uso de herramientas de administración que garanticen el tiempo exacto de activación del salvapantallas.

2. Todos los empleados internos deberán cumplir con la activación del protector de pantalla cuando vayan a retirarse, levantarse o separarse por un breve tiempo de su área de trabajo.

3. Todos los empleados internos deberán cumplir la desactivación del salvapantallas mediante password, cuando regresen a su área de trabajo.

4. Todos los colaboradores externos deberán de cumplir con el protector de pantalla mediante el cumplimiento en tiempo y forma en el tiempo que se encuentren laborando en las oficinas de ATEB, cuando vayan a retirarse, levantarse o separarse por un breve tiempo de su área de trabajo. Es necesario que el personal de ATEB de contacto con los externos dentro de la organización informen siempre del cumplimiento de la política.

5. Todos los colaboradores externos deberán de cumplir con la desactivación del salvapantallas mediante password, cuando regresen a su área de trabajo.






9. Política de uso permitido de los activos de la organización

La presente política describe el uso aceptable de los activos de la organización para facilitar y agilizar los

procesos y mejorar la calidad en la prestación de servicios. La mejora de los procesos en los sistemas de

información supone regular el uso apropiado de sus componentes y equipos, así como la implantación de

aquellas medidas necesarias para garantizar la confidencialidad de la información.

A. Sobre el buen uso de los activos Informáticos

1. El equipo de cómputo que ATEB hace entrega a sus empleados para realizar sus funciones laborales, está otorgado de acuerdo y en base a las funciones de sus roles y responsabilidades respectivas y es propiedad de la organización.

2. El equipo de cómputo que ATEB hace entrega a sus empleados para realizar sus funciones laborales, es para uso exclusivo a las actividades relacionadas a las labores de la empresa, en base a las funciones de sus roles y responsabilidades respectivas y encomendadas por la organización.

3. Todos los accesorios de cómputo (diademas telefónicas, mouse, teclado, etc.) que ATEB entrega a

sus empleados para realizar sus funciones, son para uso exclusivo a las actividades relacionadas a las labores de la empresa y encomendadas por la organización.

B. Sobre el buen uso del software

4. El software que se entrega instalado en los equipos de cómputo de ATEB, es propiedad de la

organización en el caso del software licenciado.

5. El software libre que se entrega instalado en los equipos de cómputo de ATEB, es propiedad bajo el régimen de las licencias GNU, GNU-2, BSD, MIT, etc. Y está licenciado o permitido su uso, siempre bajo los regímenes de las licencias correspondientes de las fundaciones y organizaciones creadoras y dueñas del software.

6. El software libre que se entrega instalado en los equipos de cómputo, es para uso exclusivo a las actividades relacionadas a las labores de la empresa y encomendadas por la organización.

C. Sobre el buen uso de los sistemas de información

7. Los sistemas de información de ATEB, incluyendo los programas, aplicaciones y archivos electrónicos,

pertenecen a ATEB, y solo pueden utilizarse para fines relacionados al desempeño de las tareas que los empleados tengan encomendadas como personal de la organización.

8. Los sistemas de información y las herramientas asociadas de ATEB, solo pueden ser utilizados por personal debidamente autorizado. Será responsabilidad de cada área definir las tareas que conlleven acceso a tales herramientas. No se autoriza su uso con fines personales.

9. La información desarrollada, transmitida o almacenada en los sistemas de información de ATEB

pertenecen a ATEB. 10. No está permitido la creación de ficheros con datos personales sin la conformidad autorizada por el

departamento de sistemas, de seguridad de información y la alta gerencia, con el objeto de adoptar las medidas necesarias para asegurar la legalidad y seguridad del tratamiento de la información personal.






11. Los programas o software y recursos utilizados en ATEB deben tener su correspondiente licencia en vigor o autorización de uso explícita para poder ser utilizados. Dichos programas o software solo podrán ser instalados por personal autorizado para tales efectos.

Estándares

1. Los activos informáticos en ATEB son para uso exclusivo relacionado con los giros del negocio de la organización, por lo que los empleados y colaboradores externos deberán utilizar los activos informáticos para fines únicamente laborales y para cumplir con sus funciones de trabajo hacia ATEB.

2. El software y recursos informáticos en ATEB son para uso exclusivo relacionado con los giros del negocio de la organización, por lo que los empleados y colaboradores externos deberán utilizar los activos informáticos para fines únicamente laborales y para cumplir con sus funciones de trabajo hacia ATEB.

3. Cualquier desviación sobre el uso permitido de cualquiera de los activos informáticos en la organización debe de requerir el permiso y desviación correspondiente, siempre que no marque una falta referente a la Política de uso inaceptable de los recursos informáticos dentro de la empresa.

10. Política de uso inaceptable de los recursos informáticos

1. Bajo ninguna circunstancia los empleados y colaboradores podrán realizar actividades ilegales de ningún tipo.

2. Los activos informáticos de ATEB son para uso exclusivo relacionado con los giros de negocio de la organización por lo que los empleados y colaboradores externos no podrán utilizar los activos informáticos para fines personales, de entretenimiento o diferentes a los relacionados directamente con las funciones de sus roles y responsabilidades respectivos.

Estándares

Para las actividades de los sistemas informáticos

Las actividades que se mencionan a continuación están prohibidas en general.

Las siguientes listas no son exhaustivas, pero intentan proveer un marco de referencia para las actividades

que caen en la categoría de uso inaceptable.

Las siguientes actividades están estrictamente prohibidas, sin excepciones, salvedades ni desviaciones.

1. Violar los derechos de cualquier persona o compañía protegidos por derechos de autor, copyright, marcas registradas, secretos comerciales, patentes o cualquier otra propiedad intelectual o protegidas por leyes o regulaciones similares, incluyendo pero no limitando a la instalación o distribución de productos “piratas” o “pirateados” u otros productos de software que no estén autorizados y debidamente licenciados para el uso expreso de ATEB.

2. Realizar copias no autorizadas de material, incluyendo pero no limitando a la digitalización y distribución de fotografías de revistas, libros u otras fuentes con protección de derechos de autor, copiar música y la instalación de cualquier software que no le haya sido asignado al empleado por ATEB está estrictamente prohibido.

