POLÍTICAS Y LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN

Políticas y Lineamientos de Seguridad de la Información

Código PL-DN-DGSEI-01

Revisión 2

Fecha: 15/mar/2020

Página 1 de 70

Elaboró/Actualizó:

_______________________ J. Ana María Granados Mejía

Integrante de la SPICP

Revisó:

_______________________________ Gabriel Rodríguez Sánchez

Director de Normatividad

Autorizó:

_______________________ Fidelmar H. González Barrera

Director General

Dirección General del Sistema Estatal de

Informática

POLÍTICAS Y LINEAMIENTOS DE

SEGURIDAD DE LA INFORMACIÓN

Este documento describe la política informática establecida en la Dirección General del Sistema Estatal

de Informática para protección de todos los sistemas automatizados de información, comunicaciones,

datos e información utilizados en la prestación de los servicios.



Revisión 2

Fecha: 15/mar/2020

Página 2 de 70

ÍNDICE

Pág.

Introducción………………………………………………………………………………..…………………………………… 5 1. Marco Legal………………………………………….………………………………………………….……………………… 5 2. Alcance……………………………………….……………………….…………………………………….…………………… 6 3. Objetivo General……………………………………………….………………………………………….…………….……. 7 4. Objetivos Específicos..……………………………………………………………………………………………………… 7 5. Definiciones……………………………………………………………………………….…………………….…….………… 7 6. Compromiso de la Dirección General de la DGSEI……..…………………………………………….…………. 11 7. Tipos y Niveles de Seguridad de Datos…………………………..………………………………….….…………… 11 8. Seguridad Física

8.1. Acceso físico…………………………………………………..……………………………….……………………… 8.2. Del personal……………………………………………..……..……………………………….……………………… 8.3. De visitantes y/o terceros………………………………..………..………………………………………….…… 8.4. Protección física de los activos

8.4.1. Protección de los equipos…………………………..……………………………………………..…… 8.4.2. Uso de equipos personales en las instalaciones de la DGSEI……………………….…..… 8.4.3. Infraestructura…………………………..…………………………………………………..……………… 8.4.4. Control de equipos de cómputo……….……………………………………………..…………….… 8.4.5. Uso adecuado de los activos………………………….………………………….…………………… 8.4.6. Baja, donaciones y comodatos………………………………………………..…..…………………. 8.4.7. Protección de documentos y manejo de la documentación física

8.4.7.1. Escritorios Limpios…………………………..……………………….………….……………… 8.4.7.2. De la información…………………………..……………………….……………………………

8.5. Servicios de soporte técnico: Mantenimiento preventivo y/o correctivo…………………………..… 8.6. Centro de Datos, construcción y emplazamiento de instalaciones……………………………….…..

8.6.1. Protección contra incendio y explosión………………………………………………………..…… 8.6.2. Protección contra daños provocados por el agua……………………………………………… 8.6.3. Control ambiental……………..…………………………………………………………………………… 8.6.4. Suministro de energía eléctrica……………………………………………………….……………….

14 15 15

16 17 17 17 18 18

18 19 20 20 21 21 22 22

9. Seguridad Lógica 9.1. Inventario, uso aceptable y clasificación de la información……………………….……………………… 9.2. Licenciamiento…………………………………………………..…………………………………..…………………. 9.3. Uso de software…………………………………………………..……………………………….………………….. 9.4. Contraseñas…………………………………………………..……………………………………..………………….. 9.5. Sistemas automatizados de información y programas………………………………..……………………

9.5.1. Instalación y actualización de sistemas automatizados de información propios y de terceros hospedados en la infraestructura de la DGSEI…………………………………

9.6. Configuración e instalación servidores………………………………………………………………………….. 9.7. Comunicaciones…………………………………………………..…………………………….………………………

9.7.1. Correo electrónico…………………………………………………………………………………………. 9.7.2. Internet…………………………………………………..…………………………………………………….

9.8. Administración y uso de servicios de redes…………………………………………………………………… 9.8.1. Usuarios…………………………………………………..…………………………………………………………….. 9.9. Teléfono y fax…………………………………………………..…………………………………………………….. 9.10. Bases de Datos…………………………………………………..…………………….……………………………. 9.11. Respaldos de la información de bases de datos………………………………………………………….. 9.12. Aplicación de procesos

9.12.1. Administración de la Capacidad……………………………………………..……………………….. 9.12.2. Administración de Cambios………………….………………………………..……………………….. 9.12.3. Administración de Incidentes…………….……………………………………………………………..

22 25 25 26 30

31 32 33 33 35 38 40 41 43 43

44 45 46



Revisión 2

Fecha: 15/mar/2020

Página 3 de 70

9.12.4. Administración de Problemas………………………………………………………………………….. 9.13. Registros documentados……………………………………..……………..……….………………………….. 9.14. Seguridad de la información……………………………….………..……………….…………………………..

9.14.1. Acuerdos de confidencialidad……………………………………………………….………………… 9.15. Protección de la información fuera de las instalaciones…………………….………………………..… 9.16. Uso de Certificados Digitales, Controles Criptográficos, Encriptación y Llaves………………… 9.17. Controles de acceso a sistemas automatizados de información………….………………………… 9.18. Desarrollo y mantenimiento de los sistemas automatizados de información……………………. 9.19. Antivirus…………………………………………………..……………………………………………………………..

9.19.1. Políticas Antivirus…………………………..……………………………………….……………………… 9.19.2. Uso del antivirus por los usuarios…………………………………………….………………………..

9.20. Control de aplicaciones y dispositivos………………………………………………………………………… 9.21. Cobertura de redes inalámbricas……………………………………………………………………………….

47 48 49 49 50 51 53 57 60 61 62 62 62

10. Seguridad Perimetral Principios Generales……………………………………………………………………………………………………….

10.1 Firewall…………………………………………………..………………….…………………………………..………… 10.2 Sistemas de Detección de Intrusos (IDS)………………………………………………………………………. 10.3 Redes Privadas Virtuales (VPN)……………….…….…………..……………………………………………….. 10.4 Red Inalámbrica (WIFI)……………………………………………………………………………………………….. 10.5 Acceso a directivos de la organización…………………………………………………………………………. 10.6 Conectividad a internet…………………………..………………………..…….………………………………….. 10.7 Acceso a invitados……………………………………………………………………………………………………..

63 63 64 65 67 68 68 69

11. Plan de Contingencia Principios Generales………………………………………………………………….………….………………………..

11.1Administración de la Continuidad……………………………………………………………………………………

69 74

12. Seguridad Legal Principios Generales……………………………………………………………………………………………….………. 12.1 De las responsabilidades en materia de seguridad………………….…………………………………... 12.2 Responsabilidades en seguridad física y lógica……….…………………………………………………… 12.3 Responsabilidades de los especialistas en seguridad…………………………………………………… 12.4 Responsabilidades del personal…………………………..…………….…….………........………………… 12.5 Cumplimiento legal y regulatorio………………………………………………….……….………….……….. 12.6 Protección de la información…………………………..…………………………………………………….….. 12.7 Registro de información de la organización……………………………………………………….………… 12.8 Mal uso de los equipos y delitos informáticos…………………………………………….……………….. 12.9 Violaciones a las políticas…………………………..…………………………………………………………….. 12.10 Sanciones………………………..………………………………………………………………….……….………… 12.11 Derechos de Autor/Copyright del software…………………………………………………….…………... 12.12 Copyright de la documentación………………………………………………………………..………………..

75 76 76 77 77 78 78 79 79 80 80 80 81

13. Base Legal…………………………………………………………………………………………..……………………… 81 14. Capacitación y concientización al personal en materia de Seguridad la Información……….. 82 15. Comité Estratégico Integral de Seguridad de la Información

15.1 Funciones del Comité……………………………………………………………………….…………………..…… 15.2 Actualización de las Políticas de Seguridad……………………………………………………………………

83 83

16. Auditoría…………………………………………………..…………………………………….…………………………… 84 17. Distribución…………………………………………………..………………………………..………………….…………

85



Revisión 2

Fecha: 15/mar/2020

Página 4 de 70

Introducción

La Dirección General del Sistema Estatal de Informática como ente regulador en materia de tecnologías de la información dentro del Gobierno del Estado de México, impulsa acciones eficientes que sustenten una administración pública más eficiente en el uso de sus recursos y más eficaz en el logro de sus metas, por ello busca constantemente la innovación e implementa nuevos modelos de gestión que estén orientados a la generación de resultados, teniendo como base las mejores prácticas administrativas basadas en estándares internacionales; esto derivado de la permanente revisión y actualización de las estructuras organizacionales, sistemas de trabajo y establecimiento de sistemas de gestión que nos permitan mejorar los servicios que prestamos.

1. Marco Legal

El presente manual está basado en la norma Internacional ISO/IEC 27001:2005 que comprende la Gestión de la Seguridad de la Información. El término “debe” se utiliza claramente en todos los lineamientos para identificar los controles de seguridad informática requeridos en todas las áreas donde sean utilizadas las tecnologías de información, comunicaciones, de voz, e IP; en una referencia clara de que su cumplimiento es obligatorio. En forma excepcional, la Dirección General del Sistema Estatal de Informática puede decidir no aplicar estos lineamientos en ciertas circunstancias, y en ese caso siempre se debe justificar dicha excepción en función de una evaluación de los riesgos. La Dirección General del Sistema Estatal de Informática, así como las áreas tecnológicas responsables de la seguridad son las encargadas de mantener actualizadas las políticas y lineamientos, así como su publicación y difusión. Todas las áreas directivas que responden por el uso de los equipos y de los sistemas de tecnologías de información, comparten esta responsabilidad por los recursos y operaciones bajo su control. Del mismo modo, la Ley de Protección de Datos Personales en posesión de sujetos obligados del Estado de México y Municipios establece: Del objeto de la Ley Artículo 1.- La presente Ley es de orden público, de interés social y de observancia general en todo el territorio del Estado de México, y tiene por objeto, garantizar la protección de los datos personales que se encuentran en posesión de los sujetos obligados así como establecer los principios, derechos, excepciones, obligaciones, sanciones y responsabilidades que rigen en la materia.



Revisión 2

Fecha: 15/mar/2020

Página 5 de 70

De la finalidad de la Ley Artículo 2.- Son finalidades de la presente Ley:

I. Garantizar la observancia de los principios de protección de datos personales en posesión de los sujetos obligados;

II. Proveer lo necesario para que toda persona pueda ejercer los derechos de acceso, rectificación y cancelación de sus datos personales, así como manifestar su oposición a determinado tratamiento, mediante procedimientos sencillos y expeditos; y

III. Promover la adopción de medidas de seguridad que garanticen la integridad, disponibilidad y confidencialidad de los datos personales en posesión de los sujetos obligados. De los sujetos obligados Artículo 3.- Son sujetos obligados para la aplicación de esta Ley, los siguientes:

I. El Poder Ejecutivo; II. El Poder Legislativo; III. El Poder Judicial; IV. Los Ayuntamientos; V. Los Órganos y Organismos Constitucionales Autónomos; y VI. Los Tribunales Administrativos VII. Los Partidos Políticos VIII. Los Fideicomisos y Fondos Públicos

Los sindicatos, las candidatas o los candidatos independientes y cualquier otra persona física o jurídica colectiva que reciba y ejerza recursos públicos o realice actos de autoridad serán responsables de los datos personales de conformidad con las disposiciones legales aplicables para la protección de datos personales en posesión de los particulares.

2. Alcance Esta política en seguridad de la información aplica a todo el personal, usuarios, responsables adscritos a las áreas tecnológicas de las diferentes Dependencias y a toda persona que tenga acceso a dicha unidad administrativa, a la información o conocimiento de la misma, y todos los equipos, dispositivos, sistemas informáticos y de comunicaciones utilizados. 3. Objetivo General Proteger la información y la infraestructura tecnológica de la unidad administrativa, mediante el establecimiento de medidas de índole técnica y de organización, necesarias para propiciar su seguridad.

4. Objetivos Específicos

Mantener la confidencialidad, disponibilidad e integridad de la información en la infraestructura tecnológica.



Revisión 2

Fecha: 15/mar/2020

Página 6 de 70

Mejorar el aprovechamiento y disponibilidad de los recursos de TIC de la Dirección General del Sistema Estatal de Informática dentro del marco regulatorio aplicable y normativo interno para su gobernabilidad.

5. Definiciones Activos: En relación con la seguridad de la información, se refiere a cualquier información o

elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas, etc.) que tenga valor para la organización. ATI: Administrador de Tecnología de Información, personal técnico especializado en el soporte

a la operación. Byte: Una unidad de almacenamiento de la máquina que contiene una secuencia ordenada

de 8 bits. Cloud: Es un modelo que permite el acceso bajo demanda y a través de la red a un conjunto

de recursos compartidos y configurables (como redes, servidores, capacidad de almacenamiento, aplicaciones y servicios) que pueden ser rápidamente asignados y liberados con una mínima gestión por parte del proveedor del servicio. Práctica de utilizar una red de servidores remotos alojados en Internet para almacenar, gestionar y procesar los datos, en lugar de un servidor local o un computador personal. CMS: Conjunto de herramientas y bases de datos que se usan para gestionar los datos de

Configuración de un proveedor de servicios de TI. También incluye información sobre Incidentes, Problemas, Errores conocidos, Cambios y Ediciones; y puede contener datos sobre los empleados, suministradores, ubicaciones, unidades de negocios, clientes y usuarios, lo que permite recopilar, almacenar, gestionar, actualizar y presentar datos sobre todos los elementos de configuración y sus relaciones. DITC: Dirección de Infraestructura Tecnológica y Comunicaciones.

Dato: Una representación de hechos, conceptos o instrucciones de una manera formalizada

adecuados para la comunicación, interpretación o procesamiento por seres humanos o por medios automáticos. Información concreta que permite conocer algo. Unidad mínima entre las que componen una información. Es una palabra latina que significa "lo que se da", los datos se consideran como una expresión mínima de contenido respecto a un tema. Información dispuesta para su tratamiento por una computadora. DGSEI: Dirección General del Sistema Estatal de Informática.

DIAL-UP: Se refiere a la conexión de un dispositivo a una red a través de un módem y una red telefónica pública. Línea de datos que permite a un usuario acceder por modem a una red o una computadora a través de una línea telefónica. DII: Dirección de Ingeniería de la Información.



Revisión 2

Fecha: 15/mar/2020

Página 7 de 70

DMZ: Del inglés (DeMilitarizaded zone), zonas desmilitarizadas, es una pequeña red

secundaria que se ubica entre una red privada (de confianza), tal como un LAN corporativa, y una red pública (no confiable), tal como la Internet. DNS (Domain Name Server): Es un servicio de Internet que traduce los nombres de dominio en direcciones IP. Debido a que los nombres de dominio son alfabéticos, son más fáciles de recordar. El Internet sin embargo, se basa realmente en direcciones IP. Cada vez que se utiliza un nombre de dominio, un servicio DNS debe traducir el nombre a la dirección IP correspondiente. Por ejemplo, el nombre de dominio www.example.com podría traducirse en 198.105.232.4. El sistema DNS es, de hecho, una red en sí misma. Si un servidor DNS no sabe cómo traducir un nombre de dominio particular, se pide a otro, y así sucesivamente, hasta que se devuelve la dirección IP correcta. Enable: Habilitar. Un comando o condición que permite algún evento específico para proceder. Firewall: Un firewall (cortafuego) es un sistema diseñado para prevenir el acceso no

autorizado o desde una red privada. Los cortafuegos pueden implementarse en hardware y software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuego, que examina cada mensaje y bloquea aquellos que no cumplen con los criterios de seguridad especificados. Es un sistema de defensa basado en el hecho de que todo el tráfico de entrada o salida a la red debe pasar obligatoriamente por un sistema de seguridad capaz de autorizar, denegar, y tomar nota de todo aquello que ocurre, de acuerdo con una política de control de acceso entre redes. GB: Abreviación de Gigabyte. Es una unidad de almacenamiento de información, capacidad

de memoria y de dispositivos de almacenamiento informático, la cual equivale a 1,024 Megabytes.

GSM: Acrónimo de “Global System for Mobile Communications”. Sistema Global para

Comunicaciones Móviles, uno de los sistemas celulares digitales líderes. GSM utiliza TDMA de banda estrecha, que permite ocho llamadas simultáneas en la misma frecuencia de radio. Siglas que designan el sistema global de comunicaciones móviles. IDS: Acrónimo de “Intrusion Detection System”. Sistemas de Detección de Intrusos. Un sistema de detección de intrusiones inspecciona toda la actividad de red entrante y saliente e identifica patrones sospechosos que podrían indicar una red o sistema de ataque de alguien tratando de entrar en o comprometer un sistema. Iteración: Acción y efecto de iterar (repetir). Pistas de Auditoría: Registros de actividad de un sistema conocidos como Log.