3. La introducción e instalación de programas maliciosos en cualquier medio, dispositivo, servidor o estación de trabajo de la a red de cómputo. (Ej. Programas sniffers, de desencriptación de passwords, virus, gusanos, caballos de Troya, etc.).






4. Revelar el USER ID y el password a cualquier persona, incluso dentro de la organización o permitir el uso de la cuenta de usuario por otras personas. Esto incluye a miembros de la familia, amistades, gente de sistemas y a todos los compañeros de trabajo.

5. Utilizar cualquier activo y sistema informático para conseguir, visualizar, distribuir materiales de índole sexual.

6. Utilizar cualquier activo y sistema informático de ATEB para conseguir o distribuir material de discriminación de cualquier tipo, incluyendo pero no limitando a discriminación sexual, racial, religiosa, ya sea por medio de intolerancia, de humor y sarcasmos.

7. Realizar el ofrecimiento de productos y servicios fraudulentos originados desde una cuenta de usuario de ATEB.

8. Hacer declaraciones de garantías, expresas o implícitas a menos de que forme parte de la rutina diaria de las responsabilidades de trabajo.

9. Buscar, generar, explotar brechas de seguridad informática en los sistemas de información de ATEB. Las brechas de seguridad informática incluyen pero no se limitan a: acceder datos e información al cual el empleado no tenga autorización expresa de consultar o modificar; intentar entrar al sistema de información con un USER ID que no está autorizado expresamente a utilizar;

10. Generar, explotar o realizar interrupciones en la red de comunicaciones de ATEB. para los propósitos de la presente política, incluye pero no se limita a realizar network sniffing, mandar pinged floods, secuestros y suplantaciones de paquetes de información y la negación de servicios.

11. Búsquedas de puertos o búsquedas de vulnerabilidades de seguridad informática está explícitamente prohibido, con la excepción de una autorización expresa por parte del ISO para las tareas del área de mantenimiento y operación de comunicaciones. Estas áreas no podrán ejecutar estas búsquedas sin la autorización previa y documentada apropiadamente.

12. Ejecutar cualquier tipo de monitoreo a las redes de cómputo y comunicaciones de ATEB. Que intercepten información que no está destinada para el empleado.

13. Burlar o esquivar el proceso de identificación y autenticación de usuario en cualquier sistema de información.

14. Realizar y perpetrar ataques de negación de servicios contra cualquier sistema de información.

15. Utilizar cualquier programa, script o comando o enviar mensajes de cualquier tipo con la intención de interferir o deshabilitar la sesión de un usuario, sin importar la vía por la que se mande, ya sea de manera local por Internet, Intranet o Extranet.

16. Divulgar información acerca de clientes o listados de clientes de ATEB a individuos fuera de la organización está estrictamente prohibido.

17. Divulgar información acerca de empleados o listados de empleados a individuos fuera de la organización.

Para las actividades de correo electrónico y de comunicaciones

1. Enviar mensajes de correo electrónico no solicitados, que incluye anuncios y propaganda a individuos que no requirieron específicamente este material. Este proceso también es conocido como envío de SPAM.

2. Enviar mensajes de correo electrónico de índole sexual.

3. Enviar mensajes de correo electrónico de índole discriminatorio o de hostigación de cualquier tipo, incluyendo pero no limitando a discriminación sexual, racial, étnica y religiosa ya sea por medio de intolerancia, de humor o sarcasmos.

4. Uso no permitido para falsificar la información de los encabezados de los correos electrónicos.






5. Crear o reenviar correspondencias “cadena” “pirámides” u otro esquema de cualquier tipo con la misma intención de los correos masivos. Incluso para grupos y foros de discusión.

6. El uso de los sistemas de información de ATEB para beneficio personal como puede ser publicaciones, anuncios, búsqueda de empleos u hospedar servicios ajenos a los objetivos de negocio de la empresa.

11. Política para la gestión de incidentes de seguridad

Antecedentes.

Los directivos, gerentes y empleados dentro de la organización deben de considerar la seguridad de la

información como una prioridad primaria ya que ésta tiene un impacto directo y material sobre los

resultados del trabajo.

A fin de minimizar el daño que producen los incidentes de seguridad, lograr la recuperación y aprender de

tales incidentes, se debe de establecer una capacidad formal de respuesta a incidentes dentro de la

organización. La respuesta a incidentes dentro de la organización incluye las siguientes etapas:

Planificación y preparación

Detección

Iniciación

Registro

Evaluación

Contención

Erradicación

Escalamiento

Respuesta

Recuperación

Cierre

Presentación de la información

Revisión posterior al incidente

Lecciones aprendidas

Definición de un evento de seguridad. Es una ocurrencia identificada en el estado de un sistema, servicio

o red, indicando una posible violación de la seguridad de la información, política o falla de los controles, o

una situación previamente desconocida que puede ser relevante para la seguridad.

Definición de falla de medidas de seguridad. Es una situación previamente desconocida que pueda ser

relevante para la seguridad. Son ejemplos de este tipo de eventos:

Un usuario que se conecta a un sistema

Un intento fallido de un usuario para ingresar a una aplicación

Un firewall que permite o bloquea un acceso

Una notificación de cambio de contraseña de un usuario privilegiado, etc.

Se debe destacar que un evento de seguridad informática no es necesariamente una ocurrencia maliciosa

o adversa.

Definición de un Problema de Seguridad. Es una situación previamente conocida que pueda ser

relevante para la seguridad.

Definición de un Incidente de Seguridad. Es un hecho o amenaza que atenta contra la confidencialidad,

integridad o disponibilidad de un sistema de seguridad de información. Según la norma ISO 27035, un

Incidente de seguridad de la información es indicado por un único o una serie de eventos de seguridad de






la información pueden ser indeseados o inesperados y que tienen una probabilidad significativa de

comprometer las operaciones de negocio y de amenazar la seguridad de la información.

1. Se deberá tener un proceso permanente de vigilancia y monitoreo de la infraestructura que sustenta la operación de los procesos sensitivos y de misión crítica para detectar oportunamente y poder contener el impacto de eventos inciertos como son los incidentes y problemas de seguridad que pudieran ocurrir a estos procesos.

2. Los eventos que se van a monitorear y registrar permanentemente son todos los relacionados con las siguientes actividades:

Uso de cuentas privilegiadas

Accesos no autorizados

Prácticas de ingeniería social

Robo de información

Borrado de información por personal no autorizado

Alteración de información por personal no autorizado

La introducción de malware en la infraestructura tecnológica como virus, troyanos, ransomware, bombas lógicas, gusanos y etc.