Revisión 2

Fecha: 15/mar/2020

Página 8 de 70

PTR: (Punto de terminación de red) Proporcionan asignaciones inversas entre las direcciones IP y los nombres de host. Caja que se coloca a la entrada de la instalación telefónica, separando la red que te ofrecen los operadores de tu propia red. ROOT: (Raíz) define, en un sistema informático Unix, al usuario principal. Por ello, también es

llamado superusuario o Administrador, en función del sistema operativo que estemos utilizando, o bien puede referirse al directorio inicial de un sistema de archivos, permite que las aplicaciones accedan a partes del sistema operativo que normalmente están ocultas por el propio fabricante. Esto permite ejecutar software más potente e instalar ROMs personalizadas en la terminal, que optimizan el funcionamiento del equipo. Sistema informático y de comunicaciones: redes de área local, computadoras personales,

sistemas administrativos, centros de procesamiento locales de cómputo, de telecomunicaciones y conmutación, proveedores de servicios de Internet (ISP) y proveedores externos de servicios de información. SLA: Acrónimo de “Service Level Agreement” Acuerdos de Nivel de Servicio. Es un contrato

entre un proveedor y el usuario final que estipula y compromete al proveedor a un nivel de servicio requerido. Un SLA debe contener un nivel específico de servicio, opciones de soporte, penalizaciones por servicios no prestados. SSH: Acrónimo de “Secure Shell” Secure Shell es un programa para conectarse a otra

computadora sobre de una red, para ejecutar comandos en una máquina remota, y para mover archivos de una máquina a otra. Proporciona autenticación fuerte y comunicaciones seguras a través de canales inseguros. Permite intercambiar datos utilizando un canal seguro entre dos dispositivos en red. TACACS: Acrónimo de “Terminal Access Controller Access Control System”. TACACS permite a un servidor de acceso remoto, comunicarse con un servidor de autenticación con el fin de determinar si el usuario tiene acceso a la red, brinda control de acceso para routers, servidores de acceso a red (NAS) u otros dispositivos. TIC: Tecnologías de Información y Comunicaciones. Es el conjunto de tecnologías que

permiten la adquisición, producción, almacenamiento, tratamiento, comunicación, registro y presentación de información, en forma de voz, imagen y datos contenidos, en señales de naturaleza acústica, óptica o electromagnética, utilizada dentro de una organización o empresa. Visitante: Toda persona que no pertenece a las instalaciones de trabajo.

VPN: Redes Privadas Virtuales. Es una red que se construye utilizando cables públicos –por

lo general- internet para conectarse a una red privada, como la red interna de una empresa. Hay una serie de sistemas que permiten crear redes que utilizan la Internet como medio de transporte de datos. Estos sistemas utilizan el cifrado y otros mecanismos de seguridad para



Revisión 2

Fecha: 15/mar/2020

Página 9 de 70

garantizar que sólo los usuarios autorizados pueden acceder a la red y que los datos no puedan ser interceptados.

6. Compromiso de la Dirección General de la DGSEI La Dirección General apoyará activamente la cultura sobre el objetivo de este documento a través de una dirección clara, asignación explícita y reconocimiento de las responsabilidades según correspondan. Evaluar constantemente la infraestructura de la organización y realizar el seguimiento adecuado de las actividades. Comunicará al personal la relevancia de alcanzar los objetivos de seguridad de la información, acatar la política creada y la necesidad de una mejora continua. Revisará a intervalos previamente planificados las medidas de seguridad establecidas, para asegurar su continua idoneidad, conveniencia y efectividad. Aquí se incluyen oportunidades de mejora y la necesidad de aportar cambios mediante revisiones que deben estar documentadas y registradas. Estará alimentada por los resultados de auditorías, retroalimentación de las partes interesadas, técnicas de mejora del desempeño y efectividad, acciones correctivas, amenazas no tratadas de forma correcta, acciones de seguimiento, cambios que afecten al sistema y recomendaciones para una mejora. La DII y la DITC como áreas técnicas que tienen bajo su responsabilidad la seguridad informática, deben dar resultados de las revisiones e incluir toda decisión y acción relacionada con la seguridad informática, actualización de la evaluación del riesgos y el plan de riesgos, modificación de procedimientos y controles que afectan a la seguridad de la información, necesidades de recursos, mejora de la efectividad y medida de los controles. La Delegación Administrativa tiene bajo su responsabilidad la seguridad física al ejercer la custodia mediante el personal de vigilancia, controles de acceso, disposición de áreas restringidas, etc.

7. Tipos y Niveles de Seguridad de Datos La Ley de Protección de Datos Personales en posesión de sujetos obligados del Estado de México y Municipios Título Tercero, Capítulo Segundo establece: Tipos y Niveles de Seguridad: Artículo 44.- El responsable adoptará las medidas de seguridad, conforme a lo siguiente:

A. Tipos de seguridad:

I. Física: a la medida orientada a la protección de instalaciones, equipos, soportes, sistemas

o bases de datos para la prevención de riesgos por caso fortuito o causas de fuerza mayor.



Revisión 2

Fecha: 15/mar/2020

Página 10 de 70

II. Lógica: a las medidas de seguridad administrativas y de protección que permiten la

identificación y autenticación de las usuarias y los usuarios autorizados para el tratamiento

de los datos personales de acuerdo con su función.

III. De desarrollo y aplicaciones: a las autorizaciones con las que contará la creación o

tratamiento de los sistemas o bases de datos personales, según su importancia, para

garantizar el adecuado desarrollo y uso de los datos, previendo la participación de las

usuarias y usuarios, la separación de entornos, la metodología a seguir, ciclos de vida y

gestión, así como las consideraciones especiales respecto de aplicaciones y pruebas.

IV. De cifrado: a la implementación de algoritmos, claves, contraseñas, así como

dispositivos concretos de protección que garanticen la seguridad de la información.

V. De comunicaciones y redes: a las medidas de seguridad técnicas, así como restricciones

preventivas y de riesgos que deberán observar los usuarios de datos o sistemas de datos

personales para acceder a dominios o cargar programas autorizados, así como para el

manejo de telecomunicaciones.

B. Niveles de seguridad:

I. Básico: a las medidas generales de seguridad cuya aplicación es obligatoria para todos

los sistemas y bases de datos personales. Dichas medidas corresponden a los siguientes

aspectos:

a) Documento de seguridad.

b) Funciones y obligaciones del personal que intervenga en el tratamiento de las bases o

sistemas de datos personales.

c) Registro de incidencias.

d) Identificación y autenticación.

e) Control de acceso.

f) Gestión de soportes.

g) Copias de respaldo y recuperación.

II. Medio: a la adopción de medidas de seguridad cuya aplicación corresponde a bases o

sistemas de datos relativos a la comisión de infracciones administrativas o penales,

hacienda pública, servicios financieros, datos patrimoniales, así como a los que contengan



Revisión 2

Fecha: 15/mar/2020

Página 11 de 70

datos de carácter personal suficientes que permitan obtener una evaluación de la

personalidad del individuo. Este nivel de seguridad, de manera adicional a las medidas

calificadas como básicas, considera los aspectos siguientes:

a) Responsable de seguridad.

b) Auditoría.

c) Control de acceso físico.

d) Pruebas con datos reales.

III. Alto: a las medidas de seguridad aplicables a bases o sistemas de datos concernientes

a la ideología, religión, creencias, afiliación política, origen racial o étnico, salud,

biométricos, genéticos o vida sexual, así como los que contengan datos recabados para

fines policiales, de seguridad pública, prevención, investigación y persecución de delitos.

En estos casos, además de incorporar las medidas de nivel básico y medio, deberán

completar las que se detallan a continuación:

a) Distribución de soportes.

b) Registro de acceso.

c) Telecomunicaciones.

Los diferentes niveles de seguridad serán establecidos atendiendo a las características

propias de la información.

8. Seguridad Física 8.1 Acceso físico

El personal de la DGSEI debe mostrar la credencial que los acredita como tal para tener acceso a las instalaciones y portarla en todo momento en un lugar visible.

La Delegación Administrativa debe vigilar y dar cumplimiento que los usuarios externos, personal contratado y los visitantes que tengan acceso a las instalaciones sigan el procedimiento establecido para:

a) Registro de su ingreso al momento de accesar a la DGSEI;



Revisión 2

Fecha: 15/mar/2020

Página 12 de 70

b) Registro de ingreso del equipo de cómputo, comunicaciones, medios de almacenamiento, herramientas, etc. que serán utilizadas para la prestación de los servicios,

El personal de vigilancia, deberá mantener los registros en las Bitácoras de: Entrada, Salida, Servicio Social, Reporte Quincenal del Personal de Mandos Medios y Enlaces que no registran con Gafete, los cuales serán entregados a la Delegación Administrativa de manera posterior. El personal externo contratado que labore dentro de la DGSEI, deberá contar con una credencial temporal que será válida durante su estancia en las instalaciones y deberá ser devuelta a la Delegación Administrativa al terminar sus actividades y/o proyectos. Los usuarios externos, personal contratado y los visitantes deben permanecer en las áreas destinadas para su trabajo, por lo que les queda estrictamente prohibido accesar a las áreas restringidas o aquellas donde se almacena, procesa o utilizan activos de TIC de información sensible, crítica o confidencial, como el Centro de Datos, la Dirección General, Centro de impresión de nómina, Departamento de Operación de Redes, Cuarto de Máquinas, Dictaminación de Proyectos y apoyo a Comités o cualquier otra que esté catalogada como tal, de igual manera no deben permanecer en las instalaciones fuera del horario de trabajo, a menos que se cuente con la autorización correspondiente. Si por el tipo de trabajo es necesario que los usuarios externos, personal contratado y/o visitantes necesiten accesar a un área restringida, deben realizar la solicitud correspondiente de manera anticipada y contar con la autorización respectiva, una vez presente en el lugar debe identificarse y señalar el motivo de la visita, indicando el nombre de la persona responsable de su estancia en las instalaciones y registrarse en la Bitácora de Entrada del área a visitar. 8.2 Del personal Todos los servidores públicos y/o responsables de la seguridad deben:

a) Cumplir con las instrucciones y los procedimientos de seguridad aprobados, y aquellas responsabilidades de seguridad específicas documentadas;

b) Mantener la confidencialidad de las contraseñas personales y evitar que terceros

utilicen los derechos de acceso de los usuarios autorizados;

c) Mantener la seguridad de los equipos de cómputo así como de la información bajo su control directo;

d) Informarle al jefe inmediato superior cualquier sospecha de violaciones de la seguridad

y de cualquier debilidad detectada en los controles de la misma, incluyendo sospechas de divulgación de contraseñas y/o información.

8.3 De visitantes y/o terceros



Revisión 2

Fecha: 15/mar/2020

Página 13 de 70

La recepción de todos los visitantes y/o terceros en las instalaciones de la DGSEI debe atender los procedimientos aplicados por parte de la Delegación Administrativa, dentro de los cuales se observan los siguientes puntos:

a) Estar concentrados en una sola área controlada;

b) Siempre que sea posible, se deben recibir fuera del perímetro de las áreas restringidas; en caso contrario, debe ubicarse la recepción de forma tal que se reciba a los visitantes antes de que éstos tengan acceso a las instalaciones de la DGSEI;

c) Confirmar y registrar efectivamente en bitácora los datos de identificación de los

visitantes, las organizaciones a las que representen, y el objetivo de su visita antes de ser admitidos, así como fechas, horarios de entrada y salida;

d) Proporcionar a los visitantes gafetes distintivos, los cuales deben portar durante su visita, y brindar instrucciones básicas de seguridad;

e) Garantizar que los visitantes estén bajo observación y sean supervisados durante su estancia por personal del área a visitar, en función de los riesgos;

f) Prohibir el acceso de los visitantes a las áreas restringidas, a menos que se cuente con la autorización correspondiente.

8.4 Protección física de los activos

8.4.1 Protección de los equipos Todo equipo propiedad del GEM que requiera ser movido dentro y fuera de las instalaciones desde: PC, computadoras portátiles, unidades de almacenamiento u otros dispositivos de TIC que sean propiedad del GEM, debe ser protegido contra robo y pérdida en todo momento, de acuerdo a las disposiciones emitidas por la Delegación Administrativa. Debe protegerse la información de la DGSEI con los controles de cifrado de información que se tengan en el apartado de Seguridad Lógica. La provisión y utilización de equipos de la DGSEI fuera de las instalaciones debe ser autorizado por la Dirección de Área, tomando en cuenta los riesgos involucrados, en donde los servidores públicos a cargo de los equipos deben de:

a) Proteger todos los equipos que contengan información de la organización y/o usuarios;

b) La seguridad física de ese equipo debe cumplir con las instrucciones de uso y manejo del mismo;

c) El equipo será utilizado sólo para los propósitos autorizados, para el personal

designado;



Revisión 2

Fecha: 15/mar/2020

Página 14 de 70

d) Utilizar los controles de seguridad previstos con el equipo, en relación a los riesgos inherentes del bien y funciones del personal que lo tiene asignado;

e) Resguardar de manera segura las unidades de almacenamiento; 8.4.2 Uso de equipos personales en las instalaciones de la DGSEI El ingreso de equipo personal a las instalaciones será autorizado por la Delegación Administrativa, los servidores públicos deben garantizar que se han tomado las medidas necesarias establecidas en el apartado de seguridad lógica para asegurar y proteger la información. El uso de equipo personal estará supeditado a lo establecido en el acuerdo de confidencialidad. Cualquier incumplimiento en casos específicos debe ser notificado a la Delegación Administrativa por el servidor o público. 8.4.3 Infraestructura El área responsable debe considerar los estándares vigentes de cableado estructurado durante el diseño de nuevas áreas o en el crecimiento de áreas existentes. De igual forma las unidades administrativas responsables deben asegurar que el cableado eléctrico, de telecomunicaciones, transmisor de datos o de soporte a servicios, esté protegido de daños e interceptación de información, y que es revisado periódicamente para asegurar su correcto funcionamiento. El resguardo de los equipos de cómputo queda bajo la responsabilidad del servidor público que lo tiene asignado. Todos los servidores públicos que tengan a su cargo bienes informáticos o tecnológicos propiedad del GEM deben contar con un control que permita conocer la ubicación física de los mismos. 8.4.4 Control de equipos de cómputo

Inventario de activos

La Delegación Administrativa debe llevar un inventario actualizado de los bienes informáticos de la institución mediante los sistemas automatizados de información para tal fin. 8.4.5 Uso adecuado de los activos



Revisión 2

Fecha: 15/mar/2020

Página 15 de 70

El personal de la DGSEI que tenga bajo su resguardo equipo informático debe hacer uso del mismo de acuerdo a su funcionalidad y en el ámbito de sus funciones. La DGSEI debe contar con un procedimiento para la devolución de los activos o equipos que el personal tenga asignado mientras labora en la organización, dichos equipos deben pasar por un proceso interno de asignación y/o rotación de equipos de cómputo. Se debe ejecutar el procedimiento previo de eliminación total de la información, con el fin de que el nuevo usuario del equipo no tenga acceso a información no autorizada, el jefe inmediato superior debe garantizar que cuando algún subalterno deje de laborar en la organización o sea transferido a otra área, la información electrónica de carácter laboral haya quedado previamente respaldada y bajo su resguardo. Todos los servidores públicos adscritos a la DGSEI y personal ajeno a la institución, son responsables de seguir las reglas existentes para el buen uso de la información y activos asociados con el procesamiento de dicha información. Se debe contar con un procedimiento de restauración y resguardo de información para el uso aceptable de los activos de información. 8.4.6 Bajas, donaciones y comodatos El personal de la DGSEI que tenga asignado un bien informático y que desee dar lo de baja, debe informar a la Delegación Administrativa. La Delegación Administrativa antes de dar de baja los equipos informáticos, debe solicitar la gestión de la opinión técnica de baja mediante oficio justificando la baja, dando seguimiento al procedimiento establecido. Antes de aceptar equipos informáticos en donación el titular de la unidad administrativa debe solicitar opinión técnica de donación mediante oficio a la Delegación Administrativa, dando seguimiento al procedimiento establecido. 8.4.7 Protección de documentos y manejo de la documentación física 8.4.7.1 Escritorios limpios Todos los servidores públicos adscritos a la DGSEI están en la obligación de adoptar prácticas que permitan asegurar la información a la que tienen acceso o que tiene bajo su resguardo por motivo de sus propias actividades, así como el evitar riesgos innecesarios o accidentes de trabajo, por ello deben observar lo siguiente:

a) Clasificar y separar aquellos insumos que son innecesarios. Eliminar del espacio de trabajo lo que sea inútil;

b) Ordenar y situar los elementos de trabajo necesarios, organizando el espacio de trabajo

de forma eficaz;



Revisión 2

Fecha: 15/mar/2020

Página 16 de 70

c) Mantener limpios sus lugares de trabajo;

d) Planificar sus actividades diarias, de tal manera que conserve sobre su escritorio sólo

las cosas que necesita para su día de trabajo, archivando cualquier otra carpeta o documento que no se requiera, en caso de necesitarla, utilizarla y regresarla a su lugar;

e) Proteger toda la información siempre que abandone su escritorio, de tener que

ausentarse de su lugar de trabajo por cualquier motivo, es necesario que verifique si hay información sensible sobre su escritorio y colocarla dentro de una carpeta o fuera de su escritorio, y asegurarse de activar el protector de pantalla con protección de contraseña de su computadora personal;

f) Preservar y guardar todo al final del día, no dejar documentos sobre el escritorio. A fin

de conservar la seguridad de la información, es fundamental que archiven los documentos y de ser necesario los guarden bajo llave.

8.4.7.2 De la información La información institucional proporcionada por un usuario, no puede ser divulgada a terceros o fuera del ámbito laboral, sin la autorización correspondiente del propietario de la información mediante una solicitud por oficio. Es responsabilidad del usuario realizar los respaldos y/o restauración de la información a su cargo y llevar un registro de los mismos, indicando como mínimo: fecha, hora, nombre del responsable y descripción del contenido respaldado. Toda solicitud de procesamiento de información debe realizarse a través de una solicitud formal a la DII, siendo el usuario responsable de la validación de la información y mantener el respaldo de la misma. Independientemente del medio y/o lugar de almacenamiento de la información y de quien realice su procesamiento, es el dueño del proceso quien define su clasificación, distribución y el periodo de su resguardo. Los usuarios deben establecer controles que mantengan la confidencialidad de la información a su cargo.

8.5 Servicios de soporte técnico: Mantenimiento preventivo y/o correctivo

El personal de la DGSEI que cuente con equipo informático propiedad del GEM es responsable del mismo, en caso de que genere alguna falla debe informar a la Delegación Administrativa sobre la situación que se genere.



Revisión 2

Fecha: 15/mar/2020

Página 17 de 70

En caso de detectarse alguna anomalía imputable al personal de la DGSEI que invalide la garantía del equipo de cómputo, el personal de la DGSEI debe cubrir los gastos que se generen en la reparación de este. El área responsable debe verificar el cumplimiento del plan de trabajo de mantenimiento preventivo y/o correctivo a los bienes informáticos, considerados críticos, propiedad del GEM.

8.6 Centro de Datos, construcción y emplazamiento de instalaciones

Las instalaciones del Centro de Datos deben ser ubicadas y diseñadas de forma tal que se reduzcan los riesgos resultantes de desastres naturales, los inherentes a la zona circundante, y riesgos de otra naturaleza. Siempre debe solicitarse el consejo de los asesores en construcción, prevención de incendios y seguridad que correspondan, y cumplir con sus recomendaciones, incluyendo también los requerimientos legales y los códigos de prácticas correspondientes. En la medida de lo posible, las instalaciones de Centro de Datos deben emplazarse y construirse a fin de reducir:

a) El acceso directo público o el acercamiento directo de vehículos;

b) El riesgo de inundaciones y otros peligros inherentes a la zona circundante y el medio ambiente;

c) La cantidad de vías de acceso a las instalaciones, contando con áreas de entrega, carga y depósito controladas por separado;

d) Los riesgos potenciales en el suministro de energía eléctrica, agua y de servicios de telecomunicaciones.

8.6.1 Protección contra incendio y explosión Las medidas de prevención de incendios y explosiones deben incluir:

a) Medidas de prevención de incendios en los planos de las instalaciones tan pronto como comience la construcción de las mismas;

b) Implementación de las recomendaciones correspondientes hechas por los fabricantes

de los equipos;

c) Además de los dispositivos manuales esenciales, la instalación de sistemas automáticos de detección y extinción de incendios deben ser supervisados las 24 horas del día, siempre que sea posible;



Revisión 2

Fecha: 15/mar/2020

Página 18 de 70

d) Probar con regularidad los sistemas de advertencia de incendios de acuerdo con la recomendación técnica especializada. Debe hacerse un registro de dichas pruebas;

e) La capacitación adecuada al personal adscrito en el uso de los equipos de extinción de

incendios. Todo procedimiento relacionado debe ser documentado, evaluado, publicado y puesto en práctica;

f) La eliminación de material flamable, tales como papeles, artículos de papelería,

desechos de los centros de cómputo o equipos de computación, o de otros lugares que representen un peligro potencial de incendio, a menos que se requiera para el trabajo programado.

8.6.2 Protección contra daños provocados por el agua Para proteger los equipos contra el agua, se deben utilizar sistemas de alarma, contar con techos y pisos impermeables y un sistema de drenaje adecuado. 8.6.3 Control ambiental La temperatura, la humedad y la ventilación dentro de las instalaciones que albergan equipos de computación y de comunicaciones y medios de almacenamiento de información, deben cumplir con las normas técnicas estipuladas por los fabricantes de los equipos. Cuando sea necesario, debe vigilarse la calidad ambiental y tomar las medidas correctivas pertinentes. 8.6.4 Suministro de energía eléctrica Los suministros de energía eléctrica deben cumplir con las normas técnicas estipuladas por los fabricantes de los equipos. Cuando sea necesario, debe vigilarse la calidad del suministro de energía eléctrica y tomar las medidas correctivas pertinentes. Debe proporcionarse a los sistemas críticos una fuente alternativa de energía eléctrica adecuada, como son generadores de reserva, y si fuera necesaria una fuente ininterrumpida de energía eléctrica (UPS). Las fuentes alternativas de energía eléctrica deben probarse periódicamente para verificar su correcto funcionamiento en caso de requerirlas. Las instalaciones deberán contar con todos los elementos necesarios para atender cualquier contingencia que asegure la integridad de los activos.

9 Seguridad Lógica 9.1 Inventario, uso aceptable y clasificación de la información La Subdirección de Planeación Tecnológica y el Departamento de Operación de Redes, deben llevar un inventario centralizado y actualizado de todos los recursos de Tecnología de Información a su cargo y que pertenecen a la organización, así como contar con mecanismos



Revisión 2

Fecha: 15/mar/2020

Página 19 de 70

de control según el tipo de información que contienen, procesan, transfieren, transportan o almacenan. Clasificación de la información Los activos informáticos deben estar clasificados con base al impacto que representan para la institución, además en sus propiedades de seguridad como confidencialidad, disponibilidad e integridad. Los dueños de los activos de información deben responsabilizarse de las necesidades de la DGSEI para clasificar, valuar y compartir o restringir información, así como el impacto que puede tener de conformidad a las disposiciones legales vigentes. Se tiene considerada en la Ley y disposiciones vigentes la siguiente identificación y clasificación de la información:

CLASIFICACIÓN IDENTIFICACIÓN PROTECCIÓN DE LA

INFORMACIÓN

Confidencial

Toda información propiedad de la organización, la relativa a los usuarios y a su personal.

Información de usuarios.

Expedientes del personal.

Planes generados por la DGSEI.

Manuales técnicos de los equipos que procesan información.

Estados financieros y de resultados.

Documentación técnica de la plataforma de cómputo y comunicaciones.

Plan de continuidad

Datos personales e información generada por el sistema de nómina.

La información debe ser resguardada en gavetas bajo llave en caso de documentos impresos.

La información debe ser resguardada en un servidor en caso de documentos electrónicos.

Las carpetas y archivos electrónicos clasificados como confidenciales deben tener la leyenda “Confidencial”.

La información no puede ser divulgada por ningún integrante, a menos que sea solicitada por la autoridad competente.

Reservada (Que comprometa la seguridad del estado o la seguridad pública, pueda dañar la conducción de las negociaciones de

Reportes de productividad.

Indicadores de procesos o procedimientos.

Procedimientos generales autorizados

información del usuario

La información contenida en procedimientos, instructivos, manuales y políticas deben ser resguardadas por los responsables de su generación y uso.



Revisión 2

Fecha: 15/mar/2020

Página 20 de 70

acuerdos interinstitucionales, dañar situación económica y financiara del estado, ponga en riesgo la vida, seguridad o salud de cualquier persona o cause perjuicio al cumplimiento de otras leyes, causar daño o alterar procesos de investigación, el daño que pueda producirse con la publicación sea mayor que el interés público)

Procedimientos específicos de las actividades de las áreas.

Instructivos de trabajo.

Check list de implementación.

Manuales de procedimientos

Manuales de Operación de los sistemas desarrollados

Planes de Contingencia

Planes de Recuperación de desastres.

Políticas.

La información contenida en procedimientos, instructivos, manuales, planes de contingencia y planes de recuperación de la DGSEI sólo puede ser divulgada si ha sido previamente autorizado por la Dirección General.

La información de reportes, políticas, indicadores, y check list sólo puede ser divulgada si ha sido previamente autorizado por el director del área responsable.

La información sólo puede salir de la organización si ha sido previamente autorizado por la dirección de área responsable (Ejemplo: reportes, estadísticas, información general del usuario, etc.).

Pública

Formatos

Noticias

Gacetas

Eventos

Campañas internas

Información general de la organización (Antecedentes, misión, visión objetivos, usuarios, ubicación geográfica).

Contratos finales de la DGSEI.

Información pública de oficio en general

Cualquier persona dentro y fuera de la organización puede tener acceso a la información.

9.2 Licenciamiento

Las licencias y paquetería de software propiedad del GEM deben ser resguardadas por la Subdirección de Planeación Tecnológica.



Revisión 2

Fecha: 15/mar/2020

Página 21 de 70

El software que se instale en los equipos de cómputo registrados en la DGSEI, debe contar con licencia, la cual será respetada por el usuario en los términos establecidos por el fabricante. La instalación o reinstalación de cualquier tipo de software será realizada estrictamente por el personal autorizado por la Subdirección de Planeación Tecnológica, siempre y cuando el solicitante lo requiera para ejecutar sus funciones, previa solicitud de los titulares de las áreas, instalándose solamente si se cuenta con la licencia respectiva. 9.3 Uso de software

Todo software utilizado dentro de la organización debe contar con una autorización de uso y en cumplimiento de las licencias vigentes, cuando se requiera:

a) Los servidores públicos no pueden ingresar, bajar o usar ningún software a menos que esto haya sido autorizado y aprobado por su jefe inmediato superior;

b) Se prohíbe el uso del software que no esté directamente relacionado con las funciones

que desempeña, así como el uso ilegal de software;

c) Todo uso y administración del software adquirido debe ser acorde con los contratos de licencia y copyright respectivos;

d) Deben resguardarse las copias maestras del software y sus licencias en lugar seguro

y tenerlas disponibles para su inspección si fuera necesario;

e) Debe protegerse el software contra accesos o modificaciones no autorizadas mediante la utilización de controles automatizados de procedimientos que abarquen la administración de cambios y problemas y las nuevas versiones de software;

f) La administración debe garantizar que el software haya sido probado adecuadamente

antes de confiarle el procesamiento de las operaciones de las áreas de la DGSEI;

g) Deben aplicarse las actualizaciones de seguridad más recientes con los que cuente el proveedor del software.

9.4 Contraseñas

Descripción de la Política

El uso de contraseñas es un aspecto importante en la seguridad de la información y es la primera línea de protección para las cuentas de usuarios. Una contraseña mal elegida o configurada pude generar que alguien comprometa la red o información de los usuarios.



Revisión 2

Fecha: 15/mar/2020

Página 22 de 70

El Departamento de Operación de Redes, y la Subdirección de Planeación Tecnológica deben contar con una política de uso de contraseñas robusta que garantice el buen uso de las herramientas y sistemas automatizados de información de los usuarios. Política para el uso de contraseñas Se debe proporcionar el correcto diseño y uso de nombres de usuario y contraseñas dentro del Departamento de Operación de Redes y de la Subdirección de Planeación Tecnológica, así como establecer un estándar para la creación de contraseñas fuertes y robustas, su resguardo y la frecuencia de cambio. Esta política incluye a todo el personal del Departamento de Operación de Redes y la Subdirección de Planeación Tecnológica que utilice o sea responsable de una cuenta interna con acceso a herramientas, información confidencial, consolas de operación y servidores ubicados en las instalaciones de la DGSEI, así como a todos los servidores públicos que pertenezcan a la organización.

Área Funciones

a) Departamento de Operación de Redes

Se encarga de observar el cumplimiento de la política de contraseñas en la red, en caso de contravención de la misma dará aviso a la autoridad competente.

b) Subdirección de Telecomunicaciones

Se encarga de generar, aprobar y revisar la política de contraseñas en la red, así como de verificar su implementación y correcto funcionamiento.

c) Subdirección de Planeación Tecnológica

Se encarga de generar, aprobar, revisar y observar el cumplimiento de la política de contraseñas en servidores y sistemas, así como de verificar su implementación y correcto funcionamiento.

Las contraseñas deben ser creadas de tal manera que se puedan recordar utilizando algún tipo de algoritmo relacionado. Las contraseñas de usuarios finales deben ser robustas y contener las siguientes características basándose en:

a) Tener una longitud mínima de 8 caracteres alfanuméricos;

b) Tener caracteres en mayúsculas y minúsculas; c) Deben combinar caracteres numéricos y caracteres especiales, tener números (al

menos uno) 0-9, y caracteres especiales (al menos uno) ¡@#$^&()+l~-=\´{}[]:”;´<>?,./) de forma no consecutiva, por ejemplo: s3Cr?tBr;

d) No deben tener como base un nombre propio, de familiares, mascotas, amigos,

compañeros, marcas, compañías, hardware, software, etc.;

e) No deben estar relacionados con números telefónicos o fechas de nacimiento y otra información personal como dirección o teléfono;



Revisión 2

Fecha: 15/mar/2020

Página 23 de 70

f) Deben cambiarse cada 45 días como máximo;

g) Los recursos de procesamiento de información de la organización no deben permitir

la repetición de contraseñas por al menos 5 iteraciones;

h) Si no es posible seguir con el estándar porque la tecnología no lo permite, se debe reportar al responsable de la seguridad, para que tome medidas alternas para la seguridad de esta Infraestructura.

En ningún caso se debe emplear la opción "Recordar contraseña" que ofrecen algunas aplicaciones. Al iniciar la operación de cualquier servicio y/o acceder algún equipo por primera vez, la contraseña debe ser cambiada por el usuario y resguardarla en un lugar seguro, es responsabilidad única de cada servidor público, usuario del equipo específico. Las contraseñas para los Administradores de TI deben generarse con base en los siguientes puntos:

Tener una longitud mínima de 10 caracteres;

Combinar caracteres alfanuméricos (al menos un número y una letra mayúscula) y caracteres especiales (al menos uno) de forma no consecutiva;

No deben tener como base un nombre propio;

No deben estar relacionados con números telefónicos o fechas de nacimiento;

Deben cambiarse cada 30 días como máximo;

No se debe permitir la repetición de contraseñas por al menos 10 iteraciones;

Las contraseñas deben ser almacenadas por el usuario en forma cifrada de tal forma que no puedan ser comprometidas con técnicas de análisis criptográfico;

Las contraseñas deben estar almacenadas en archivos electrónicos distintos en los que se almacenan datos de la aplicación;

Las contraseñas deben transferirse cifradas, una vez que han sido introducidas en el recurso de procesamiento de información;

El proceso de asignación de contraseñas dentro de una aplicación o sistema de información, debe programarse para que el usuario cambie la contraseña la primera vez que intente acceder a estos;



Revisión 2

Fecha: 15/mar/2020

Página 24 de 70

Las contraseñas nunca deben ser iguales a las cuentas de usuario. Las contraseñas de la totalidad de los sistemas automatizados de información, deben ser cambiadas cada 3 meses, o cuando se considere necesario. Al momento de que algún integrante de operaciones o análisis sea dado de baja, se debe realizar el cambio de todas las contraseñas correspondientes a la infraestructura que administraba. Resguardo de contraseñas

No se deben compartir las contraseñas con ninguna persona, incluyendo asistentes o secretarias, todas las contraseñas deben ser tratadas como sensibles y confidenciales. Recomendaciones de resguardo, nunca se debe:

a) Revelar la contraseña a través de una conversación telefónica o correo electrónico;

b) Hablar de una contraseña en frente de otras personas;

c) Dar a conocer la contraseña a compañeros de trabajo en días inhábiles y fuera de horario de trabajo;

d) Almacenar o guardar en un medio que sea accesible para terceros.

Bloqueos por exceso de intentos fallidos

En donde la tecnología lo permita, se debe implementar un control que límite a un máximo de 5 intentos de acceso fallidos, después de los cuales se procederá a bloquear la cuenta en cualquiera de las dos formas siguientes:

Por espacio de una hora con opción a restablecerla mediante la solicitud expresa al administrador, si la tecnología lo permite;

De manera indefinida hasta que el titular de la cuenta solicite el restablecimiento. Rotación programada de contraseñas

En donde la tecnología lo permita, se deben establecer controles que automáticamente requieran al usuario el cambio de la contraseña cada 3 meses bajo los siguientes parámetros.

a) La contraseña nueva no puede ser igual a la inmediata anterior, ni a la segunda inmediata anterior;

b) La contraseña nueva debe cumplir la política de construcción aplicable.



Revisión 2

Fecha: 15/mar/2020

Página 25 de 70

Si por limitante tecnológica no es posible establecer un control automático, el cambio de la contraseña se hará por procedimiento estándar de operación. El usuario debe implementar los controles necesarios para que cuando deje de operar su equipo de cómputo por un lapso de tiempo mayor a 10 minutos, la sesión se cierre de manera automática o el equipo quede bloqueado. 9.5 Sistemas automatizados de información y programas

Independientemente de su procedencia debe notificarse mediante oficio a la Subdirección de Planeación Tecnológica, de todo sistema de información automatizado que sea liberado para su operación en la institución, debiéndose indicar las áreas en las que se va a implementar y el responsable de su coordinación. En caso de ampliación a proyectos o sistemas automatizados de información ya existentes

que impliquen la instalación de módulos y/o aplicaciones en más unidades, debe ratificarse

previamente mediante oficio a la Subdirección de Desarrollo de Sistemas.

En el caso de requerir soporte especializado para los sistemas automatizados de información

de misión crítica y/o de alto impacto en los que se deben garantizar la continuidad de la

operación, será necesario realizar las gestiones correspondientes de manera anticipada por el

titular del área correspondiente ante la DII.

Toda solicitud de modificación a cualquier sistema de información debe efectuarse vía oficio a

la DGSEI, por parte del titular de la unidad administrativa solicitante, siendo responsabilidad

de éste gestionar los recursos presupuestales necesarios (en caso de requerirlos) para llevar

a cabo el proyecto, así como designar a un responsable con amplio conocimiento del proceso

sobre el cual se va a trabajar la definición de requerimientos, debiendo tenerlos documentados

para proceder al desarrollo de la aplicación.

Para el caso de las aplicaciones que estén alojadas en los servidores administrados por la

Subdirección de Planeación Tecnológica, en las que se requiera el acceso a bases de datos

de años anteriores, éste debe ser previsto y notificado al titular vía oficio, por el área usuaria

del aplicativo.

Es responsabilidad de la Subdirección de Planeación Tecnológica, realizar los respaldos de

información respecto de las aplicaciones propias y de terceros hospedadas en la

infraestructura de la DGSEI, llevando una bitácora o registro histórico de los mismos, indicando

como mínimo: fecha, hora, nombre del responsable, descripción del contenido respaldado,

medio de respaldo y lugar de alojamiento del mismo, así como un instructivo para su

restauración.