La denegación del servicio o eventos que ocasionen pérdidas, tiempos de respuesta no aceptables o no cumplimiento de acuerdos a los niveles de servicio existentes de la organización.

Situaciones externas que comprometan la seguridad de sistemas, como quiebra de compañías de software que atienden a la organización, condiciones de salud de los administradores de los sistemas de la organización, etc.

Acceso directo a los equipos que sustentan las aplicaciones sensitivas y de misión crítica para la empresa, como son los HSM

Consultas y modificaciones a los datos de las aplicaciones sensitivas y de misión crítica por usuarios autorizados

Intentos de consultas y modificaciones a datos en aplicaciones sensitivas y de misión crítica por usuarios no autorizados

Eventos de seguridad que se definan a nivel del sistema operativo

Eventos de seguridad que se definan a nivel de las aplicaciones

3. El área responsable del cumplimiento normativo en la organización deberá definir y establecer un procedimiento de comunicación con las autoridades respectivas en caso de presentarse incidentes y problemas que deban serles reportados.

En el procedimiento se deberán establecer controles necesarios y suficientes para garantizar que las

autoridades fueron avisadas de manera oportuna.

4. El área responsable del cumplimiento normativo en la organización deberá definir y establecer un procedimiento de comunicación con el SAT.

Estándares

1. De los eventos que se van a monitorear y registrar permanentemente se deberán realizar las siguientes actividades:

Identificación de incidentes y problemas

Registro de incidentes y problemas

Notificación de incidentes y problemas y proceso para escalar los problemas

Seguimiento de incidentes y problemas

2. El área responsable del cumplimiento normativo en la organización será la que realice las notificaciones respectivas al SAT en caso de que se suscite algún Incidente o problema de seguridad que pudiera comprometer la información de los Contribuyentes.






12. Política de acuerdos de confidencialidad

1. Se debe de tener un proceso permanente, constante y de renovación supervisada de acuerdos de

confidencialidad entre las siguientes instancias y personas:

Acuerdos de confidencialidad entre el SAT y ATEB.

Acuerdos de confidencialidad entre ATEB y el personal interno de ATEB.

Acuerdos de confidencialidad entre ATEB y el personal externo que realice funciones que involucre manejo de información sensible o acceso a la infraestructura de ATEB.

Acuerdo de confidencialidad entre ATEB y sus aliados de negocio.

Acuerdo de confidencialidad entre ATEB y terceros.

2. Los acuerdos de confidencialidad deberán de ser renovados cuando la figura de representación en

cualquiera de las instancias cambien o sean remplazadas.

3. Los acuerdos de confidencialidad deberán de ser firmados por la figura de representante legal, la

persona asignada por la instancia o por la persona encargada de la seguridad informática de las instancias

mencionadas.

Estándares

1. Los acuerdos de confidencialidad deberán de ser firmados y avalados con documentación que

demuestre la identidad de la persona que ha firmado.

2. Si alguna persona representante legal, encargada o asignada por alguna instancia ha sido cambiada,

removida o está fuera de las capacidades de representación para su firma en los documentos de acuerdos

de confidencialidad, se deberá de generar un acuerdo de confidencialidad nuevo con la nueva figura de la

persona asignada.

13. Política de contacto con las autoridades

1. Se debe de tener en ATEB contacto con las autoridades gubernamentales para los siguientes procesos:

Procesos administrativos.

Procesos de aviso de eventualidades.

Procesos por motivos de los procesos de certificación de ATEB.

Notificación de incidentes de seguridad

Estándares

1. Se debe de tener en ATEB un directorio que incluya pero no se limite a nombres, teléfonos y direcciones

de correo electrónico de las personas de contacto como autoridad para ATEB.

2. La lista directorio de contactos deberá ser administrada y actualizada por el grupo de contacto de la

organización.

14. Política para la adquisición, desarrollo y mantenimiento de sistemas de información

1. Se debe de asegurar y garantizar que la seguridad es parte integral de los sistemas de información. 2. Se debe de evitar errores, pérdidas, modificaciones no autorizadas o mal uso de la información en las

aplicaciones. 3. Se deben de proteger la confidencialidad, autenticidad e integridad de la información con la ayuda de

técnicas criptográficas.






4. Se debe de garantizar la seguridad de los sistemas de archivos de sistemas operativos, aplicaciones de negocio, aplicaciones estándar o de uso generalizado, servicios y aplicaciones desarrolladas por ATEB y por los usuarios.

5. Se debe de evitar la exposición de datos sensibles en entornos de prueba. 6. Se debe de mantener la seguridad del software de los sistemas, sistemas operativos, aplicaciones

estándar o de uso generalizado, servicios y aplicaciones desarrolladas por ATEB y por los usuarios y la información.

7. Se debe de garantizar la reducción en los riesgos originados por la explotación de vulnerabilidades técnicas publicadas y tratar de mitigar la ejecución de vulnerabilidades técnicas de día Zero.

Estándares

1. Se debe de tener un constante control de los sistemas de información en los cuales se incluyen los sistemas operativos, infraestructuras, aplicaciones de negocio, aplicaciones estándar o de uso generalizado, servicios, licencias de software, licencias de hardware y aplicaciones desarrolladas por ATEB y por los usuarios.

2. Los requisitos de seguridad deberán ser identificados y consensuados previamente al desarrollo e implantación de los sistemas de información. La responsabilidad de las buenas prácticas para los riesgos asociados deberán de ser provistos por el Área de Seguridad Informática. Es total la responsabilidad de la identificación de los requisitos de seguridad por parte del Contralor de Aplicaciones.

3. Todos los requisitos de seguridad deberán identificarse en la fase de recopilación de requisitos de un proyecto y ser justificados, aceptados y documentados como parte del proceso completo para un sistema de información. Es total la responsabilidad de la identificación de los requisitos de seguridad por parte del Contralor de Aplicaciones.

4. Todas las vulnerabilidades comunes o actuales en aplicaciones que identifique, se debe de implementar las medidas protectoras o defensivas apropiadas. Es total la responsabilidad de la identificación de los requisitos de seguridad por parte del Contralor de Aplicaciones y la verificación por parte del ISO.