Revisión 2

Fecha: 15/mar/2020

Página 26 de 70

En caso de requerir restaurar información, es responsabilidad de la Subdirección de

Planeación Tecnológica efectuar la misma llevando una bitácora o registro en el que se indique

como mínimo: fecha, hora, nombre de quien restaura y motivo de la restauración.

La Subdirección de Planeación Tecnológica no debe realizar modificaciones a ningún

componente de los sistemas automatizados de información, y tampoco podrá alterar, por

ningún motivo, la información por otro medio más que por el sistema mismo.

Es obligación del área usuaria notificar vía oficio a la Subdirección de Planeación Tecnológica

sobre el personal de nuevo ingreso que operará los sistemas automatizados de información,

así como sobre los usuarios que cambiaron sus tareas y aquellos que ya no laboren en la

organización, con el fin de mantener un adecuado control de acceso a los mismos.

Los sistemas automatizados de información que operan en la DGSEI son para uso exclusivo

de la misma y propiedad del GEM de conformidad a las normas DGSEI, por lo que no podrán

ser utilizados para uso personal, arrendar, vender o utilizar en otras dependencias, sin el

trámite correspondiente.

9.5.1 Instalación y actualizaciones de sistemas automatizados de información propios y de terceros hospedados en la infraestructura de la DGSEI Cualquier instalación, cambios o actualización a un sistema automatizados de información debe ser solicitado a través del procedimiento correspondiente. El usuario solicitará por oficio a la Dirección General los cambios necesarios, el cual deberá contar con la autorización correspondiente para que surta efecto. Todos los componentes que se utilicen en la instalación, cambios o actualizaciones de los sistemas automatizados de información deberán ser validados por la Subdirección de Planeación Tecnológica, para que sean compatibles con la arquitectura e infraestructura instalada. Para la utilización de los sistemas automatizados de información de la DGSEI, se deben:

a) Utilizar solamente para los fines autorizados;

b) Registrar en inventarios actualizados; c) El uso y resguardo de la información es responsabilidad del servidor público al que le ha

sido asignado. 9.6 Configuración e instalación de servidores

La Subdirección de Planeación Tecnológica tiene la responsabilidad de verificar la instalación, configuración e implementación de seguridad, en los servidores conectados a la red.



Revisión 2

Fecha: 15/mar/2020

Página 27 de 70

Durante la configuración de los servidores la Subdirección de Planeación Tecnológica debe generar las políticas para el uso de los recursos de los sistemas y programas, y el Departamento de Operación de Redes debe generar las políticas para el uso de los recursos de la red, considerando la importancia de la restricción de directorios, permisos a ser ejecutados por los usuarios. Los servidores que proporcionen servicios a través de la red e internet deben:

a) Funcionar de conformidad a los Acuerdos de Nivel de Servicio convenidos;

b) Recibir mantenimiento preventivo de conformidad a lo establecido en el contrato;

c) Recibir mantenimiento que incluya depuración de logs;

d) Recibir mantenimiento que incluya la revisión de su configuración;

e) Ser monitoreados por el personal administrador de las tecnologías de información. La información de los servidores debe ser respaldada de acuerdo con los siguientes criterios, como mínimo:

a) Diariamente, información crítica;

b) Semanalmente, los documentos web;

c) Mensualmente, configuración de servidores automatizados de información y logs. 9.7 Comunicaciones Son los medios utilizados por la DGSEI que sirven para poner en contacto lugares o personas, servicios de correos, tales como teléfonos, faxes y medios de comunicación. 9.7.1 Correo electrónico

Los servidores públicos deben conocer los lineamientos de uso del correo electrónico y estar conscientes de que las cuentas de correo electrónico que se les asignan son exclusivamente para uso oficial, por lo que no deben usar cuentas de correo electrónico personales o que no sean del dominio oficial, ni recibir mensajes en cuentas de otros sin la autorización correspondiente. Los usuarios deben tratar los mensajes de correo electrónico y archivos como información de uso interno, como una comunicación privada y directa entre emisor y receptor; sin embargo están sujetos a la normatividad en materia de protección de datos personales, transparencia y administración de la información establecida. Para ello se establecen los siguientes lineamientos:



Revisión 2

Fecha: 15/mar/2020

Página 28 de 70

a) Los usuarios deben almacenar los mensajes de correo electrónico relevantes con base

en la adopción de mejores prácticas;

b) Los usuarios tienen prohibido el uso del correo electrónico oficial para la transmisión de información ajena a las labores institucionales de los usuarios;

c) El usuario será responsable del uso que haga de la cuenta de correo electrónico

institucional asignada;

d) Todo uso indebido del servicio de correo electrónico por parte del usuario, será motivo de bloqueo o suspensión temporal de la cuenta, y en caso de reincidencia de la cancelación de la misma;

e) Toda sesión o aplicación de correo electrónico debe ser cerrada por el usuario al

concluir su uso;

f) El usuario no debe dejar su correo electrónico accesible a terceros durante su ausencia cuando no esté haciendo uso del mismo.

Así mismo, el usuario de cuenta de correo electrónico oficial solo podrá:

Comunicar eventos, actividades, reuniones o seminarios de interés general y que estén relacionados directamente con la organización y con la oficina respectiva;

Enviar y recibir documentos de índole laboral, los cuales faciliten las actividades diarias de los Servidores Públicos de la organización;

Considerar el tamaño máximo del mensaje que se puede transmitir, el cual está estipulado por la Subdirección de Planeación Tecnológica dependiendo del licenciamiento;

Enviar mensajes masivos a través de correo electrónico sólo cuando se cuente con la autorización de un superior y se haya realizado la solicitud correspondiente a la Dirección de Gobierno Electrónico, área que presta este servicio.

Las cuentas de correo institucionales deben asignarse por área y de acuerdo a la estructura orgánica, en caso de programas oficiales permanentes, se valorará la asignación de cuentas de correo institucional con base en disponibilidad. La Subdirección de Planeación Tecnológica asignará una contraseña al momento de crear una cuenta de correo electrónico o por solicitud de restablecimiento por parte del titular de la misma, que entregará al usuario mediante sobre cerrado, así mismo deberá dar a conocer el procedimiento para la modificación de la misma al acceder por primera vez.



Revisión 2

Fecha: 15/mar/2020

Página 29 de 70

Los usuarios con cuenta de correo electrónico y acceso a internet son totalmente responsables del uso de los mismos con base en la normatividad aplicable. La Subdirección de Planeación Tecnológica deberá capacitar a los usuarios para dar el mantenimiento necesario a la cuenta de correo oficial y depurarlo. Para el caso del personal de nuevo ingreso que requiera la asignación de su cuenta de correo, el jefe inmediato superior debe realizar la solicitud vía correo electrónico u oficio y entregarlo a la Subdirección de Planeación Tecnológica. Para la creación y uso de contraseñas, será necesario cumplir las políticas establecida en el punto 9.4 de este documento.

Se deberá proporcionar la información cuando medie orden o mandato fundado y motivado, dictado por autoridad competente en el ejercicio de sus funciones. 9.7.2 Internet Los servicios de internet proporcionados por la DGSEI, sólo podrán proveerse a través de los servidores autorizados por la DITC. Por su estructura, el internet es global, por lo tanto la DGSEI, debe implementar un conjunto completo y autónomo de controles para proteger la seguridad de la información que se transmite a través de internet. Esta política aplica para cualquier servicio externo que se ofrezca, utilizando el protocolo de internet (IP). Las políticas se emplean de igual manera para las aplicaciones de internet, en particular:

Todas las conexiones de las computadoras al servicio de internet deben estar justificadas y aprobadas por el jefe del área, quien realizará la solicitud correspondiente a la DII y/o DITC; el acceso a las mismas debe estar restringido a usuarios autorizados para fines requeridos;

Está prohibido utilizar el servicio de internet cuando no se cuenten con el permiso expreso de la Dirección de Área correspondiente;

El Departamento de Operación de Redes inhabilitará todas las direcciones de internet que no se vinculen directamente con las funciones encomendadas, con excepción de aquellas que medie solicitud y autorización por escrito;

No debe transmitirse información confidencial o referida a valores a través de internet sin antes aplicar controles adicionales;

Los equipos de la DGSEI conectados a servicios de internet deben ser autónomos o bien estar ubicados en una zona DMZ protegida por firewalls autorizados;



Revisión 2

Fecha: 15/mar/2020

Página 30 de 70

Es responsabilidad de la Subdirección de Planeación Tecnológica mantener un dispositivo firewall entre la zona DMZ e internet.

Todos los servidores que se encuentren en el Centro de Datos, y aquellos que se pretendan ingresar al mismo, conectados a la red de la DGSEI deben:

a) Remover todos los servicios, programas utilitarios y software innecesarios, y contar con la validación de la Subdirección de Planeación Tecnológica y el Departamento de Operación de Redes;

b) Estar sincronizados en tiempo, previamente acordado con las áreas involucradas;

c) Ejecutar los procesos necesarios para llevar a cabo sus funciones, mismos que serán

notificados por parte del responsable del equipo para poder adecuar los controles de acceso al mismo;

d) Realizar su administración remota a través de canales cifrados;

e) Tener los registros apropiados en el DNS (al menos un registro A y un registro PTR) al

ubicarse en la zona DMZ;

f) Proporcionar acceso inmediato a los equipos y sistemas de bitácoras cuando:

El personal del área de Departamento de Operación de Redes justifique mediante solicitud;

Derivado de una práctica, auditoria o revisión se requiera verificar un equipo para acreditar que cumple con las funciones que tiene a su cargo.

La operación de controles de firewall deben estar sujetas a pruebas con regularidad, así como a monitoreo automatizado, tomando en consideración lo siguiente:

a) Todo cambio en la configuración del firewall, elementos como switches, ruteadores, concentradores, configuración de los servidores automatizados de información, o configuración en la topología de la red debe ser notificada al Departamento de Operación de Redes;

b) El Departamento de Operación de Redes debe implementar herramientas

automatizadas para prevenir la recepción de códigos ejecutables provenientes de internet que pudieran representar una amenaza para la seguridad informática de la DGSEI;

c) Está prohibido conectarse a cualquier red institucional utilizando equipos diferentes a los

que se encuentran oficialmente registrados. Cuando sea requerido el servicio, debe ser autorizado por el Departamento de Operación de Redes;



Revisión 2

Fecha: 15/mar/2020

Página 31 de 70

d) Todo usuario externo que requiera acceso a internet dentro de la DGSEI debe hacerlo

utilizando la cuenta habilitada por el Departamento de Operación de Redes;

e) Toda modificación en la instalación, operación y administración al equipo de comunicaciones inherentes a la red, tales como: nodos, paneles de parches, concentradores, switches, ruteadores, servidores, etc., debe ser solicitada a la DITC vía oficio, exponiendo su justificación;

f) Cuando se detecten anomalías en los servicios de red, se deben reportar inmediatamente la Mesa de Ayuda de la DGSEI;

g) Todo equipo de cómputo conectado a la red institucional debe identificarse y

autentificarse en el servicio de administración de directorios utilizado por la DGSEI;

h) Es responsabilidad de la subdirección de Planeación Tecnológica mantener actualizados tanto el sistema operativo como el software instalado en los servidores;

i) El acceso remoto a los equipos de la DGSEI debe requerirse mediante oficio firmado por

el director del área solicitante, dirigido a la DITC explicando la justificación del requerimiento y duración del mismo;

j) Todo tráfico entrante o saliente de la red de la DGSEI debe encontrarse protegido por

una herramienta de seguridad perimetral;

k) Los usuarios podrán utilizar los servicios de mensajería interna previamente aprobados por la Unidad Administrativa y que formen parte de las plataformas de comunicaciones actualmente instaladas o aquella que se designe como medio de comunicación más eficiente.

9.8 Administración y uso de servicios de redes

Administración de redes Las políticas de seguridad en cuanto a los sistemas de comunicación se deben aplicar a todos los equipos y sistemas automatizados de TIC que se operen dentro de la DGSEI y deben utilizarse controles de acceso a la red de comunicaciones y de enrutamiento de mensajes, para complementar los controles implementados en el equipo conectado a las redes de comunicaciones. En particular:

a) Cada una de las conexiones entre los sistemas de la DGSEI y servicios externos, incluyendo conexiones inalámbricas, LAN y de acceso telefónico, deben tener la autorización individual de la Dirección General y la DITC;

b) Debe reducirse al máximo la utilización de líneas telefónicas (dial-up) para conectarse

directamente a las redes internas de la DGSEI, y utilizarlo sólo cuando no se cuente



Revisión 2

Fecha: 15/mar/2020

Página 32 de 70

con alternativas prácticas para hacerlo por medio de las redes o cuando hacerlo así resultaría muy costoso. Cuando se haga uso del acceso telefónico, debe identificar y validar a los usuarios remotos, la devolución de llamadas (dial-back), el acceso a los

sistemas automatizados de información, los controles de pistas de auditoria y la utilización de SSH en lugar de telnet. Es responsabilidad de los servidores públicos que realicen acceso telefónico asegurar que la conexión no sea empleada por personas ajenas a la organización para ganar acceso a los recursos de la misma;

c) Todas las conexiones a los sistemas automatizados de información de la DGSEI por

medio de redes públicas deben ser protegidas con controles de seguridad apropiados, por ejemplo, mediante la utilización de red privada virtual (VPN) y autenticación de usuarios de dos factores;

d) No se permite emplear teléfonos celulares de tecnología analógica o GSM para

acceder a la red de la DGSEI;

e) Debe desplegarse el sistema de detección de intrusos según se considere adecuado y se justifique para detectar fallas de seguridad que afecten a las redes de comunicación;

f) Se deben utilizar estrictos métodos de autenticación para autorizar el acceso a la

configuración y las tareas de administración de la red. Uso de servicios de redes La Dirección General, la DITC y la Subdirección de Telecomunicaciones definirán los servicios de internet a ofrecer a los usuarios y se coordinarán con los administradores del Departamento de Operación de Redes para su otorgamiento y configuración. La Dirección General puede utilizar la infraestructura de la red para proveer servicios a los usuarios externos y/o visitas, previa autorización de la misma, y comunicarlo a los administradores del Departamento de Operación de Redes. Los administradores del Departamento de Operación de Redes son los responsables de la administración de contraseñas en el uso de la red y deben guardar su confidencialidad, siguiendo el procedimiento y las políticas para manejo de contraseñas. La Subdirección de Planeación Tecnológica y el Departamento de Operación de Redes realizarán las siguientes actividades en los servidores de dependencias usuarias:

a) Respaldar la información conforme a los procedimientos establecidos;

b) Revisar los logs y reportes de cualquier eventualidad;

c) Implementar de forma inmediata las recomendaciones de seguridad establecidas por el área para solventar los incidentes que se presenten;



Revisión 2

Fecha: 15/mar/2020

Página 33 de 70

d) Reportar posibles faltas a las políticas de seguridad;

e) Monitorear los servicios de red proporcionados por los servidores a su cargo;

f) Organizar y supervisar al personal encargado del mantenimiento preventivo y correctivo de los servidores que estén a cargo de la DGSEI;

g) Autorizar y asignar las cuentas a los usuarios de los servidores que estén a cargo de

la DGSEI.

La Subdirección de Planeación Tecnológica y el Departamento de Operación de Redes podrán aislar cualquier servidor de red, notificando a las Dirección General, Dirección de Área y dependencia usuaria las condiciones siguientes:

Si los servicios proporcionados por el servidor implican un tráfico adicional que impida un buen desempeño de la red;

Si se detecta la utilización de vulnerabilidades que puedan comprometer la seguridad en la red,

Si se detecta la utilización de programas que alteren la legalidad y/o consistencia de los servidores;

Si se detectan accesos no autorizados que comprometan la integridad de la información;

Si se violan las políticas de uso de los servidores;

Si se reporta un tráfico adicional que comprometa a la red de la organización. 9.8.1 Usuarios Identificación de usuarios y contraseñas Todos los usuarios con acceso a un sistema automatizado de información o a la red, dispondrán de una única autorización de acceso compuesta de identificador de usuario y contraseña. Ningún usuario recibirá un identificador de acceso a la red, recursos informáticos o aplicaciones hasta que no acepte formalmente, tener conocimiento de la Política Informática en Seguridad de la Información vigente.



Revisión 2

Fecha: 15/mar/2020

Página 34 de 70

El usuario debe definir su contraseña de acuerdo al procedimiento establecido para tal efecto y será responsable de la confidencialidad de la misma y cumplir las políticas sobre contraseñas establecida en el punto 9.4 de este documento.

Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recurso que precisen para el desarrollo de sus funciones. Los identificadores para usuarios temporales se configurarán para un corto período de tiempo. Una vez expirado dicho período, se desactivarán de los sistemas automatizados de información. El usuario debe renovar su contraseña y colaborar en lo que sea necesario, a solicitud de los administradores del Departamento de Operación de Redes, con el fin de contribuir a la seguridad de los servidores en los siguientes casos:

Cuando ésta sea una contraseña débil o de fácil acceso;

Cuando sospeche que ha sido violada la contraseña de alguna manera. El usuario debe notificar al Departamento de Operación de Redes en los siguientes casos:

Si observa cualquier comportamiento anormal (mensajes extraños, lentitud en el servicio o alguna situación inusual) en el servidor;

Si tiene problemas en el acceso a los servicios proporcionados por el servidor. Si un usuario viola las políticas de uso de los servidores, el Departamento de Operación de Redes podrá cancelar su acceso a los servidores, notificando el hecho a la DITC. 9.9 Teléfono y fax Sistemas telefónicos Un aspecto que preocupa en particular es la protección de la información confidencial y personal. Los sistemas telefónicos y conmutadores, son sistemas informáticos que deben protegerse, toda vez que en ellos se tratan asuntos confidenciales entre las dependencias. En particular:

a) Deben protegerse los equipos telefónicos mediante controles de acceso físico;

b) Debe regularse el mantenimiento y soporte administrativo mediante controles de acceso con contraseñas y cuando corresponda, controles adecuados sobre las comunicaciones para mantenimiento en las redes;

c) Debe conservarse una pista de auditoria (log) de todos los accesos administrativos y de

mantenimiento;



Revisión 2

Fecha: 15/mar/2020

Página 35 de 70

d) Deben aplicarse los procedimientos documentados de control de cambios de software;

e) Esta estrictamente prohibido comunicar o transmitir a través de telefonía móvil información confidencial o cualquier información referente a los controles de seguridad, tales como palabras clave y detalles de acceso a los sistemas;

f) Los planes diseñados para garantizar la continuidad de las operaciones deben abarcar

los servicios telefónicos esenciales. Fax La Dirección General debe tomar en consideración los controles de seguridad necesarios para proteger la información recibida o enviada mediante fax. Entre las consideraciones importantes se incluyen:

a) Los controles sobre los números programados;

b) La confirmación de instrucciones enviadas y recibidas;

c) Todos los documentos enviados deben contar con una carátula que identifique al remitente, destinatario, números de teléfono y fax para envío y recepción, fecha y hora de la transmisión y la cantidad de páginas transmitidas;

d) Las carátulas deben incluir el texto estándar de limitación de responsabilidad, que

determine la DGSEI;

Cuando se transmita información confidencial desde las instalaciones de la DGSEI se debe:

Dar aviso al destinatario de la misma, antes de transmitirla, y siempre que sea posible;

Investigar de inmediato cualquier demora en la transmisión;

Confirmar la recepción de la información;

Ser servidores públicos de la DGSEI quienes reciban toda información confidencial enviada a la organización;

Cuando sea necesario, debe verificarse en forma independiente la identidad y confiabilidad de la fuente y de los contenidos de los documentos recibidos;

En caso de que los registros sean necesarios como documentos fuente, se debe sacar una fotocopia del fax para mantener un registro de manera permanente;

En caso de contingencia, se debe garantizar la continuidad de las operaciones haciendo uso del fax;



Revisión 2

Fecha: 15/mar/2020

Página 36 de 70

Las líneas de fax son sólo para uso de la organización;

No se permite la instalación de líneas personales para servicio de fax. 9.10 Bases de Datos

El administrador de Base de Datos no debe eliminar ninguna información del sistema automatizado de información si no existe la autorización previa del Director de Área y el dueño de la información. El administrador de la Base de Datos es el encargado de asignar las cuentas de los usuarios. Las contraseñas serán asignadas por el administrador de la Base de Datos en el momento en que el usuario desee activar su cuenta, mediante solicitud previa enviada a la Subdirección de Planeación Tecnológica. En caso de olvido de contraseña de un usuario, será necesario seguir el procedimiento establecido por el área responsable. La generación de contraseñas debe cumplir las políticas establecidas en el punto 9.4 de este documento. 9.11 Respaldos de la información de bases de datos El administrador de las Bases de Datos del DGSEI debe realizar respaldos periódicamente en forma automática y manual, según los procedimientos generados para tal efecto, llevar un registro histórico de los mismos, indicando como mínimo: fecha, hora, nombre del responsable, descripción del contenido respaldado, medio de respaldo y lugar de alojamiento del mismo, así como un instructivo para su restauración. En caso de requerir restaurar información, es responsabilidad del usuario efectuar la misma llevando un registro en el que se indique como mínimo: fecha, hora, nombre de quien restaura y motivo de la restauración. El administrador de las Bases de Datos del DGSEI debe tener una réplica en uno o más equipos remotos alojados en un lugar seguro que permitan tener la continuidad de negocio. Los demás respaldos de las Bases de Datos (una copia completa) deben ser almacenados en un lugar seguro bajo los estándares de calidad para almacenamiento de medios magnéticos, que garanticen su preservación. Para reforzar la seguridad de la información los usuarios, bajo su criterio, deben hacer respaldos de la información de sus discos duros frecuentemente, dependiendo de la importancia y frecuencia de cambio; igualmente deben realizar una sincronización continua de la información importante de las dependencias. Los respaldos serán responsabilidad absoluta de los usuarios. 9.12 Aplicación de procesos



Revisión 2

Fecha: 15/mar/2020

Página 37 de 70

La DGSEI toma como referencia estándares internacionales que le permitan mejorar la calidad y prestación de sus servicios, en este sentido se establecen procesos de administración tecnológica en el marco de ITIL v3 (ISO 20000:2011), como una mejor práctica. 9.12.1 Administración de la Capacidad La Subdirección de Telecomunicaciones y la Subdirección de Planeación Tecnológica deben planificar y monitorear los requerimientos de capacidad en los componentes de la infraestructura, a fin de evitar fallas indebidas o una capacidad inadecuada de los sistemas automatizados de información y de comunicaciones, asegurando que siempre existan los niveles adecuados en la capacidad y sea rentable en todas las áreas de TI, cubriendo las necesidades presentes y las pronosticadas, para brindar un servicio oportuno. Para tal efecto, se deben documentar y ejecutar los siguientes controles:

a) Determinar los requisitos de Capacidad; b) Generar el Plan de Capacidad; c) Implementar el Plan de Capacidad; d) Monitorear y reportar la capacidad; e) Reportar e investigar las excepciones.

9.12.2 Administración de Cambios La Subdirección de Telecomunicaciones y la Subdirección de Planeación Tecnológica deben asegurar y utilizar, métodos y procedimientos estandarizados para un manejo eficiente y seguro de los cambios que se realizan en la infraestructura de TIC, para minimizar el impacto de incidentes relativos al cambio dentro de la calidad de servicio, y por consecuencia mejorar las operaciones diarias de la DGSEI. Los procedimientos deben estar documentados y abarca todos los tipos de cambios en los sistemas automatizados de información en producción, incluyendo software, equipos, máquinas y servicios mayores. Una planeación cuidadosa en el control de cambios debe incluir:

a) La identificación y documentación de todos los cambios, así como las tareas necesarias para hacerlos efectivos;

b) El establecimiento de las responsabilidades para todas las tareas;

c) La evaluación de problemas repetitivos y/o potenciales que pudieran surgir durante los

cambios planeados, o como resultado de los mismos, y las acciones generadas;

d) La aprobación documentada por el Comité de Cambios, o en su caso los directores de la DII o DITC, en los cambios emergentes;



Revisión 2

Fecha: 15/mar/2020

Página 38 de 70

e) La aprobación documentada por los directores de la DII o DITC, en todos los cambios;

f) La comunicación previa de los detalles del cambio a todos las personas involucradas;

g) La realización de una prueba, en un entorno claramente separado de las operaciones

de producción;

h) El monitoreo de los cambios después de haber sido implementados;

i) Los procedimientos y responsabilidades de recuperación en caso de cambios infructuosos, incluyendo el respaldo previo de la información;

j) La autorización para la finalización de cada cambio.

El administrador de cambios de la DGSEI debe:

a) Registrar; b) Analizar; c) Autorizar; d) Construir y probar; e) Implementar; f) Revisar y cerrar.

Los cambios de emergencia deben ser una excepción, y se debe considerar:

a) El proceso de emergencia está involucrado con la prioridad inicial de urgencia; b) Asegurar que el Comité de Cambios está involucrado; c) Necesita ser rápido, pero controlado; d) Considerar el retorno como un estadío previo confiable; e) Construcción del cambio preparado por grupos técnicos con experiencia; f) Considerar pruebas anticipadas; g) Si no hay pruebas, asegurar que un equipo de soporte adecuado estará listo en

cuanto se requiera; h) Comunicar al usuario el avance tanto como sea posible.

En todos los casos se debe asegurar que el contenido de la CMS y el estado de los elementos de configuración individuales permanezcan actualizados en todo momento. Los cambios de emergencia realizados en los sistemas automatizados de información en producción, deben ser autorizados y registrados de manera individual, y verificados independientemente para confirmar las acciones tomadas. Los procedimientos de cambios de emergencia no deben sustituir los procedimientos de cambio normales autorizados, respetando los tiempos acordados en sus Acuerdos de Nivel de Servicio (SLA).



Revisión 2

Fecha: 15/mar/2020

Página 39 de 70

9.12.3 Administración de Incidentes Un incidente de seguridad es una falla en la confidencialidad, integridad o disponibilidad de la información que ha causado, o es probable que cause, algún daño material, financiero, de imagen o de cualquier otro tipo a la DGSEI. La Subdirección de Telecomunicaciones y la Subdirección de Planeación Tecnológica deben asegurar que todos los incidentes de seguridad son resueltos y los servicios son restaurados lo más rápido posible, acorde a la definición de prioridades y con un mínimo de interrupción del servicio y respetando los tiempos acordados en sus Acuerdos de Nivel de Servicio (SLA). La administración de incidentes debe asegurar que se cumple con el proceso ejecutando:

a) La identificación y registro; b) La categorización; c) La asignación de prioridad; d) El diagnóstico inicial; e) El escalado (si se requiere); f) La investigación y diagnóstico; g) La solución del incidente y recuperación del servicio; h) El cierre; i) El monitoreo y seguimiento.

En caso de que se produzca un incidente mayor en la seguridad informática, la Subdirección de Telecomunicaciones y la Subdirección de Planeación Tecnológica deben:

a) Registrar y documentar todos los hechos pertinentes respecto a la falla de manera tal que puedan ser aceptados como evidencia legal;

b) Documentar en detalle todas las medidas de emergencia y recuperación del

curso normal de las operaciones que hayan sido adoptadas;

c) Revisar y fortalecer a la brevedad los controles de seguridad informática a fin de evitar la recurrencia de la falla;

d) Asegurar los registros correspondientes en caso de auditoria, así como la

documentación requerida para el análisis de los problemas internos, la compensación de negociaciones con terceros externos, o la evidencia para procedimientos legales.

9.12.4 Administración de Problemas La Administración de Problemas debe buscar e identificar la causa raíz de los incidentes y tomar las acciones de mejora o correctivas necesaria, con el fin de minimizar el impacto adverso de los incidentes y/o problemas de TI dentro de la DGSEI, con el fin de prever la recurrencia de incidentes o que surjan problemas.



Revisión 2

Fecha: 15/mar/2020

Página 40 de 70

La administración de problemas debe incluir las siguientes tareas mayores:

a) Detección y registro; b) Categorización; c) Priorización; d) Investigación y diagnóstico; e) Identificar soluciones alternativas (Soluciones temporales); f) Levantar un registro de Error Conocido; g) Resolución; h) Cierre; i) Monitoreo y seguimiento;

9.13 Registros documentados

La Subdirección de Planeación Tecnológica y el Departamento de Operación de Redes, deben documentar los procedimientos para la operación de todos los sistemas automatizados de información y de comunicaciones, mismos que deben incluir:

a) El inicio y el cierre de los sistemas automatizados de información;

b) Mantenimiento, depuración y soporte técnico de los sistemas automatizados de información;

c) Programación y operación de las tareas;

d) Tratamiento de los archivos, datos, información de salida, protección de la

información confidencial, se debe mantener un inventario de los archivos de datos más importantes;

e) Copias de resguardo de la información y planes de contingencia;

f) Recuperación de errores;

g) Eliminación segura de los desechos generados por los propios sistemas automatizados

de información;

h) Registro y monitoreo independiente del uso y operación de todos los equipos;

i) Inspección periódica, ya sea por medios manuales o automáticos, del equipo de escritorio y cualquier otro equipo del que se considere que representan un alto riesgo, para identificar todo software o dispositivos adicionados o módems no autorizados;

j) La documentación debe ser guardada en forma segura y tratada como confidencial,

conservando copias de resguardo de toda la documentación esencial de manera separada e identificada de manera previa según los criterios establecidos por el área.



Revisión 2

Fecha: 15/mar/2020

Página 41 de 70

Las áreas deben mantener evidencia de todos los registros generados durante la ejecución de dichos procedimientos. Registro de fallas: Deben documentarse todas las fallas técnicas importantes detectadas en los sistemas automatizados de información y de comunicaciones. Los registros de fallas deben ser:

a) Revisados por la dirección correspondiente, a fin de garantizar que se diagnostiquen y resuelvan las fallas satisfactoriamente;

b) Retenidos como evidencia para negociar una compensación u otros fines similares con

los proveedores del equipo. Deben revisarse las medidas correctivas, a fin de asegurarse que no se hayan comprometido los controles de seguridad y que se autorizó debidamente la medida correctiva adoptada. 9.14 Seguridad de la información

Todo el personal que labora dentro de la DGSEI es responsable del manejo de la información que tiene a su cargo y de aquella a la que tiene acceso para realizar sus funciones, debe mantener la confidencialidad necesaria y realizar de manera periódica los respaldos de su información para garantizar su prevalencia. 9.14.1 Acuerdos de confidencialidad La Dirección General debe establecer la firma de los acuerdos de confidencialidad por el personal de la organización e ir incluyendo al personal que sea de nuevo ingreso, indicando las necesidades de la organización para la protección de datos, y revisar periódicamente su vigencia; en caso de incumplimiento establecer las medidas disciplinarias necesarias.

9.15 Protección de la información fuera de las instalaciones

Transportación de la información Las áreas o servidores públicos que por sus actividades requieren realizar la transportación de información, deben implementar los controles apropiados para proteger la información y evitar fallas de seguridad durante la transportación de cualquier unidad de almacenamiento. Estos controles deben incluir los requisitos para:

a) Proteger la integridad del contenido de la información;

b) Autenticar los puntos de origen y recepción;

c) Proteger la confidencialidad de la información en tránsito;

d) Verificar que el equipo cuente con licencias válidas para evitar riesgos;



Revisión 2

Fecha: 15/mar/2020

Página 42 de 70

e) Verificar que no se procese información confidencial en equipos privados no autorizados;

f) Realizar los respaldos adecuados de la información de la DGSEI antes de sacarla de las instalaciones, con el objeto de protegerse contra una pérdida de información mientras esté fuera de las instalaciones;

g) Borrar toda la información de la DGSEI del equipo privado incluyendo el vaciado de las

papeleras de reciclaje y los archivos cache del navegador, tan pronto como se haya concluido con el trabajo;

h) Registrar los detalles pertinentes en una pista de auditoria.

Se deben modificar los paquetes que muestren su contenido para así proteger las unidades de almacenamiento físico de información; y para la entrega deben utilizarse métodos seguros. De igual manera, para proteger información confidencial debe considerarse el dividir el envío en varias partes. De ser necesario, debe llevarse a cabo una evaluación de riesgo para identificar y justificar los controles. Las áreas especializadas de la DGSEI deben investigar todos los casos sobre aparentes violaciones de estos controles. 9.16 Uso de Certificados Digitales, Controles Criptográficos, Encriptación y Llaves

La Subdirección de Planeación Tecnológica y el Departamento de Operación de Redes deben considerar el uso de:

a) Códigos de validación de mensajes y controles de la integridad de los archivos para evitar una modificación no autorizada de la información;

b) Certificados digitales, en los casos en que la incapacidad de comprobar la

recepción o el envío de información automatizada de, o hacia contrapartes específicas, expondría a la DGSEI a un riesgo inaceptable;

c) El cifrado de la información automatizada en los casos en que una divulgación no

autorizada de dicha información expondría a la DGSEI a un riesgo inaceptable. Los ejemplos de información confidencial incluyen, sin ser exhaustivos:

Información sobre datos personales de servidores públicos de la DGSEI u otros individuos que puedan ser identificados;

Información sobre controles de seguridad, tales como contraseñas de acceso a sistemas automatizados de información;



Revisión 2

Fecha: 15/mar/2020

Página 43 de 70

El riesgo de que ocurra una divulgación no autorizada de información se incrementa si se transmite o procesa información confidencial en equipos que no estén bajo el control total de la DGSEI, por lo que esto queda estrictamente prohibido. Se evitará en lo posible la utilización de medios de almacenamiento externos, redes no controladas por la DGSEI, así como la transmisión de información a través de redes de dominio público. Administración de los sistemas y las llaves de cifrado Si se implementan esquemas de cifrado de información debe recurrirse, siempre que sea posible, a una administración automatizada de la llave de cifrado, así como a métodos de distribución. Se debe garantizar que:

a) El proceso de cifrado es llevado a cabo en equipos seguros con dispositivos a prueba de modificaciones, de manera que no puedan hacerse visibles los valores de la llave. Debe evitarse hacer uso de procesos de cifrado de software y la clave de cifrado nunca debe estar visible en el código de la máquina;

b) Se almacena la llave en lugar seguro y será transportada con dispositivos de

seguridad;

c) Cuando sea necesario recurrir a métodos manuales, las llaves de cifrado de información deben ser generadas, grabadas, almacenadas, manipuladas e ingresadas en los dispositivos de cifrado bajo control dual; de manera que en ningún momento una sola persona posea las llaves completas, y que toda manipulación manual de los componentes de la llave sea documentada minuciosamente y en detalle;

d) Se cumple con los requisitos de seguridad informática sobre la extensión mínima de

la llave de cifrado;

e) Los valores obsoletos de la llave son destruidos de inmediato utilizando métodos seguros;

f) Se implementa el cifrado utilizando los algoritmos y técnicas estándar en los servicios

públicos ofrecidos que correspondan. Cuando no se especifiquen estos, la política es utilizar triple algoritmo de seguridad bajo la asesoría del área especializada;

g) Ninguna llave de cifrado puede ser usada para soportar más de un propósito de cifrado,

y los valores de la llave deben ser cambiados periódicamente utilizando métodos seguros con la frecuencia que el riesgo amerite;

h) Todas y cada una de las inhabilitaciones temporales o permanentes de los controles

de cifrado deben tener la autorización de la DITC. Toda inhabilitación temporal debe hacerse bajo supervisión y sus controles deben ser restablecidos tan pronto como sea posible;



Revisión 2

Fecha: 15/mar/2020

Página 44 de 70

i) Se cuenta con los procedimientos para permitir un cambio de llaves en caso de emergencia;

j) Cualquier violación a estos controles se considera como un incidente de seguridad.

Se debe garantizar que los controles de cifrado sean diseñados, implementados, operados, administrados y mantenidos con cuidado, para garantizar que el nivel de riesgo sea disminuido de manera efectiva y eficiente. Para optimizar la eficiencia y capacidad de respuesta operacional de los sistemas de la DGSEI, debe implementarse el cifrado de información utilizando métodos que sean independientes de la infraestructura, del sistema de comunicación y de las aplicaciones, a menos que lo justifique el riesgo en ciertos casos específicos. 9.17 Controles de acceso a sistemas automatizados de información

Principios Generales El acceso a los sistemas automatizados de información importantes o críticos, debe estar restringido y so lo e l personal autorizado tendrá acceso a los mismos, dicho acceso se debe solicitar por escrito al responsable del mismo realizando la justificación correspondiente, y registrar la identidad del usuarios. La Subdirección de Planeación Tecnológica y el Departamento de Operación de Redes deben controlar el acceso a los sistemas automatizados de información por medio de identidades de usuario y contraseñas secretas asignadas a usuarios autorizados. El software de seguridad debe estar adecuadamente protegido contra acceso o modificaciones no autorizadas. Esta disposición aplica para el acceso del personal de la DGSEI a todos los tipos de sistemas automatizados de información y aplicaciones internas, incluyendo equipos de telecomunicación de información y voz, servidores, PC y otras estaciones de trabajo. Responsabilidades y división de deberes La Subdirección de Planeación Tecnológica y el Departamento de Operación de Redes deben garantizar que:

a) Las responsabilidades para la administración de controles de acceso al sistema estén separadas de otros deberes incompatibles, si dicha situación debilita de manera inaceptable los controles de seguridad;

b) Que la operación de sistemas automatizados de información, el soporte técnico, el

desarrollo de sistemas incluyen la administración de accesos y su utilización para fines de la organización;



Revisión 2

Fecha: 15/mar/2020

Página 45 de 70

c) Se documentan todas las solicitudes para crear, cambiar o borrar los derechos de

un usuario de sistema automatizado de información, y que dichos procedimientos cuenten con la autorización de la administración de usuarios, y de ser necesario, la del dueño de la información y de los sistemas automatizados de información que le conciernan; guardando dicha documentación como referencia por un periodo no menor a 6 meses;

d) Que los procedimientos cumplen con los controles adicionales de los requisitos que

representen un alto riesgo particular, tales como el mantenimiento del equipo y las contraseñas creadas para usarse una sola vez para la resolución de problemas del sistema automatizados de información en producción;

e) Que los detalles de las identidades y contraseñas de usuario sean distribuidas a los

usuarios del sistema automatizado de información, a través de medios seguros;

f) Que los derechos de acceso al sistema automatizado de información sean revisados con regularidad y cancelados cuando el usuario ya no los requiera. Los administradores deben asignar un responsable específico para la revisión y mantenimiento de contraseñas;

g) Que los procedimientos administrativos sean supervisados, para asegurarse que los

controles sean adecuados en relación con el riesgo, y sean operados de forma correcta y coherente.

Identidades de usuarios La Subdirección de Planeación Tecnológica y el Departamento de Operación de Redes deben:

a) Identificar de forma única a un usuario individual;

b) Identificar los derechos de acceso a un sistema específico otorgado a un usuario, evitando proporcionar información acerca de la contraseña del usuario o los sistemas concernientes. En casos excepcionales, las áreas especializadas pueden autorizar identidades genéricas para identificar a grupos bien definidos de usuarios para fines específicos.

Contraseñas acceso a sistemas automatizados de información Políticas:

Todas las contraseñas a nivel sistema automatizado de información (root, administrador, enable y cualquier cuenta con privilegios de administración) deben cambiarse al menos cada seis meses;

No se comparten;



Revisión 2

Fecha: 15/mar/2020

Página 46 de 70

No se deben insertar en mensajes de correo electrónico u otro medio de comunicación electrónica;

Siempre que sea posible se aplicarán herramientas automatizadas según se considere apropiado, para monitorear el cumplimiento de las contraseñas.

Se debe cumplir lo establecido en el punto 9.4.

Para el caso de proyectos que incluyan el desarrollo de sistemas automatizados de información realizados por terceros, la unidad administrativa solicitante es responsable de definir los procesos a automatizar y especificar los requerimientos del sistema, validar la funcionalidad y avalar la transferencia del conocimiento necesaria para la administración y operación futura del sistema automatizado de información, así como integrar el expediente correspondiente a lo largo del proyecto. La unidad administrativa solicitante debe enviar copia actualizada de la documentación del expediente del proyecto a la DII, para que ésta pueda realizar las actividades de seguimiento necesarias y asegurar el cumplimiento normativo. La metodología para administración de proyectos en materia de desarrollo de sistemas automatizados de información debe considerar al estándar vigente emitido para tal efecto. La DII podrá realizar las actividades de seguimiento necesarias para asegurar su cumplimiento. Una vez liberado un sistema automatizado de información por el área de desarrollo, el usuario tiene el periodo especificado en el documento en el que se notifica la conclusión del sistema para realizar observaciones, transcurrido el tiempo estipulado, se procederá al cierre del sistema. Después del cierre de un sistema automatizado de información desarrollado por la DGSEI, cualquier nuevo requerimiento será considerado como un cambio al mismo, y debe realizarse la solicitud del cambio mediante oficio a la DII. Control de acceso a sistemas automatizados de información En el control de acceso a los sistemas automatizados de información se debe:

a) Cumplir las políticas sobre contraseñas establecida en el punto 9.4;

b) Almacenar las contraseñas cifrándolas una sola vez para evitar que sean fácilmente descubiertas. Si las contraseñas son distribuidas de forma electrónica a lo largo de las redes, las mismas deben ser cifradas;

c) Concientizar a los usuarios para que cambien sus contraseñas, se debe solicitar que

lo hagan inmediatamente después de recibir su contraseña inicial o cuando se emita una nueva contraseña, y de ahí en adelante al menos cada 3 meses transcurridos. Debe tomarse en consideración un cambio más frecuente de contraseña, en el caso de aplicaciones críticas tales como los sistemas de pago o nómina y el acceso para resolución de problemas a los sistemas automatizados de información en producción. Si en circunstancias excepcionales se autorizan contraseñas compartidas, éstas deben



Revisión 2

Fecha: 15/mar/2020

Página 47 de 70

ser cambiadas con prontitud tras su emisión inicial, de igual manera cuando alguno de los usuarios ya no cuente con más autorización para su uso;

d) Evitar que los usuarios seleccionen nuevamente contraseñas que hayan utilizado

recientemente para garantizar un grado razonable de cambio regular;

e) Desplegar un aviso que advierta que sólo los usuarios autorizados pueden acceder al sistema y que cualquier acceso no autorizado podría ser considerado como un acto que genere motivo de responsabilidad jurídica;

f) Evitar desplegar las contraseñas o cualquier otra información que pudiera servir de ayuda para acceder, sin autorización a terminales de computadoras o impresoras. Las contraseñas no deben ser registradas en pistas o registros de auditoría;

g) Suspender los derechos de acceso del usuario:

Tras tres intentos fallidos consecutivos de inicio de sesión.

Si no se logra un inicio de sesión en el tiempo máximo establecido.

h) Suspender los derechos de acceso del usuario que no hayan sido utilizados durante un periodo de 90 días consecutivos. Posteriormente, las cuentas de usuario suspendido deben ser borradas;

i) Registrar una pista de auditoria de todos los intentos fallidos de inicio de sesión

en sistemas automatizados de información críticos, identificados con base en la categorización de riesgos;

j) Concluir la sesión de las terminales si las mismas permanecen inactivas por más

tiempo del estipulado como tiempo máximo. Cuando esto no sea posible, implementar protectores de pantalla protegidos con contraseña.

9.18 Desarrollo y mantenimiento de los sistemas automatizados de información

Principios Generales Los requisitos de seguridad informática solicitados en los sistemas automatizados de información, deben ser administrados por la DII y las áreas adscritas a ésta, a lo largo de todas las etapas del desarrollo del sistema, asegurando esos candados como parte de todos los demás requisitos para optimizar la efectividad y el costo de los controles de seguridad. La unidad administrativa solicitante validará que la adquisición y actualización del software sea compatible con el equipo de cómputo actual o con el que pretende adquirirse, así como su interoperabilidad para compartir información al interior de la institución y con otros organismos. Son responsables del mantenimiento de los sistemas automatizados de información, las unidades administrativas que desarrollen los mismos.



Revisión 2

Fecha: 15/mar/2020

Página 48 de 70

El titular del área a la que pertenece el proceso o metodología de desarrollo, debe establecer por escrito los usuarios y sus niveles de acceso a la aplicación. Cuando la automatización requiera de la incorporación de catálogos de información o datos, estos serán los oficiales que apliquen en el sector, de lo contrario el área usuaria será responsable de entregar la información correspondiente solicitada por la DII. La distribución y/o manejo de información es responsabilidad de cada área usuaria dueña del sistema y/o proceso. Cuando un área usuaria solicite algún cambio de estructura o funcionalidad de un sistema de información, la solicitud debe ser realizada vía oficio a la DII, anexando la documentación correspondiente exponiendo los cambios solicitados, así como el impacto resultante, los cuales deberán ser validados por la DII. Delimitación de actividades La DII debe separar las responsabilidades y funciones del desarrollo y mantenimiento de sistemas de aplicaciones, de aquellas destinadas a la operación de sistemas de producción, manteniendo controlados los ambientes de pruebas y producción. Análisis y especificaciones de los requisitos de seguridad Los requisitos solicitados para establecer los controles de seguridad informática, así como las soluciones seleccionadas, deben ser claramente documentados por todos los involucrados en los proyectos de desarrollo de sistemas automatizados de información. Para todos los proyectos de la DGSEI, esta información debe estar ordenada en un documento (carpeta) por separado y debidamente identificado. Además de los controles de seguridad informática básicos, la DII debe considerar y satisfacer la aplicación de requisitos de control específico. Debe emprenderse un análisis de los requisitos de seguridad del área solicitante con base en una evaluación documentada del riesgo. Los proyectos que implementen paquetes de software comprados deben incluir los requisitos de seguridad para la selección del producto y el proceso de obtención del mismo. El diseño de los sistemas automatizados de información debe tomar en consideración los requisitos de las aplicaciones para:

a) Los controles específicos de acceso basados en contraseñas de sistema e identidades de usuario, y la estructura y presentación de los menús de las aplicaciones;

b) El cifrado de extremo a extremo u otra información de control de seguridad;

c) El cumplimiento con la legislación y regulación correspondiente, incluyendo la

relacionada con la protección y privacidad de la información, y otras regulaciones,



Revisión 2

Fecha: 15/mar/2020

Página 49 de 70

incluyendo la utilización de pantallas de terminal al momento que el usuario inicie la sesión;

d) El cumplimiento con las normas técnicas establecidas en la DII que se empleen

para determinados sistemas automatizados de información en particular; e) Las pistas de auditoría, tomando en cuenta los requisitos de control e investigación

del área;

f) Los controles de las aplicaciones para la prevención de errores, los controles de detección y contingencias, incluyendo las necesidades en términos de:

Controles de la integridad de la información cuando ésta se ingresa en línea o fuera de ella;

Alimentación automática de datos y archivos de datos;

Identificación y autenticación de los usuarios;

Autorización de transacciones;

Requisitos especiales para sistemas automatizados de información, de autoservicio;

Controles independientes de procedimientos;

Otros controles para complementar los “controles automatizados”.

g) Requisitos de auditoría interna y externa.

Pruebas

La DII debe probar los controles específicos de seguridad informática de las aplicaciones como parte integral de los planes de prueba de proyectos, y deben estar sujetos a la aceptación por escrito, por parte del usuario, al igual que los otros requerimientos de los sistemas. Siempre que sea posible, la información en tiempo real no debe ser usada para fines de pruebas y capacitación. En caso de ser utilizada:

a) Los procedimientos de prueba deben garantizar que los riesgos asociados no sean mayores que los aceptados por los sistemas de producción;

b) Debe contarse con el consentimiento previo de la DII y del usuario;

c) Todos los vaciados de memoria de almacenamiento y las salidas de datos para fines

de diagnóstico o pruebas que pudieran contener información confidencial, deben ser eliminados de forma segura.

Seguridad de la información y documentación del proyecto Durante todo el proceso de desarrollo:



Revisión 2

Fecha: 15/mar/2020

Página 50 de 70

a) El software, la información y la documentación del desarrollo de los sistemas automatizados de información debe ser considerada confidencial;

b) Deben ejercerse la administración de cambios y los controles de acceso apropiados

para la información y la documentación del proyecto;

c) Los registros de las revisiones formales del proyecto, deben conservarse por un periodo mínimo de 5 años y un año adicional de reserva, específicamente:

La aprobación por parte de la DII de los resultados de las pruebas al sistema, incluyendo las pruebas de seguridad;

El Certificado de Implementación, que registre la aceptación de la DII, y la aceptación del área usuaria de que se ha cumplido con todos los requisitos operacionales.

d) Deben aplicarse procesos documentados de administración de configuración y cambios a la transición entre los proyectos de desarrollo y la puesta en marcha en producción.

Sin prejuicio de lo aquí establecido se debe cumplir con las determinaciones del área especializada relacionada a sistemas y la normatividad vigente en la materia. 9.19 Antivirus

Se debe utilizar un antivirus en todos los equipos de cómputo utilizados en la DGSEI, para el desarrollo de las siguientes actividades:

a) Escanear todos los archivos que ingresen en el entorno informático de la DGSEI por e-mail, CD, USB o cualquier otra fuente externa tal como el internet para identificar, informar y, si se considera necesario, eliminar virus informáticos en la primera oportunidad que se tenga;

b) Corregir o mantener en cuarentena todos los archivos enviados desde la DGSEI a los usuarios, proveedores y otras contrapartes externos por e-mail u otros medios, para asegurarse que la DGSEI no esté distribuyendo virus sin saberlo;

c) Actualizar las versiones antivirus por lo menos una vez a la semana;

d) El responsable del equipo debe ejecutar por lo menos una vez a la semana el

antivirus instalado en el equipo de cómputo;

e) El usuario no debe desinstalar la solución antivirus de su computadora pues ocasiona un riesgo de seguridad ante el peligro de virus;

f) Las carpetas compartidas, dentro de una red, deben tener una clave de acceso, misma

que debe ser cambiada periódicamente;



Revisión 2

Fecha: 15/mar/2020

Página 51 de 70

g) El correo electrónico es un medio de transmisión de virus, por lo que hay que tener especial cuidado en su utilización;

h) No ejecutar ningún archivo contenido en un mensaje de correo no solicitado o enviado

por un remitente desconocido;

i) Verificar cualquier software que haya sido instalado, asegurándose que proviene de fuentes conocidas y seguras;

j) No instalar productos que se descargan de Internet; k) Evitar ejecutar o abrir archivo con doble extensión;

l) Si el antivirus detecta un archivo infectado que no puede ser reparado, entonces debe

ser eliminado. Los ataques de virus significativo deben ser considerados incidentes de seguridad y tratados en consecuencia de acuerdo al Proceso Administración de Incidentes. 9.19.1 Políticas antivirus

Todos los equipos de cómputo conectados a la red institucional deben tener instalado un antivirus, el cual debe estar actualizado, para evitar amenazas e intrusiones no deseadas. En cualquier proceso interno de asignación y/o rotación de equipos de cómputo se debe ejecutar un procedimiento previo de eliminación total de la información, con el fin de que el nuevo usuario del equipo no tenga acceso a información no autorizada, de igual manera será necesario realizar un check list para su alistamiento, en la cual se debe encontrar la instalación de antivirus. 9.19.2 Uso del antivirus por los usuarios

a) El usuario debe comunicarse con los ATI en caso de que se presenten problemas de virus para buscar la solución;

b) El usuario será notificado por personal del Departamento de Operación de Redes en los siguientes casos:

Cuando se realicen mantenimientos a la red;

Cuando sea desconectado de la red con el fin evitar la propagación del virus a otros usuarios de la dependencia;

Cuando sus archivos resulten con daños irreparables por causa de virus;

Cuando viole las políticas antivirus.



Revisión 2

Fecha: 15/mar/2020

Página 52 de 70

9.20 Control de aplicaciones y dispositivos

Las áreas especializadas establecerán las reglas que permitan controlar el acceso a las aplicaciones y/o dispositivos, así como a los recursos de sistemas automatizados de información, con el fin de prevenir riesgos de infección y/o seguridad; no se bloqueará el acceso a dispositivos como CD/DVD-ROM, USB o discos externos. 9.21 Cobertura de redes inalámbricas

A pesar de que se usan amplificadores de señal, la cobertura queda sujeta a diversos factores, por lo que no se garantiza en ninguna forma el acceso desde cualquier punto fuera de cobertura de la DGSEI;

Sólo será soportado el protocolo TCP/IPV.4 en las redes inalámbricas;

El Departamento de Operación de Redes se reserva el derecho de limitar los anchos de banda de cada conexión según sea necesario, para asegurar la confiabilidad y desempeño de la red, y de esta manera garantizar que la red sea compartida de una manera equitativa por todos los usuarios;

No se permite la operación ni instalación de “puntos de acceso” (access points) conectados a la red cableada de la DGSEI sin la debida autorización por parte del Departamento de Operación de Redes;

No se permite configurar las tarjetas inalámbricas como “puntos de acceso” o la configuración de equipos como servidores adicionales.