5. Se deben diseñar controles apropiados en las propias aplicaciones, incluidas las desarrolladas por los propios usuarios, para asegurar el procesamiento correcto de la información. Estos controles deben incluir la validación de los datos de entrada, el tratamiento interno y los datos de salida. En todos los controles debe figurar como administrador principal el Contralor de Aplicaciones.

6. Si requirieran controles adicionales al User y el password para los sistemas que procesan o tienen algún efecto en activos de información de carácter sensible, valioso o crítico, dichos controles deberán ser determinados en función de los requisitos de seguridad y la estimación del riesgo. Esto lo determinara el ISO y deberá siempre de tener conocimiento y acceso a estos controles el Contralor de Aplicaciones.

7. Se deben de controlar estrictamente los entornos de desarrollo de proyectos, de calidad y de producción. Este control lo debe de administrar, controlar y proveer el Gerente de Sistemas y lo validará el Gerente de Desarrollo y el Contralor de Aplicaciones.

8. Se debe de controlar el acceso a los archivos de sistema, a los de sistemas operativos y código fuente de los programas. Los proyectos y las actividades de soporte deben ser siempre elaborados en modo seguro con cuentas que no sean las de administrador o Root. Estos entornos los administrará y proveerá el Gerente de Sistemas y validará el Contralor de Aplicaciones, teniendo como punto de partida la línea mínima de seguridad de la organización.

9. Se debe de Incorporar la seguridad de la información al ciclo de vida de desarrollo de sistemas en todas sus fases, desde la concepción hasta la desaparición de un sistema, por medio de la inclusión de "recordatorios o mensajes" sobre seguridad en los procedimientos y métodos de desarrollo, operaciones y gestión de cambios. Este control lo deberá de proporcionar el Contralor de Aplicaciones y será supervisado por el ISO.

10. Se deben de aplicar constantemente y de forma periódica permanente estándares de seguridad, asegurando que se siguen las recomendaciones de organizaciones, institutos o grupos de interés al igual que fabricantes de sistemas, fabricantes de software y fabricantes de hardware. Este control lo






deberá de proporcionar el ISO, el cual dará las instrucciones para que sean aplicadas por parte del Área de Sistemas o del Área de Contralor de Aplicaciones.

11. Se debe implantar una gestión de vulnerabilidades técnicas siguiendo un método efectivo, sistemático y cíclico, con la toma de medidas que confirmen su efectividad. Considerando sistemas operativos, así como todas las aplicaciones que se encuentren en uso. Este control lo deberá de proporcionar el Gerente de Sistemas y será supervisado por el ISO.

12. Se debe de hacer un seguimiento constante de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible (p. ej., Microsoft Update o Secunia Software Inspector). a) Evaluando la relevancia y criticidad o urgencia de los parches en su entorno tecnológico. b) Probando y aplicando los parches críticos, o tomar otras medidas de protección, tan rápida y

extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y que estén siendo explotadas fuera activamente.

Este control lo deberá de proporcionar el ISO, probado por el Área de Contralor de Aplicaciones y será

aplicado por la Gerencia de Sistemas.

13. Se debe evitar quedarse atrás en la rutina de actualización de versiones de los sistemas que quedan fuera de soporte por el fabricante. Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchar la mitad de los sistemas vulnerables, evitando variaciones circunstanciales debidas a retrasos en unos pocos sistemas, tales como equipos portátiles fuera de la empresa o almacenados). Este control lo deberá de proporcionar el ISO y será aplicado por la Gerencia de Sistemas.

15. Política de relación con proveedores

1. Se debe de tener y mantener el nivel más alto de seguridad de la información para la entrega de los servicios contratados en línea con los acuerdos de entrega de servicios de terceros.

2. Se debe siempre supervisar la implementación de los acuerdos, monitorear su cumplimiento con los estándares y manejar los cambios para asegurar que los servicios sean entregados para satisfacer todos los requerimientos acordados con terceras personas.

3. La seguridad de la información, la seguridad de las instalaciones, la seguridad de la infraestructura y de procesamiento de la información no debe ser reducida por la introducción de un proveedor, servicio o producto externo.

4. Se debe de tener siempre un acuerdo de confidencialidad de la información haciendo cumplir la política de acuerdos de confidencialidad.

5. Se debe tener un contrato con los clientes del servicio que incluya cláusulas de confidencialidad, cláusulas de auditoría de servicios y cláusulas de seguridad de la información, cláusulas de propiedad de la información.

Estándares

1. Se deben de controlar los accesos físicos y lógicos de los proveedores externos, de los terceros, de los servicios y a los dispositivos de tratamiento de información de la organización, con un monitoreo constante y un registro de entrada y salida, pudiendo ser este registro físico o lógico mediante algún software.

2. Todos los proveedores externos a ATEB si requieren conectar cualquier equipo de cómputo por motivos del desempeño del servicio que van a entregar, ajeno a la infraestructura de ATEB deben de solicitar un escaneo de software malicioso y un visto bueno por parte de la Gerencia de Sistemas. Si la Gerencia de Sistemas determina que el equipo es apto para conectarse a la infraestructura de ATEB lo podrá hacer siempre con supervisión de la Gerencia de Sistemas.

3. Ningún equipo de proveedores externos que no sean específicamente de uso único para la entrega de servicios se pueden conectar a la infraestructura de ATEB.

4. Cualquier dispositivo electrónico como teléfonos celulares, PDA, tablets o dispositivos de consulta de correo electrónico pertenecientes a proveedores externos y que requieran conexión a internet solo






podrán ser conectados a la red de invitados de ATEB, la cual solo provee servicio de internet y no tiene conexión a la infraestructura de ATEB.

5. Cuando se tenga que entregar información a proveedores externos y que ésta sea sensible para ATEB siempre debe de haberse firmado primero un acuerdo de confidencialidad. Y dicha información debe de ser primero supervisada antes y durante la entrega por la Alta Dirección de ATEB.

16. Política de gestión de los activos de información

1. Entre los activos de información de la empresa se encuentran cuatro categorías que son:

1) Instalaciones 2) Activos de equipos físicos 3) Activos lógicos 4) Documentación

Como activos de instalaciones se tienen:

Oficinas Corporativas

Oficinas de sucursales

Los centros de cómputo de producción

Los centros de cómputo de desarrollo y pruebas de calidad

Entre los activos físicos se enumeran al menos los siguientes

Hardware como servidores físicos, equipos de cómputo personales, teléfonos, impresoras, etc.

Comunicaciones como puertos o puntos de acceso, ruteadores, conexiones a Internet de los centros de cómputo

Cintas de backup's

Equipo de uso específico y especializado como el HSM y el NTP

Los activos lógicos se consideran al menos

Código Fuente de aplicaciones ATEB

Bases de datos

Relaciones (Tablas)

Atributos (Campos o columnas)

Archivos

Aplicaciones

Archivos de configuración de las aplicaciones

Documentación

Diagramas entidad relación

Arquitectura del aplicativo (SOA)

Manuales de los Aplicativos

Manuales de procedimientos

Etc.

2. Se deberá tener y contar con un inventario completo y actualizado de todos los activos informáticos de la organización.

3. El responsable de mantener actualizado en todo momento estos inventarios es el Gerente de Sistemas.

4. El formato del inventario de los activos de información deberá ser revisado al menos una vez al año por el Gerente de Sistemas y así le dará el visto bueno o autorización al mismo.






Estándares

1. El inventario de los activos informáticos de la organización deberán estar de preferencia en el formato propuesto por el SAT para los PCCFDI’s.

2. El inventario de los activos de información lo deberá actualizar de manera oficial el Gerente de Sistemas mediante su rúbrica.

17. Política de atención a desviaciones y exclusiones

Una desviación o exclusión a las políticas de seguridad de la información es cuando:

1. Alguna de las áreas de negocio de la organización con razón justificada no puede cumplir o apegarse a alguna de las políticas corporativas de seguridad de la información.

2. Si se detecta que alguna de las áreas de negocio de la organización no cumple con alguna de las políticas corporativas de seguridad de la información.

Con base en la política de auditorías y revisiones de cumplimiento se estipula que “En la empresa se

deberán realizar auditorías y revisiones de cumplimiento dentro de la organización; y que las auditorías y

revisiones de cumplimiento deberán ser efectuadas por personal independiente a la operación del negocio

de los procesos de facturación electrónica, como Prestador de servicios de certificación (PSCFDI los

servicios como PAC) y como Proveedor de servicios de recepción de documento digitales (PSR-DD)” se

deberá considerar los siguientes lineamientos directivos.

Una desviación de seguridad puede tener un incidente o evento de seguridad o no. Una desviación de

seguridad puede terminar en un evento o incidente de seguridad con impacto adverso a la empresa, sus

clientes o contribuyentes registrados.

4. La Dirección General es la única que puede aprobar explícitamente desviaciones de las áreas de negocio a las políticas y estándares de seguridad informática.

5. Las desviaciones se deberán solicitar por escrito por el responsable respectivo del área y avalado por el ISO.

6. En caso de ser aprobada una desviación, ésta tendrá una vigencia máxima de 180 días.

7. Todas las desviaciones o hallazgos de seguridad de la información que se encuentren y no hayan sido solicitadas de manera expresa, el ISO las deberá notificar inmediatamente a la Dirección General de acuerdo al estándar.

8. A todas las desviaciones o hallazgos de seguridad de la información detectados, se les dará seguimiento por parte del ISO hasta su remediación respectiva.

9. Solamente se podrá cerrar una desviación por motivos de la remediación respectiva.

10. Todas las desviaciones o hallazgos de seguridad de la información que se cierren, el ISO las deberá notificar inmediatamente a la Dirección General de acuerdo al estándar.

Estándares

1. La Dirección General puede llegar a aprobar explícitamente desviaciones de las áreas de negocio a las políticas y estándares de seguridad informática. Estas desviaciones deberán estar apropiadamente documentadas, indicando el motivo de la desviación y los riegos de negocio asociados al no apegarse a los lineamientos estipulados.

2. Las desviaciones se deberán solicitar por escrito por el responsable respectivo del área y avalado por el ISO.

3. La Dirección General evaluará y aprobará o rechazará la solicitud de la desviación. En caso de aprobación, la desviación tendrá una vigencia máxima de 180 días, por lo que todas las desviaciones






serán siempre menores a seis meses, que es el plazo con el que contará el área de negocios y de sistemas para resolver conjuntamente el problema de seguridad que se presente con motivo de la desviación.

4. Con base en los resultados de las auditorías, las revisiones internas de cumplimiento o del monitoreo permanente de la seguridad, se deberá dar atención a cualquiera de las desviaciones o hallazgos que se detecten. De manera independiente si están asociadas directamente a un incidente o no de seguridad informática.

5. Todas las desviaciones o hallazgos de seguridad de la información que se encuentren y no hayan sido solicitadas de manera expresa, el ISO las deberá notificar inmediatamente a la Dirección General indicando al menos:

Desviación o hallazgo detectado

Manera en que se detectó la desviación

En caso de que aplique, la fecha y hora de ocurrencia del problema que descubrió la desviación

Fecha y hora de detección

Nivel de la amenaza que afecta la desviación

Impacto o consecuencias del problema potencial

Impacto o consecuencias del problema detectado

6. A todas las desviaciones o hallazgos de seguridad de la información detectados, se les dará seguimiento por parte del ISO hasta su remediación respectiva.

7. Solamente se podrá cerrar una desviación por motivos de la remediación respectiva.

8. Todas las desviaciones o hallazgos de seguridad de la información que se cierren, el ISO las deberá notificar inmediatamente a la Dirección General indicando al menos:

Desviación o hallazgo detectado

Fecha y hora de ocurrencia del problema

Fecha y hora de detección

Fecha y hora de remediación

Nivel de la amenaza

Manera en que se remedió la desviación

Impacto o consecuencias del problema potencial

Impacto o consecuencias del problema detectado

18. Política para la correcta validación de los datos que ingresan y que se proporcionan de salida

en los aplicativos

1. En los aplicativos que proporcionen servicios de recepción de documentos digitales, CFDI, EDI y cualquier aplicativo que reciba datos e información hacia ATEB, deberán tener como mínimo un módulo de control de datos de entrada, el cual verificará los ingresos de los datos a la aplicación.

2. Evaluará que sean datos compatibles y deberán ser lo menos vulnerables posibles ante las amenazas que a continuación se describen:

a) SQL Injection b) Cross-site Scripting c) Broken Authentication and Session Management d) Insecure Direct Object Reference e) Cross-site Request Forgery f) Security Misconfiguration






3. Los aplicativos que proporcionen servicios de recepción de documentos digitales, CFDI, EDI y cualquier aplicativo que reciba datos e información hacia ATEB, deberán ser implementados como servicios web para consumo de recursos no vulnerables a las siguientes amenazas:

a) Failure to Restrict URL Access

4. En los aplicativos que proporcionen servicios de recepción de documentos digitales, CFDI, EDI y cualquier aplicativo que reciba datos e información hacia ATEB, deberán ser implementados como servicios web para consumo de recursos con una capacidad de intercambio de comunicación que no sea en texto claro y evitando la amenaza de Insufficient Transport Layer Protection y Unvalidated Redirects and Forwards mediante técnicas de cifrado de la comunicación.

5. En los aplicativos que proporcionen servicios de recepción de documentos digitales, CFDI, EDI y cualquier aplicativo que reciba datos e información hacia ATEB, deberán tener como mínimo un módulo de control de balanceo de datos y que regule la entrada para evitar cuellos de botella en el ingreso de los datos, además deberá de conciliar los datos ingresados con la información de salida, evitando por ejemplo, que la información de un usuario A le sea otorgada a un usuario B.

6. En los aplicativos que proporcionen servicios de recepción de documentos digitales, CFDI, EDI y cualquier aplicativo que reciba datos e información hacia ATEB, deberán de tener como mínimo un módulo control de codificación de salidas, que permita una conversión adecuada para la integración con los sistemas y aplicativos de ATEB, sin la interrupción de la integridad de la información y las características restantes de la seguridad de la información.

7. En los aplicativos que proporcionen servicios de recepción de documentos digitales, CFDI, EDI y cualquier aplicativo que reciba datos e información hacia ATEB, deberán de tener como mínimo un módulo de control de transacciones rechazadas, el cual deberá generar un número de control de la transacción que se rechazó en conjunto con los datos que el usuario ingresó.

8. En los aplicativos que proporcionen servicios de recepción de documentos digitales, CFDI, EDI y cualquier aplicativo que reciba datos e información hacia ATEB, deberán tener módulos de verificación de la seguridad de la información, en los cuales se verifique la integridad de los datos y un registro que permita la auditabilidad de los datos para poder establecer las pruebas de No Repudio a la información que ingresó el usuario.

9. En los aplicativos que proporcionen servicios de recepción de documentos digitales, CFDI, EDI y

cualquier aplicativo que reciba datos e información hacia ATEB, deberán tener establecidos catálogos que cumplan en materia de seguridad de la información (confidencialidad, integridad y disponibilidad), tanto en la programación de los aplicativos como en la programación y relación de las bases de datos.

10. En todas las aplicaciones que proporcionen servicios de recepción de documentos digitales, CFDI, EDI y cualquier aplicativo que reciba datos e información hacia ATEB, deberán seguir siempre la línea mínima de seguridad para aplicaciones descrita en las “Políticas Corporativas de Seguridad Informática”.

Estándares

En todos los aplicativos que proporcionen servicios de recepción de documentos digitales se deberán

programar como mínimo los siguientes módulos:

1. Módulo de Control de validación de datos de entrada, el cual deberá hacer la validación de los datos y compatibilidad de los datos esperados con los datos ingresados.

2. Módulo de compatibilidad de datos, el cual evaluará que la información ingresada/esperada sea correcta.






3. Módulo de Seguridad de ingreso de datos, el cual analizará que la información ingresada no contenga amenazas que pongan en riesgo la seguridad del aplicativo, la infraestructura y el servicio Web.

4. Módulo balanceador, identificador y regulador de datos, el cual tendrá un LOG que registre el ingreso de los datos de cada usuario y regule la entrada de los datos con respecto a la salida de los mismos.

5. Módulo controlador de transacciones, el cual registre en un LOG las transacciones aceptadas y rechazadas de cada uno de los usuarios que ingresan al aplicativo.

6. Módulo de Calidad de los datos, el cual verifique la integridad de los datos y genere un registro tipo LOG que permita la auditabilidad de la información, cuando menos en sus siguientes características:

Ingreso y creación de la información – Fecha, hora, usuario

Consulta de la Información – Fecha, hora, usuario

Copia de la Información - Fecha, hora, usuario

Eliminación de la Información – Fecha, hora, usuario

Cambios a la Información – Fecha, hora, usuario

En todos los aplicativos que proporcionen servicios de EDI, CFDI (Facturación), se deberán programar

como mínimo los siguientes módulos:

1. Módulo de Control de validación de datos de entrada, el cual deberá hacer la validación de los datos y compatibilidad de los datos esperados con los datos ingresados.

2. Módulo de compatibilidad de datos, el cual evaluará que la información ingresada/esperada sea correcta.

3. Módulo de Seguridad de ingreso de datos, el cual analizará que la información ingresada no contenga amenazas que pongan en riesgo la seguridad del aplicativo, la infraestructura y el servicio Web.

4. Módulo balanceador, identificador y regulador de datos, el cual tendrá un LOG que registre el ingreso de los datos de cada usuario y regule la entrada de los datos con respecto a la salida de los mismos.

5. Módulo controlador de transacciones, el cual registre en un LOG las transacciones aceptadas y rechazadas de cada uno de los usuarios que ingresan al aplicativo.

6. Módulo de Calidad de los datos, el cual verifique la integridad de los datos y genere un registro tipo LOG que permita la auditabilidad de la información, cuando menos en sus siguientes características:

Ingreso y creación de la información – Fecha, hora, usuario

Consulta de la Información – Fecha, hora, usuario

Copia de la Información - Fecha, hora, usuario

Eliminación de la Información – Fecha, hora, usuario

Cambios a la Información – Fecha, hora, usuario

En todos los servidores de bases de datos de aplicativos que proporcionen servicios de Recepción de

Documentos Digitales, EDI, Timbrado, CFDI (Facturación), se deberá programar un Módulo de Calidad de

los datos en la base de datos, el cual verifique la integridad de los datos y genere un registro tipo LOG que

permita la auditabilidad de la información, cuando menos en sus siguientes características:

Ingreso a la base de datos - Fecha, hora, usuario

Creación de registros de información – Fecha, hora, registro, usuario

Consulta de registros de Información – Fecha, hora, registro, usuario

Copia de registros de Información - Fecha, hora, registro, usuario

Eliminación de registros de Información – Fecha, hora, registro, usuario

Cambios a los registros de Información – Fecha, hora, registro, usuario

De todos los registros LOG se debe de tener una bitácora de consulta la cual será monitorizada por el Área

de Operaciones, administrada por la Gerencia de Sistemas y Supervisada por el Área de Seguridad

Informática.






19. Política de uso de dispositivos móviles

1. En ATEB se considera como dispositivo móvil cualquiera de los siguientes medios electrónicos:

a. Smartphone: La familia de teléfonos móviles que disponen de un hardware y un sistema operativo propio capaz de realizar tareas y funciones similares a las realizadas por un equipo de cómputo, añadiéndole al teléfono funcionalidades extras a la realización y recepción de llamadas, envió y recepción de correo electrónico, y envío/recepción de mensajes telefónicos (SMS).

b. Tablet: es una computadora portátil más grande en tamaño físico que un Smartphone pero más pequeña que una laptop y se caracteriza por contar con pantalla táctil, disponen de teclado virtual.

c. Booklets: es una computadora perteneciente a la familia de las tablet´s generalmente de doble pantalla que se pliegan como un libro abierto. Una PC típica Booklet está equipado con pantallas multitáctiles y capacidades de reconocimiento de escritura de la pluma.

d. Phablets: Un phablet es un dispositivo móvil que surge de la combinación de las funciones de un Smartphone y una Tablet, tiene características definidas como una pantalla que se ubica entre las 5 y 7 pulgadas, un lápiz especial como accesorio que sirve para realizar algunas acciones como escribir y dibujar, aplicaciones y funciones exclusivas para su tipo.

e. Reproductores de Música con Capacidad de Almacenamiento de Información.

2. Los dispositivos móviles de los usuarios de ATEB no deben poder conectarse a la red electrónica de datos de ATEB.

3. Los dispositivos móviles de los usuarios de ATEB no deben resguardar o almacenar información que se maneja en ATEB.

4. Los dispositivos móviles propiedad de ATEB que sean asignados a los usuarios no deben poder conectarse a la red electrónica de datos de ATEB.

5. Los dispositivos móviles propiedad de ATEB que sean asignados a los usuarios deberán apegarse a los siguientes puntos: a) Instalación y configuración de aplicaciones

El aseguramiento de la administración de los recursos de los dispositivos móviles inteligentes y

tabletas, pertenecientes a ATEB será administrado por personal designado por el área de

seguridad informática y el área de sistemas. El área de sistemas elaborara y mantendrá vigente un proceso de instalación y configuración de

las aplicaciones de los dispositivos móviles inteligentes y tabletas, el cual define todas las

actividades y responsabilidades que desempeña el personal de sistemas, así como el personal

que utilizara los dispositivos móviles inteligente y/o tabletas respecto del uso correcto,

administración, configuración de seguridad, respaldo y soporte de dichos dispositivos de ATEB.

El proceso de instalación y configuración de las aplicaciones de los dispositivos móviles

inteligentes y tabletas, será difundido a todas las áreas donde serán utilizados para su aplicación.

ATEB a través de la gerencia o área de sistemas, mantendrá una administración centralizada de

las características de los dispositivos y las aplicaciones instaladas, que procesan o almacenan

información crítica.

La ejecución y efectividad de la presente política, así como el plan y el proceso requerido, serán

revisadas de manera trimestral por la gerencia o área de sistemas.

b) Autenticación y Accesos

Se protegerá el acceso a los dispositivos móviles mediante (passwords, tokens, huella digital, etc.)

las capacidades del equipo respecto al control de acceso.

c) Seguridad en el Sistema Operativo

En el caso de dispositivos inteligentes (Smartphone) que almacene información sensible, el área

de sistemas instalara un software para la detección y prevención de malware, en función de la

sensibilidad de la información manejada:






Alternativas de autenticación

Cifrado de memory card y contenido del dispositivo

Antivirus

Borrado seguro de contenido y memory card

VPN

d) Parches y Actualizaciones

Todos los usuarios de dispositivos móviles que contengan información altamente confidencial o

crítica de ATEB, utilizaran la última o la versión más estable de las aplicaciones.

Los parches o actualizaciones serán obtenidos de manera formal, provenientes del fabricante.

e) Responsabilidades

El área de seguridad informática junto con el área de sistemas son responsables de gestionar el cumplimiento de la presente política, así como la revisión periódica, actualización, difusión, concientización para su adecuado cumplimiento.

6. Los dispositivos móviles propiedad de ATEB que sean asignados a los usuarios, deberán de estar protegidos de forma legal para sustentar cada asignación.

7. Los dispositivos móviles propiedad de ATEB que sean asignados a los usuarios, no deben de ser expuestos a ningún tipo de Hackeo que altere la integridad del dispositivo móvil.

8. Los dispositivos móviles propiedad de ATEB que sean asignados a los usuarios, deberán de ser entregados al finalizar el tiempo laboral del usuario con la organización.

Estándares

1. Cualquier dispositivo móvil perteneciente a proveedores externos o usuarios y que requieran conexión a internet solo podrán ser conectados a la red de invitados de ATEB, la cual solo provee servicio de internet y no tiene conexión a la infraestructura de ATEB.

2. Los procesos de entrega, recepción y revisión de dispositivos móviles, deberán de ser elaborados y efectuados únicamente por la Gerencia de Administración. Si se llegara a encontrar alguna anormalidad en un dispositivo móvil propiedad de ATEB el cual viole las políticas corporativas de seguridad informática, el ISO tiene la responsabilidad y compromiso de informar de esta violación a la Dirección General de ATEB y a la Gerencia de Recursos Humanos.

20. Política de teletrabajo

Se debe de entender que en ATEB al tener sucursales en diversas partes del país y clientes en cualquier

parte del mundo, deberá tener la capacidad para que los usuarios puedan realizar trabajos desde lugares

distintos al de las instalaciones de la organización, a esta capacidad de poder conectarse desde cualquier

punto del país o del mundo la conocemos como Teletrabajo.

1. La conexión para poder establecer sesión desde un equipo fuera de las instalaciones de ATEB y de ATEB hacia fuera será realizada únicamente mediante un canal seguro por medio de VPN.

2. La comunicación que se establezca desde un equipo fuera de las instalaciones de ATEB, y de ATEB hacia fuera, no se establecerán por medio de comunicaciones en claro.

3. La conexión para poder establecer sesión desde un equipo fuera de las instalaciones de ATEB contará con mecanismos de autenticación, al menos usuario y contraseña.

Estándares

1. La Gerencia de Sistemas de ATEB deberá generar y tener los mecanismos legales para poder responsabilizar a cada uno de los usuarios de ATEB que necesitan hacer uso de teletrabajo.






2. Las conexiones hacia ATEB y de ATEB hacia fuera deben de están centradas y basadas en los estándares y línea mínima de seguridad de ATEB.

3. La Gerencia de Sistemas proporcionará las herramientas de hardware y proveerá del software necesario para realizar las conexiones seguras desde y hacia ATEB.

21. Política para visitantes

1. Toda persona ajena a la organización que desee ingresar a la organización debe tener contacto primero con la recepción de la organización, informando la persona que visita, gerencia o dependencia.

2. Toda persona ajena a la organización deberá de identificarse con documentos oficiales y vigentes para poder tener acceso a la organización.

3. Toda persona ajena a la organización deberá ser recibida y hacer estancia en la zona de recepción de la organización.

4. Toda persona ajena a la organización deberá de comprometerse a acatar las políticas de seguridad informática que se manifiestan en este documento.

5. Toda persona ajena a la organización que desee utilizar su equipo de cómputo dentro de la organización, deberá de someterlo a una revisión por parte de la Gerencia de Sistemas para evitar la propagación de vulnerabilidades.

Estándares

1. Cualquier persona ajena a la organización siempre debe de dirigirse como primer contacto a la recepción de ATEB en cualquiera de sus oficinas.

2. Cualquier persona ajena a la organización deberá de identificarse con un documento oficial y vigente, ya que sin dicha documentación ATEB tendrá el derecho de negar la entrada a sus instalaciones a esta persona.

3. Ninguna persona ajena a la organización podrá estar en un área de ATEB sin portar un gafete de invitado.

4. Cualquier persona ajena a la organización en calidad de “Visitante” deberá permanecer en la recepción de ATEB en cualquiera de sus oficinas o sucursales. Si la persona es supervisada o custodiada por personal de ATEB podrá ingresar a las oficinas siempre bajo la supervisión del personal de ATEB.

5. Cualquier persona ajena a la organización en calidad “Laboral” hacia ATEB, podrá estar en las diferentes áreas de ATEB siempre desempeñando su trabajo pero bajo la vigilancia de algún miembro de ATEB.

6. Si alguna persona ajena a la organización en calidad laboral hacia ATEB requiere utilizar servicios de internet, únicamente lo podrá hacer en la red de invitados de la organización previa autorización por el Área de Seguridad Informática. Nunca podrá acceder a la red empresarial de ATEB.

7. Si alguna persona ajena a la organización en calidad laboral hacia ATEB requiere conectarse a la red interna de la organización o red empresarial, únicamente lo podrá hacer bajo permiso escrito por parte de la Gerencia de Sistemas y el Área de Seguridad Informática, esto previa revisión del equipo de cómputo por parte de la Gerencia de Sistemas, la cual revisará los siguientes puntos:

a. Revisión de Software antivirus, instalado y actualizado. b. Revisión de Actualizaciones Criticas de seguridad de sistema operativo.






VIII. CONTINUIDAD DEL NEGOCIO

Antecedentes

Todas las áreas de ATEB desarrollarán y supervisarán que exista un plan de recuperación ante desastres

para todas y cada una de sus aplicaciones que sean consideradas como críticas, para el supuesto de que

se presente la eventualidad de una interrupción mayor a 4 (cuatro) horas en la infraestructura tecnológica.

Estos planes deberán soportar las funciones mínimas para cumplir con los objetivos de negocio,

regulatorios, técnicos, administrativos y operativos de cada área. Estas necesidades considerarán la

infraestructura tecnológica requerida para su funcionamiento.

1. Política de continuidad del negocio

1. Los procedimientos para ejecutar las tareas indispensables de cada área estarán documentados en un plan formal de continuidad de sus operaciones denominado “Plan de Recuperación ante Desastres”, que será revisado anualmente y actualizado conforme sea necesario por la entrada, salida o actualizaciones de sus aplicaciones.

2. Se hará conciencia de que el objetivo del plan de recuperación ante desastres, es mantener operando las funciones críticas de los procesos sustantivos relacionados a la facturación electrónica y al Prestador de servicios de certificación (PSC).

3. Deberá haber un entendimiento claro de que la eficacia del plan de continuidad de las operaciones reside en que éste sea parte natural de la operación de cada área y no se considere solamente como un ejercicio anual u ocasional.

4. El Comité para el Manejo de Contingencias tomará las acciones y medidas necesarias que permitan la recuperación de la infraestructura informática ante la eventualidad de un desastre.

5. La elaboración del plan de recuperación ante contingencias debe abarcar a todas las áreas involucradas en la función, actividad o proceso, para asegurar que se genere una respuesta coordinada ante cualquier interrupción de la infraestructura de las tecnologías de la información.

6. El plan de recuperación ante contingencias considerará minimizar el impacto de una eventualidad, junto con el proceso de recuperación para volver a la normalidad.

7. El plan de recuperación ante contingencias se basará en un análisis de impacto operativo o de negocios.

8. El plan de recuperación ante contingencias considerará escenarios reales de tiempos de fallas en la infraestructura de las tecnologías de la información.

9. Se divulgará un programa de concientización para la Dirección y los Gerentes acerca de la existencia y ejecución del plan, para asegurase que éstos comprendan y estén familiarizados en todo momento con el plan.

10. El plan asignará roles y responsabilidades específicas a los Gerentes y Líderes de Proyectos para recuperar la continuidad de las funciones esenciales.

11. La estrategia de pruebas del plan buscará identificar problemas y deficiencias en la ejecución del mismo para corregirlos oportunamente.

12. Se realizarán pruebas para probar la capacidad de recuperación de los sistemas críticos así como las aptitudes del personal responsable involucrado.

13. La estrategia deberá considerar como mínimo una prueba de simulacro real anual.

políticas corporativas de seguridad informática · pdf filepolíticas...

Documents