10 Seguridad Perimetral

Principios Generales

La seguridad perimetral es uno de los métodos de protección de la red, basado en el establecimiento de recursos de seguridad en el perímetro externo de la red y a diferentes niveles. Esto permite definir niveles de confianza, permitiendo el acceso a determinados usuarios internos o externos, delimitando los servicios y denegando cualquier tipo de acceso a otros. El Departamento de Operación de Redes implementará soluciones lógicas y físicas que garanticen la protección de la información de la DGSEI de posibles ataques internos o externos, bajo las siguientes actividades:

Rechazar conexiones a servicios comprometidos;

Permitir sólo ciertos tipos de tráfico (correo electrónico, http, https);



Revisión 2

Fecha: 15/mar/2020

Página 53 de 70

Proporcionar un único punto de interconexión con el exterior;

Redirigir el tráfico entrante a la intranet hacia los sistemas indicados;

Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde internet;

Auditar el tráfico entre el exterior y el interior;

Ocultar información: nombres de sistemas, topología de la red, tipos de dispositivos de red, cuentas de usuarios internos.

10.1 Firewall

Al Departamento de Operación de Redes le corresponde:

a) Brindar soluciones de seguridad perimetral, la cual debe ser controlada por medio de firewall (hardware) que se encarga de controlar puertos y conexiones, es decir, de permitir el paso y el flujo de datos entre los puertos, ya sean usuarios o servidores. Este equipo debe estar cubierto con un sistema de alta disponibilidad que permita la continuidad de los servicios en caso de fallo;

b) Establecer las reglas necesarias en el firewall para bloquear, permitir o ignorar el flujo

de datos entrante y saliente de la red;

c) Bloquear las “conexiones no autorizadas” a través del firewall y no dejarlas pasar para que no causen problemas;

d) Controlar los ataques de “Denegación de Servicio” a través del firewall y controlar

también el número de conexiones que se están produciendo, y en cuanto detecten que se establecen más de las normales desde un mismo punto, bloquearlas y mantener el servicio a salvo;

e) Controlar las aplicaciones que acceden a internet para impedir que programas a los

que no hemos permitido la entrada a internet, puedan enviar información interna al exterior (tipo troyanos);

f) Desactivar el firewall de Windows y establecer políticas de reglas centralizadas;

g) Detectar y bloquear automáticamente ataques de red o navegadores de internet.

10.2 Sistemas de Detección de Intrusos (IDS)

Un sistema de detección de intrusos (o IDS por sus siglas en inglés Intrusion Detection System) es una aplicación usada para detectar accesos no autorizados a un computador/servidor o una red. Estos accesos pueden ser ataques realizados por usuarios malintencionados con conocimientos de seguridad o a través de herramientas automáticas.



Revisión 2

Fecha: 15/mar/2020

Página 54 de 70

Los administradores de las tecnologías de información implementarán soluciones lógicas y físicas que impidan el acceso no autorizado a los equipos de la DGSEI, tales como:

Detección de ataques en el momento que están ocurriendo o poco después;

Automatización de la búsqueda de nuevos patrones de ataque, con herramientas estadísticas de búsqueda y el análisis de tráfico anómalo;

Monitorización y análisis de las actividades de los usuarios en busca de elementos anómalos;

Auditorías de configuraciones y vulnerabilidades de los sistemas de IDS;

Detectar sistemas con servicios habilitados que no se deberían de utilizar, mediante el análisis del tráfico y de los logs;

Análisis de comportamiento anormal. Si se detecta una conexión fuera de hora, reintentos de conexión fallidos y otros, existe la posibilidad de que se esté en presencia de una intrusión. Un análisis detallado del tráfico y los logs puede revelar una máquina comprometida o un usuario con su contraseña al descubierto;

Automatizar tareas como la actualización de reglas, la obtención y análisis de logs, la configuración de firewall.

La red de la DGSEI sólo podrá acceder a los parámetros que el firewall tenga permitido o posibilite mediante su configuración.

10.3 Redes Privadas Virtuales (VPN)

Administración de redes Los equipos de comunicaciones están sujetos a las mismas normas de seguridad que otros equipos y sistemas de tecnologías de la información, por lo que el Departamento de Operación de Redes debe utilizar controles de acceso a la red de comunicaciones y de enrutamiento de mensajes para complementar los controles implementados en el equipo conectado a las redes. En particular:

a) Cada una de las conexiones entre los sistemas de la DGSEI y servicios externos, incluyendo conexiones inalámbricas, LAN y de acceso telefónico, debe tener la autorización de la DITC;

b) Todas las conexiones a los sistemas de la DGSEI por medio de redes públicas

deben ser protegidas con controles de seguridad apropiados;



Revisión 2

Fecha: 15/mar/2020

Página 55 de 70

c) No se permite emplear teléfonos celulares de tecnología analógica o GSM para acceder a la red de la DGSEI;

d) Debe desplegarse el sistema de detección de intrusos según se considere adecuado

y se justifique para detectar fallas de seguridad que afecten a las redes de comunicación;

e) Se debe considerar la utilización de estrictos métodos de autenticación para autorizar

el acceso a la configuración y las tareas de administración de la red; f) No se permite la creación de cuentas de usuario locales dentro de los ruteadores.

Los ruteadores deben emplear TACACS para toda autenticación de usuarios;

g) La contraseña de enable para el ruteador debe mantenerse cifrada;

h) Deshabilitar el IP directed broadcast;

i) Deshabilitar la aceptación de paquetes de datos entrantes con direcciones inválidas;

j) Deshabilitar todos los servicios web ejecutándose en el ruteador;

k) Todo cambio de configuración en la topología de la red debe ser notificada a la DITC. Deben implementarse herramientas automatizadas para prevenir la recepción de códigos ejecutables provenientes de internet que pudieran representar una amenaza para la seguridad informática de la DGSEI. Para aplicaciones en red, es responsabilidad de cada administrador respaldar la base de datos del servidor bajo su resguardo de acuerdo a la periodicidad establecida por el usuario, llevando un registro histórico de los mismos, indicando como mínimo: fecha, hora, nombre del responsable, descripción del contenido respaldado, medio de respaldo y lugar de alojamiento del mismo, así como un instructivo para su restauración. Para aplicaciones en red, es responsabilidad de cada administrador, en caso de requerirlo restaurar información, efectuar respaldo de la misma llevando un registro en el que se indique como mínimo: fecha, hora, nombre de quien restaura, motivo de la restauración y llevar un control con el nombre de quien autoriza la restauración. Redes privadas virtuales Los usuarios móviles y remotos de las DGSEI podrán tener acceso a la red interna privada cuando se encuentren fuera de las instalaciones y cuenten con acceso a internet público, utilizando las redes privadas VPN habilitadas por el Departamento de Operación de Redes. El Departamento de Operación de Redes es el encargado de configurar el software necesario y asignar las claves a los usuarios que lo soliciten.



Revisión 2

Fecha: 15/mar/2020

Página 56 de 70

10.4 Red inalámbrica (WIFI)

Seguridad de la red

El Departamento de Operación de Redes determinará las medidas pertinentes de seguridad para usar las redes inalámbricas:

Los administradores de tecnología de la información se reservan el derecho de llevar un registro de los eventos asociados a la conexión de los diferentes usuarios para asegurar el uso apropiado de los recursos de red;

No se deben realizar intentos de ingreso no autorizado a cualquier dispositivo o sistema de la red inalámbrica. Cualquier tipo de ingreso no autorizado es una práctica ilegal y será sancionada;

No se debe hacer uso de programas que recolectan paquetes de datos de la red inalámbrica. Esta práctica es una violación a la privacidad y constituye un robo de los datos de usuario, y puede ser sancionado;

En la red inalámbrica de la DGSEI se debe usar un estándar vigente en la materia. Excepciones:

Dentro de las medidas de seguridad se encuentra configurado el restringir algunas palabras y sitios de internet; por lo que pueden existir palabras o sitios que a pesar de ser inofensivos tendrán negado el acceso; en este caso, los usuarios podrán notificar esta eventualidad y hacer una solicitud de acceso a la página al Departamento de Operación de Redes, para que sea resuelto a la brevedad posible;

En caso de eventos, cursos, talleres, conferencias, etc., se podrán habilitar equipos con acceso a la red inalámbrica de manera temporal por el tiempo necesario, previa solicitud de los interesados con una anticipación de por lo menos un día hábil;

En el caso de estos eventos las restricciones para acceder podrán ser “anuladas” temporalmente previa solicitud expresa por parte del interesado, y con anticipación de por lo menos un día hábil.

10.5 Acceso a directivos de la organización

La red inalámbrica es un servicio que permite conectarse a la red de la DGSEI e internet sin la necesidad de algún tipo de cableado, y le permitirá utilizar los servicios de red en las zonas de cobertura;

Además de hacer uso del servicio de acceso a los sistemas previamente autorizados, podrán acceder a servicios de internet de manera controlada, previa solicitud realizada a la DITC;



Revisión 2

Fecha: 15/mar/2020

Página 57 de 70

Las condiciones de uso presentadas definen los aspectos más importantes que deben tenerse en cuenta para la utilización del servicio de red inalámbrica, estas condiciones abarcan todos los dispositivos de comunicación inalámbrica con capacidad de conexión Wireless;

Los administradores de la red son los encargados de la habilitación y/o bajas de usuarios en la red inalámbrica de la DGSEI;

Para conectarse a la red inalámbrica se debe emplear autenticación, para lo cual los nombres de usuarios y contraseñas se basarán en el directorio activo de la DGSEI, con la finalidad de proporcionarles seguridad en el acceso a los usuarios.

10.6 Conectividad a internet

La autorización de acceso a internet se concede exclusivamente para actividades de trabajo y todos los colaboradores de la DGSEI tienen las mismas responsabilidades en cuanto a su uso, y sólo puede haber transferencia de datos de/a internet en conexión con actividades propias del mismo;

El acceso a internet se realiza a través de la red establecida para ello, es decir, por medio del sistema de seguridad con firewall incorporado en la misma;

No está permitido acceder a internet llamando directamente a un proveedor de servicio de acceso y usando un navegador, o con otras herramientas de internet conectándose por medio de un módem.

10.7 Acceso a invitados

Acceso a invitados:

La red inalámbrica " inalambricoGEM" es un servicio que permite conectarse única y exclusivamente a personal externo de la DGSEI (usuarios, proveedores) a internet sin la necesidad de algún tipo de cableado. La red inalámbrica de invitados le permitirá utilizar los servicios de internet, en las zonas de cobertura;

Los usuarios invitados no tendrán acceso a la red "serpubgem" ni a ningún recurso de uso privado de la DGSEI;

La red inalámbrica es de tipo portal cautivo y tendrá una lista de usuarios invitados con contraseñas.

11 Plan de Contingencia



Revisión 2

Fecha: 15/mar/2020

Página 58 de 70

Principios Generales Deben existir Planes de Contingencia para minimizar la duración y el impacto en las operaciones ante cualquier falla en la seguridad, (es decir fallas en la confidencialidad, integridad y disponibilidad de la información). Los Planes de Contingencia deben considerar estar preparados para recuperar los sistemas esenciales como mínimo, utilizando las instalaciones alternativas en un periodo de tiempo aceptable, si los sistemas principales se vuelven inaccesibles o inoperables. Los Planes de Contingencia de informática deben estar coordinados con otros planes relacionados de continuidad de las operaciones de la DGSEI. Deben tomarse en consideración los requerimientos de la organización y de los usuarios, para determinar los límites de tiempo y los niveles de servicio mínimos aceptables del Plan de Contingencia durante el desarrollo de los sistemas, con base en una evaluación de los riesgos. La DGSEI debe monitorear con regularidad el estado de los Planes de Contingencia de las TIC en relación con los requisitos y las prioridades, y planear mejoras según se requiera. Etapa de Planeación Los Planes de Contingencia deben incluir las instalaciones, las responsabilidades y los procedimientos requeridos antes, durante y después de una falla grave en la seguridad informática, a fin de permitir la continuidad de las actividades básicas con una mínima interrupción. Asimismo, deben complementar otros controles de seguridad diseñados para reducir los riesgos potenciales o fallas mayores en los sistemas. Se debe tomar en cuenta la elaboración de Planes de Contingencia para todos los servicios y aplicaciones de TIC, con base en lo siguiente: Evaluar el impacto potencial en las actividades de una falla mayor de seguridad informática tanto en términos financieros como en otros distintos, tomando en cuenta:

a) El daño causado a la reputación de la DGSEI ante las demás dependencias del GEM y el público en general;

b) La pérdida en el servicio al usuario;

c) La publicidad negativa;

d) La violación potencial de contratos, reglamentos o leyes;

e) Continuar con la operación del área con procedimientos alternos.

Esta evaluación debe ser acordada por la DGSEI y debe considerar toda la información, equipos de hardware y software esenciales en la organización, los cuales contengan, al menos, las aplicaciones críticas.



Revisión 2

Fecha: 15/mar/2020

Página 59 de 70

Evaluar la posibilidad relativa de que existan fallas mayores tomando en cuenta las amenazas relevantes y los controles de seguridad existentes. Establecer las prioridades en los servicios de TIC para determinar la inversión en los Planes de Contingencia. Identificar y evaluar las opciones para el apoyo de las operaciones esenciales a fin de determinar las soluciones de contingencia más eficientes y menos costosas. Las instalaciones previstas para la contingencia deben estar ubicadas lo suficientemente lejos de las instalaciones primarias, de manera que la posibilidad de que ambas se vean afectadas por el mismo incidente al mismo tiempo sea nula; para ello se requiere:

a) Diseñar el Plan de Contingencia y justificar los costos de implementación en términos de las operaciones;

b) Implementar, probar y ensayar los procedimientos técnicos y administrativos, y mejorar

el plan según se considere apropiado;

c) Revisar los Planes de Contingencia al menos una vez al año para tomar en cuenta las circunstancias cambiantes y las nuevas necesidades de la organización;

d) Tener los respaldos de información en un lugar seguro, fuera del lugar en el que se

encuentran los equipos. Los titulares de las áreas deben conservar en lugar seguro dentro de las instalaciones previstas para la contingencia y lejos de las instalaciones normales de oficinas, copias de los Planes de Contingencia, respaldo y manejo de los servicios críticos y documentos esenciales relacionados con los mismos. Contenidos de los Planes de Contingencia Como pauta general, los Planes de Contingencia deben incluir los siguientes temas:

a) Las circunstancias bajo las cuales se recurre al Plan;

b) Las responsabilidades para iniciar y administrar el plan, y el personal responsable implicado;

c) Contar con un directorio del personal interno y del personal externo de soporte, al cual

se pueda recurrir en el momento en que se detecte cualquier anomalía; considerando los servicios de emergencia, los servidores públicos, usuarios, proveedores de equipos y software, y otras partes afectadas e involucradas;

d) Los detalles de la ubicación prevista para la contingencia y las instalaciones y equipos

de TIC, así como los arreglos para acceder a los mismos y desplegarlos cuando sea necesario;



Revisión 2

Fecha: 15/mar/2020

Página 60 de 70

e) La transportación de emergencia y otros arreglos administrativos similares;

f) La ubicación de los respaldos del software, los archivos de datos y la documentación;

g) Las instrucciones de operación del sistema de contingencia, los horarios de procesamiento, las prioridades y los objetivos de los niveles de servicio;

h) Los controles esenciales de seguridad y otros relativos a las operaciones que se

requieran para administrar los riesgos de dichas operaciones durante la realización del Plan de Contingencia;

i) Las pautas para retomar los servicios normales de producción;

j) Tener el apoyo de medios magnéticos o documentales, de las operaciones necesarias

para reconstruir los archivos dañados;

k) Contar con un instructivo de operación para la detección de posibles fallas, para que toda acción correctiva se efectúe con la mínima degradación posible de los datos.

Etapa de pruebas y ensayos

Los Planes de Contingencia deben ser sometidos periódicamente a pruebas y ensayos en proporción con los riesgos de las operaciones, y deben implementarse las mejoras necesarias para garantizar que:

a) Los planes sigan siendo completos y efectivos, y se ocupen de los requerimientos prioritarios de las operaciones;

b) Los servidores públicos estén adecuadamente capacitados y familiarizados con los

Planes de Contingencia;

c) Ejecutar pruebas de la funcionalidad del plan;

d) Mantener revisiones del plan a fin de efectuar las actualizaciones respectivas.

Activos Considerar los activos necesarios en el Plan de Contingencia, bajo los siguientes criterios:

Se debe llevar un inventario de activos centralizado y actualizado de los recursos de TIC de la institución, así como contar con mecanismos de control según el tipo de información que contienen, procesan, transfieren, transportan o almacenan;

Centro de Datos;

Racks;

Equipos (terminales o switches) que controlan a los equipos de la Subdirección de Planeación Tecnológica y el Departamento de Operación de Redes;



Revisión 2

Fecha: 15/mar/2020

Página 61 de 70

Servidores internos y externos;

Equipo de cómputo PC’s, Lap top, All in One;

Red Telefónica;

Otros Evaluación de Riesgos La DII y la DITC deben generar una matriz de riesgos para sus activos de información. El objetivo principal de la administración de riesgos es disminuir el impacto de los eventos potenciales que pueden afectar los servicios y la seguridad de la información del GEM en materia de TIC. Los controles de seguridad informática deben integrarse en una matriz donde se considere el costo de inversión, costo de operación y valor de la información a resguardar y demás activos en riesgo, considerando el riesgo por el daño que pudiera derivar de las violaciones potenciales de la seguridad, así como la trazabilidad de riesgo. 11.1 Administración de la Continuidad y Disponibilidad

La Subdirección de Telecomunicaciones y la Subdirección de Planeación Tecnológica deben asegurar y administrar la habilidad de la organización para continuar proporcionando el nivel de servicio acordado y apoyar los requerimientos del negocio después de una interrupción o como consecuencia de una situación de contingencia, asegurando que los servicios y las instalaciones de TIC pueden ser ofrecidos.

Deben llevar a cabo medidas de reducción de riesgos tales como sistemas con capacidad de restauración y opciones de recuperación que incluyan las instalaciones de respaldo. La capacidad de recuperación de los servicios dentro de la DGSEI es esencial para continuar siendo efectivo, por lo que el mantenimiento a servidores, aplicativos y telecomunicaciones que lo requieran debe ser continuo.

Las actividades relevantes en el proceso de Administración de Continuidad de Servicios de TI de la DGSEI son:

Requerimientos y estrategias.- Abarca el análisis de impacto, evaluación de riesgo y

estrategia, estrategia de continuidad;

Implementación.- Esta fase requiere la organización, planificación e implementación de medidas de contención, planes de recuperación, las medidas de riesgo, desarrollo de procedimientos, pruebas iniciales, publicación de planes y capacitación del personal designado;

Operación continua.- Es la operación normal diaria dentro de la cual la administración de riesgos debe asegurar los servicios sobre todo aquellos que pueden tener un impacto grave ante una falla, y asegurarse que todo el personal permanezca informado de los planes de recuperación, incluyendo personal de nuevo ingreso,



Revisión 2

Fecha: 15/mar/2020

Página 62 de 70

revisar las solicitudes de cambio, evaluar el impacto sobre los planes y asegurar que los planes permanezcan alineados a los planes de continuidad del negocio;

Invocación.- Son los lineamientos y actividades que deben seguir en el momento en que el plan de continuidad de los servicios sea requerido, esto involucra a un equipo de administración de crisis. El plan debe aclarar todos los detalles de cómo se llevará a cabo todas las actividades incluyendo notificar a todo el personal requerido, obtener los respaldos para el sitio de recuperación así como la documentación fundamental;

Revisión.- Después de todas las pruebas y de cualquier invocación, las áreas técnicas deben llevar a cabo una revisión y los resultados deben ser retroalimentados dentro del proceso de planeación.

12 Seguridad Legal

Principios Generales La Seguridad Informática implica la protección de la información en términos de:

a) Confidencialidad: Propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. La información sólo es accesible para sus destinatarios y/o personal autorizado;

b) Integridad: Proteger con exactitud y de manera completa los activos de información y

la misma;

c) Disponibilidad: Capacidad de un componente o un servicio para realizar la función requerida en un instante determinado o a lo largo de un periodo de tiempo establecido. Ser accesible y utilizable por una entidad autorizada y tener acceso a la información cuando se requiera.

Responsabilidades Administrativas La DGSEI implementa a través de este documento las responsabilidades explícitas para implementar, operar y administrar los controles de Seguridad Informática, en el entendido de que en caso de una violación a las mismas, la persona que incurra en una falta, será acreedora a la sanción correspondiente. Disciplina interna Las políticas y lineamientos de Seguridad Informática deben cumplirse en todo momento. Cualquier incumplimiento será tratado de acuerdo con los procedimientos disciplinarios dispuestos en el Capítulo III de la Ley de Responsabilidades de los Servidores Públicos del Estado de México, independiente de las responsabilidades civiles o penales que pudieran surgir. Conformidad



Revisión 2

Fecha: 15/mar/2020

Página 63 de 70

La política de la DGSEI es cumplir con la legislación y las regulaciones correspondientes, así como con las mejores prácticas aceptadas de las jurisdicciones en las que opera. Estándares técnicos y administrativos Los controles de seguridad informática deben cumplir con las normas de control básico y de los entornos específicos de la DGSEI. La Dirección podrá complementar estas políticas y lineamientos con normas del Gobierno del Estado adicionales. Implementación A fin de implementar controles de seguridad informática que sean efectivos y eficaces, la política de la DGSEI es: “La DGSEI se compromete a mantener el grado de confianza de los usuarios y servidores públicos otorgándoles la certidumbre de que la información está protegida de manera confiable, cuidando los aspectos de integridad, disponibilidad y confidencialidad”. 12.1 De las responsabilidades en materia de seguridad

Con el objeto de dar cumplimiento a la política de seguridad de la información se debe:

a) Implementar un conjunto coherente y equilibrado de controles de prevención, detección y recuperación;

b) Implementar controles complementarios que se refuercen mutuamente, en todos los

sistemas automatizados de información y actividades interrelacionadas. Debe evitarse el depender de un solo nivel de controles;

c) Automatizar los controles, cuando sea posible y se justifique el costo;

d) Simplificar los controles y reducir la variedad y complejidad de las herramientas de

seguridad cuando sea posible y se justifique el costo.

12.2 Responsabilidades en seguridad física y lógica

Todo el personal de la DGSEI tiene la responsabilidad de proteger la seguridad de los activos, la información y los recursos de TIC bajo su control, de acuerdo con las instrucciones y la capacitación recibidas. Deben definirse responsabilidades expresas para la implementación, operación y administración de los controles de seguridad informática y deben discriminarse dichas responsabilidades de aquéllas que sean incompatibles, cuando esto pudiera debilitar el nivel del control interno en forma inaceptable.

12.3 Responsabilidades de los especialistas en seguridad



Revisión 2

Fecha: 15/mar/2020

Página 64 de 70

a) Desarrollar, revisar y actualizar las políticas y normas de seguridad conjuntamente con el director de la DITC;

b) Proporcionar una dirección funcional en el ámbito de seguridad informática en la DGSEI;

c) Acordar las prioridades de seguridad informática de la DGSEI;

d) Coordinar la implementación de las políticas y normas del Área de Seguridad Informática de la DGSEI;

e) Monitorear e informar sobre el trabajo de seguridad informática a la Dirección General;

f) Dar capacitación al personal sobre seguridad dentro de las instalaciones de la DGSEI;

g) Reportar al jefe inmediato superior las anomalías relacionadas a la seguridad;

h) Asegurar que todos los activos de TI esté debidamente protegidos y seguros;

i) Asegurar que se le dé la prioridad correspondiente al trabajo de seguridad informática,

de manera oportuna. 12.4 Responsabilidades del personal

Todos los servidores públicos son responsables de:

a) Cumplir con las instrucciones y los procedimientos de seguridad aprobados y aquellas responsabilidades de seguridad específicas documentadas en los objetivos personales y la descripción de tareas;

b) Mantener la confidencialidad de las contraseñas personales y evitar que terceros

utilicen los derechos de acceso de los usuarios autorizados;

c) Proteger la seguridad de los equipos de cómputo así como de la información bajo su control directo;

d) Informarle al jefe inmediato superior cualquier sospecha de anomalía en la seguridad y

de cualquier debilidad detectada en los controles de la misma, incluyendo sospechas de divulgación de contraseñas.

12.5 Cumplimiento legal y regulatorio La política de la DGSEI estipula que debe cumplirse con la legislación y regulaciones que afectan las operaciones de la DGSEI en materia de TIC, incluyendo: Protección de la privacidad y la información;

a) Uso indebido de los equipos y delitos informáticos;



Revisión 2

Fecha: 15/mar/2020

Página 65 de 70

b) Copyright del software;

c) Registros de operaciones e informes regulatorios;

d) Transferencias de información;

e) Normas técnicas y administrativas requeridas por las entidades reguladoras.

12.6 Protección de la Información

La DGSEI debe cumplir con lo que establece la Ley de Protección de Datos Personales de la entidad y la legislación aplicable. Pueden utilizarse los siguientes principios como una indicación general de los requisitos típicos de protección de la información:

a) Debe procesarse la información personal con imparcialidad y legalidad, y conforme a los derechos del individuo;

b) Solamente se debe obtener información personal para fines específicos y legales, y no

se podrá hacer uso de la misma de manera posterior para un fin distinto al inicial;

c) La información personal debe ser válida, pertinente y concisa en relación con el fin o fines para los cuales sea elaborada;

d) La información personal debe ser precisa y actual de conformidad al fin;

e) No debe conservarse la información personal elaborada para cualquier fin, por más

tiempo del que sea necesario para el mismo;

f) Deben tomarse las medidas técnicas y de organización adecuadas contra el procesamiento no autorizado o ilegal de la información personal y contra la pérdida o destrucción accidentales o daños causados a la misma.

La información reunida para establecer el perfil de utilización de internet de un usuario pudiera estar sujeta a requerimientos legales de protección de la información, contenida en las leyes locales e internacionales. 12.7 Registro de información de la organización

Cuando se requiera conservar un registro formal de información relacionada con las operaciones de la DGSEI, en formato para computadora, debe ser almacenado de manera tal que se evite que sea borrado o que se le hagan cambios adicionales. Si esto no fuera posible, deben conservarse pistas de auditoría de todos los cambios autorizados.



Revisión 2

Fecha: 15/mar/2020

Página 66 de 70

Deben conservarse copias de los mensajes de e-mail en cumplimiento a la política de conservación de registros de la DGSEI. 12.8 Mal uso de los equipos y delitos informáticos

Cuando cualquiera de los equipos o sistemas de la DGSEI sean utilizados para cometer una falta o para llevar a cabo actividades no autorizadas, debe darse aviso de esta situación al Director de la DITC, quien debe informar a las instancias correspondientes para llevar a cabo las acciones conducentes. 12.9 Violaciones a las políticas

El incumplimiento de estas políticas, faculta a la DGSEI para suspender los servicios a los usuarios o de ser procedente la inhabilitación del servicio, adicionalmente la infracción será notificada a la unidad administrativa a la cual esté adscrito el usuario, a fin de que se proceda como corresponda con base en la normatividad aplicable. 12.10 Sanciones

El incumplimiento de la normatividad en el uso de Internet y correo electrónico, será sancionado por las autoridades competentes en los términos que se establecen en la normatividad vigente y los procedimientos administrativos existentes. La violación de estas políticas podría resultar en acciones disciplinarias y/o legales. Todos los empleados deberán acusar recibo y confirmar que han comprendido y están de acuerdo con las presentes normas. 12.11 Derechos de Autor/Copyright del software El software está sujeto a la Ley del Derecho de Propiedad Intelectual, Diseños y Patentes. Por lo general, para los fines de la ley del derecho de propiedad intelectual el software es considerado como obra literaria, con las obligaciones de titularidad y propiedad intelectual respectivas. No se debe copiar, modificar o utilizar el software en contravención de las condiciones de la licencia. La política de la DGSEI estipula que el GEM es el titular de todo el software y los programas diseñados por los servidores públicos en el desempeño de sus funciones, debiendo incluirse en el código de dichos programas las declaraciones correspondientes referidas al derecho de propiedad intelectual. Todos los titulares de los programas, así como las etiquetas de los medios de almacenamiento que contengan software de la organización deben llevar la siguiente leyenda: “COPYRIGHT.



Revisión 2

Fecha: 15/mar/2020

Página 67 de 70

GOBIERNO DEL ESTADO DE MEXICO. TODOS LOS DERECHOS RESERVADOS”. Este software debe ser utilizado sólo para los fines para los que fue provisto. Ninguna de sus partes debe ser reproducida, desarmada, transmitida, almacenada en un sistema de recuperación, ni traducida a ningún lenguaje humano o informático en modo alguno o para cualquier fin distinto sin el consentimiento escrito por la autoridad competente”. 12.12 Copyright de la documentación

Todos los sistemas de documentación de la DGSEI deben incluir la siguiente declaración de copyright: “COPYRIGHT. GOBIERNO DEL ESTADO DE MEXICO. TODOS LOS DERECHOS RESERVADOS”. Ninguna parte de esta publicación puede ser reproducida, almacenada en un sistema de recuperación ni transmitida de cualquier forma o por otro medio, ya sea electrónico, mecánico, de fotocopiado, de grabación o de otro tipo, sin el consentimiento previo por escrito de la autoridad competente”.

13. Base Legal

Ley de Gobierno Digital del Estado de México y Municipios, periódico oficial “Gaceta de Gobierno”, 6 de enero de 2016.

Ley de Protección de Datos Personales en posesión de sujetos obligados del Estado de México y Municipios, periódico oficial “Gaceta de Gobierno”, 30 de mayo de 2017.

Ley de Transparencia y Acceso a la Información Pública en el Estado de México, periódico oficial “Gaceta de Gobierno”, 4 de mayo de 2016.

Reglamento de la Ley de Gobierno Digital del Estado de México y Municipios, periódico oficial “Gaceta de Gobierno”, 23 de agosto de 2019.

Acuerdo por el que se establecen las Normas Administrativas para la asignación y uso de bienes y servicios de las dependencias y organismos auxiliares del Poder Ejecutivo Estatal, “Gaceta del Gobierno”, 24 de febrero de 2005.

Manual General de Organización de la Secretaría de Finanzas, “Gaceta del Gobierno”, 25 de abril de 2019.

14. Capacitación y concientización al personal en materia de Seguridad de la Información

- La DGSEI debe contar con un plan de trabajo que proporcione a todos los servidores públicos que la integran y a los responsables de tecnologías de información y comunicaciones, programas de concientización, educación y capacitación adecuados en función de las



Revisión 2

Fecha: 15/mar/2020

Página 68 de 70

necesidades, para que estos a su vez lo transmitan hacia los usuarios responsables de los activos de información. - El personal de la DGSEI debe recibir capacitación periódica (1 vez al año) que lo concientice sobre problemas de seguridad de la información. - Deben existir estrategias que permitan afianzar la cultura de seguridad en el personal como:

Correos electrónicos;

Videos institucionales;

Pláticas de seguridad;

Carteles o trípticos en materia de seguridad;

Otros

15. Comité de Gestión de la Seguridad de la Información El Comité de Seguridad está conformado por:

El Director(a) General de la DGSEI

El Delegado(a) Administrativo(a)

El Director(a) de Ingeniería de la Información

El Director(a) de Administración de la Infraestructura Tecnológica y Telecomunicaciones

El Director(a) de Gobierno Electrónico

El Director(a) de Normatividad

El Subdirector(a) de Política Informática, Calidad y Proyectos

El Subdirector(a) de Planeación Tecnológica

El Subdirector(a) de Telecomunicaciones Como parte de las funciones, el comité debe aprobar y vigilar el cumplimiento de las políticas, roles y responsabilidades en seguridad, así como promover los programas de concientización de seguridad. El comité debe evaluar los riesgos ante los cambios a la infraestructura tecnológica, mantener una adecuada comunicación entre los interesados, sus necesidades y la alta dirección, así como apoyar al administrador del Proceso Gestión de la Seguridad de la Información cuando lo requiera.



Revisión 2

Fecha: 15/mar/2020

Página 69 de 70

15.1 Funciones del Comité

a) Dar seguimiento a la implantación del proceso de seguridad y las mejoras al mismo dentro de su dirección;

b) Validar y aprobar la normatividad de seguridad de la información de conformidad con las

presentes políticas y en cumplimiento con el marco jurídico;

c) Supervisar el cumplimiento de las políticas a través de la revisión de los resultados generados por las auditorias;

d) Mantener estrecha comunicación con la dirección general para la disposición de

recursos humanos, económicos y materiales necesarios para la adecuada implantación de la Política Informática y Seguridad de la Información de la DGSEI, de acuerdo a los intereses y necesidades de la organización;

e) Analizar, evaluar y controlar los riesgos de información de manera previa a los cambios

mayores dentro de la DGSEI;

f) Acordar los roles y responsabilidades de seguridad de información dentro de la DGSEI;

g) Establecer estrategias para la seguridad de la información;

h) Aprobar y promover los programas de concientización de seguridad antes de su aplicación;

i) Promover las revisiones internas que aseguren la efectividad de las acciones en materia

de seguridad de la información;

j) Aprobar las iniciativas que promuevan la mejora continua de la seguridad de la información en la organización.

15.2 Actualización de las Políticas de Seguridad

Estas políticas y lineamientos serán revisados por el Comité Estratégico Integral de Seguridad de la Información cada 6 meses o antes si existiera algún cambio en las responsabilidades de la seguridad de la información, o significativo en los estándares internacionales.

16. Auditoría La DII y la DITC deben conservar las pistas de auditoría de todos los eventos importantes, generadas en los sistemas y herramientas de monitoreo automatizadas o aquellas identificadas en función de una evaluación de riesgo. Las pistas de auditoría deben:



Revisión 2

Fecha: 15/mar/2020

Página 70 de 70

a) Incluir, según corresponda, las identidades de los usuarios, fechas, horarios, códigos

del motivo para ingresar al sistema e información importante; b) Ser protegidas contra accesos y manipulaciones no autorizadas;

c) Ser conservadas por períodos mínimos determinados en función de los riesgos,

tomando en cuenta los requisitos de control de las entidades reguladoras, los requisitos contractuales o cualquier otro requisito de control externo;

d) Ser controladas de manera planificada a través de una evaluación de riesgos,

para detectar amenazas potenciales, incluyendo transacciones excepcionales. La Subdirección de Planeación Tecnológica y el Departamento de Operación de Redes, deben monitorear las pistas de auditoría del acceso a sistemas para identificar cualquier evidencia de deficiencias potenciales de seguridad. La frecuencia del monitoreo de las pistas de auditoría de control de acceso deben revisarse al menos 1 vez al día.

17 Distribución

La distribución del presente documento se realiza a través de la página web http://dgsei.edomex.gob.mx/ para su lectura y consulta por parte del personal de esta Dirección General. No se permite la generación de impresión, copiado o fotocopiado del presente documento.

http://dgsei.edomex.gob.mx/

POLÍTICAS Y LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN

Documents

Transcript of POLÍTICAS Y LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN