MANUAL DE POLTICAS

Y
ESTNDARES DE SEGURIDAD
INFORMTICA PARA USUARIOS

Manual de Polticas y Estndares de Seguridad Informtica

Propsito

Introduccin

El presente documento tiene como finalidad dar a conocer las

polticas y estndares de Seguridad Informtica que debern observar
los usuarios de servicios de tecnologas de informacin, para proteger
adecuadamente los activos tecnolgicos y la informacin de la
Coordinacin General Administrativa

La base para que cualquier organizacin pueda operar de una forma

confiable en materia de Seguridad Informtica comienza con la
definicin de las polticas y estndares.
La Seguridad Informtica, es una funcin en la que se deben evaluar
y administrar los riesgos, basndose en polticas y estndares que
cubran las necesidades de la CGADM en materia de seguridad.
Este documento se encuentra estructurado en cinco polticas
generales de seguridad para usuarios de informtica, con sus
respectivos estndares que consideran los siguientes puntos:
Seguridad de Personal.
Seguridad Fsica y Ambiental.
Administracin de Operaciones de Cmputo.
Controles de Acceso Lgico.
Cumplimiento.

Objetivo

Difundir las polticas y estndares de seguridad informtica a todo el

personal de la Coordinacin General Administrativa, para que sea de
su conocimiento y cumplimiento en los recursos informticos
utilizados o asignados.

Beneficios

Las polticas y estndares de seguridad informtica establecidas

dentro de este documento son la base para la proteccin de los
activos tecnolgicos e informacin de la CGADM.

Dependencias que conforman la Coordinacin General Administrativa:

- Oficina de la CGADM
- Coordinacin de Obras y Proyectos
- Unidad de Presupuesto
- Corporativo de Empresas Universitarias
rea de Tecnologas de Informacin (TI):
Oficina CGADM
Coordinacin de Obras y Proyectos
Unidad de Presupuesto
Corporativo de Empresas Universitarias

rea de Sistemas y Tcnica

rea de Computo
rea de Apoyo Tcnico e Informtica
rea de Nuevas Tecnologas

1.- POLTICAS Y ESTNDARES DE SEGURIDAD DEL PERSONAL

Poltica

Todo usuario de bienes y servicios informticos al ingresar como

personal CGADM acepta las condiciones de confidencialidad, de uso
adecuado de los recursos informticos y de informacin de la
Coordinacin General Administrativa, as como el estricto apego al
Manual de Polticas y Estndares de Seguridad Informtica para
Usuarios.
Los usuarios debern cumplir con lo establecido en el Manual de
Polticas y Estndares de Seguridad Informtica para Usuarios.

1.1 Obligaciones de los

usuarios

Es responsabilidad de los usuarios de bienes y servicios informticos

cumplir las Polticas y Estndares de Seguridad Informtica para
Usuarios del presente Manual.

1.2 Entrenamiento en
seguridad informtica

Todo empleado de la Coordinacin General Administrativa de nuevo

ingreso deber contar con la induccin sobre el Manual de Polticas
y Estndares de Seguridad Informtica para Usuarios, donde se den
a conocer las obligaciones para los usuarios y las sanciones que
pueden existir en caso de incumplimiento.

1.3
Medidas disciplinarias

Se consideran violaciones graves el robo, dao, divulgacin de

informacin reservada o confidencial de esta dependencia, o de que
se le declare culpable de un delito informtico.

2.- POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL

Poltica

Los mecanismos de control de acceso fsico para el personal y

terceros deben permitir el acceso a las instalaciones y reas
restringidas de la Coordinacin General Administrativa slo a
personas autorizadas para la salvaguarda de los equipos de cmputo
y de comunicaciones.

2.1 Resguardo y
proteccin de la
informacin

2.1.1 El usuario deber reportar de forma inmediata al rea de

Tecnologas de Informacin cuando detecte que existan riesgos
reales o potenciales para equipos de cmputo o comunicaciones,
como pueden ser fugas de agua, conatos de incendio u otros.

2.1.2 El usuario tiene la obligacin de proteger las unidades de

almacenamiento que se encuentren bajo su administracin, an
cuando no se utilicen y contengan informacin reservada o
confidencial.

2.1.3 Es responsabilidad del usuario evitar en todo momento la fuga

de la informacin de la Coordinacin General Administrativa que se

encuentre almacenada en los equipos de cmputo personal que

tenga asignados.

2.2 Controles de acceso

fsico

2.2.1 Cualquier persona que tenga acceso a las instalaciones de la

Coordinacin General Administrativa, deber registrar al momento de
su entrada, el equipo de cmputo, equipo de comunicaciones, medios
de almacenamiento y herramientas que no sean propiedad de la
CGADM, en el rea de recepcin, el cual podrn retirar el mismo da.
En caso contrario deber tramitar la autorizacin de salida
correspondiente.
2.2.2 Las computadoras personales, las computadoras porttiles, y
cualquier activo de tecnologa de informacin, podr salir de las
instalaciones de la Coordinacin General Administrativa nicamente
con la autorizacin de salida del rea de Inventarios anexando el
vale de salida del equipo debidamente por el secretario de la oficina
o la equivalente en las dependencias de la CGADM

2.3 Seguridad en reas

de trabajo

2.3.1 Los centros de cmputo de la Coordinacin General

Administrativa son reas restringidas, por lo que slo el personal
autorizado por el rea de Tecnologas de la Informacin puede
acceder a l.

2.4 Proteccin y
ubicacin de los equipos

2.4.1 Los usuarios no deben mover o reubicar los equipos de

cmputo o de telecomunicaciones, instalar o desinstalar dispositivos,
ni retirar sellos de los mismos sin la autorizacin del rea de
Tecnologas de la Informacin, en caso de requerir este servicio
deber solicitarlo.
2.4.2 El rea de Inventarios ser la encargada de generar el
resguardo y recabar la firma del usuario informtico como
responsable de los activos informticos que se le asignen y de
conservarlos en la ubicacin autorizada por el rea de Tecnologas
de la Informacin.
2.4.3 El equipo de cmputo asignado, deber ser para uso exclusivo
de las funciones de la Coordinacin General Administrativa.

2.4.4 Ser responsabilidad del usuario solicitar la capacitacin

necesaria para el manejo de las herramientas informticas que se
utilizan en su equipo, a fin de evitar riesgos por mal uso y para
aprovechar al mximo las mismas.
2.4.5 Es responsabilidad de los usuarios almacenar su informacin
nicamente en la particin de disco duro identificada como Mis
Documentos ya que las otras estn destinadas para archivos de
programa y sistema operativo.
2.4.6 Mientras se opera el equipo de cmputo, no se debern
consumir alimentos o ingerir lquidos.
2.4.7 Se debe evitar colocar objetos encima del equipo o cubrir los
orificios de ventilacin del monitor o del CPU.

2.4.8 Se debe mantener el equipo informtico en un entorno limpio y

sin humedad.
2.4.9 El usuario debe asegurarse que los cables de conexin no sean
pisados o pinchados al colocar otros objetos encima o contra ellos en
caso de que no se cumpla solicitar un reacomodo de cables con el
personal de Tecnologas de la Informacin
2.4.10 Cuando se requiera realizar cambios mltiples del equipo de
cmputo derivado de reubicacin de lugares fsicos de trabajo, stos
debern ser notificados con una semana de anticipacin al rea de
Tecnologas de la Informacin a travs de un plan detallado.
2.4.11 Queda prohibido que el usuario abra o desarme los equipos de
cmputo.

2.5 Mantenimiento de
equipo

2.5.1 nicamente el personal autorizado por el rea de Tecnologas

de la Informacin podr llevar a cabo los servicios y reparaciones al
equipo informtico.
2.5.2 Los usuarios debern asegurarse de respaldar la informacin
que consideren relevante cuando el equipo sea enviado a reparacin
y borrar aquella informacin sensible que se encuentre en el equipo,
previendo as la prdida involuntaria de informacin, derivada del
proceso de reparacin.

2.6 Prdida de Equipo

2.6.1 El usuario que tenga bajo su resguardo algn equipo de

cmputo, ser responsable de su uso y custodia; en consecuencia,
responder por dicho bien de acuerdo a la normatividad vigente en
los casos de robo, extravo o prdida del mismo.
2.6.2 El prstamo de laptops tendr que solicitarse en el rea de
Tecnologas de la Informacin, con el visto bueno del Secretario de la
oficina de la CGADM o su equivalente en las dependencias de la
Coordinacion.
2.6.3 El usuario deber dar aviso inmediato al rea de Tecnologas
de la Informacin, e Inventarios de la desaparicin, robo o extravo
del equipo de cmputo o accesorios bajo su resguardo.

2.7 Uso de dispositivos

especiales

2.7.1 El uso de los grabadores de discos compactos es exclusivo para

copias de seguridad de software y para respaldos de informacin que
por su volumen as lo justifiquen.
2.7.2 El usuario que tenga bajo su resguardo este tipo de dispositivos
ser responsable del buen uso que se le d.

2.7.3 Si algn rea por requerimientos muy especficos del tipo de

aplicacin o servicio de informacin tiene la necesidad de contar con
uno de ellos, deber ser justificado y autorizado por el rea de
Tecnologas de la Informacin.

2.8 Dao del equipo

2.8.1 El equipo de cmputo o cualquier recurso de tecnologa de

informacin que sufra alguna descompostura por maltrato, descuido o
negligencia por parte del usuario quien resguarda el equipo, se
levantara un reporte de incumplimiento de polticas de seguridad.

3.- POLTICAS Y ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE

OPERACIONES DE CMPUTO
Poltica

Los usuarios debern proteger la informacin que reside y utiliza la

infraestructura tecnolgica de la Coordinacin General Administrativa.
De igual forma, debern proteger la informacin reservada o
confidencial que por necesidades institucionales deba ser
almacenada o transmitida, ya sea dentro de la red interna de la
Coordinacin General Administrativa o hacia redes externas como
Internet.
Los usuarios de la CGADM que hagan uso de equipo de cmputo,
deben conocer y aplicar las medidas para la prevencin de cdigo
malicioso como pueden ser virus, caballos de Troya o gusanos de
red.

3.1 Uso de medios de

almacenamiento

3.1.1 Los usuarios de informtica de la Coordinacin General

Administrativa deben conservar los registros o informacin que se
encuentra activa y aquella que ha sido clasificada como reservada o
confidencial.
3.1.2 Las actividades que realicen los usuarios en la infraestructura
de Tecnologa de Informacin de la Coordinacin General
Administrativa son registradas y susceptibles de auditora.

3.2 Instalacin de
software.

3.2.1 Los usuarios que requieran la instalacin de software que no

sea propiedad de la Coordinacin General Administrativa, debern
justificar su uso y solicitar su autorizacin por el rea de Tecnologas
de la Informacin indicando el equipo de cmputo donde se instalar
el software y el perodo de tiempo que permanecer dicha instalacin.
3.2.2 Se considera una falta grave el que los usuarios instalen
cualquier tipo de programa (software) en sus computadoras,
estaciones de trabajo, servidores, o cualquier equipo conectado a la
red de la Coordinacin General Administrativa, que no est autorizado
por el rea de Tecnologas de la Informacin.

3.3 Identificacin del

incidente

3.3.1 El usuario que sospeche o tenga conocimiento de la ocurrencia

de un incidente de seguridad informtica deber reportarlo al rea de
Tecnologas de la Informacin lo antes posible, indicando claramente
los datos por los cuales lo considera un incidente de seguridad
informtica.
3.3.2 Cuando exista la sospecha o el conocimiento de que
informacin confidencial o reservada ha sido revelada, modificada,
alterada o borrada sin la autorizacin de las unidades administrativas

competentes, el usuario informtico deber notificar al rea de

Tecnologas de la Informacin.

3.3.3 Cualquier incidente generado durante la utilizacin u operacin

de los activos de tecnologa de informacin de la CGADM debe ser
reportado al rea de Tecnologas de la Informacin.

3.4 Administracin de la
configuracin

3.4.1 Los usuarios de las reas de la Coordinacin General

Administrativa no deben establecer redes de rea local, conexiones
remotas a redes internas o externas, intercambio de informacin con
otros equipos de cmputo utilizando el protocolo de transferencia de
archivos (FTP), u otro tipo de protocolo para la transferencia de
informacin empleando la infraestructura de red de la Coordinacin
General Administrativa, sin la autorizacin del rea de Tecnologas de
la Informacin.

3.5 Seguridad para la

red

3.5.1 Ser considerado como un ataque a la seguridad informtica y

una falta grave, cualquier actividad no autorizada por el rea de
Tecnologas de la Informacin, en la cual los usuarios realicen la
exploracin de los recursos informticos en la red de la CGADM, as
como de las aplicaciones que sobre dicha red operan, con fines de
detectar y explotar una posible vulnerabilidad.

3.6 Uso del Correo

electrnico

3.6.1 Los usuarios no deben usar cuentas de correo electrnico

asignadas a otras personas, ni recibir mensajes en cuentas de otros.
Si fuera necesario leer el correo de alguien ms (mientras esta
persona se encuentre fuera o de vacaciones) el usuario ausente debe
re direccionar el correo a otra cuenta de correo interno, quedando
prohibido hacerlo a una direccin de correo electrnico externa a la
CGADM, a menos que cuente con la autorizacin del rea de
Tecnologas de la Informacin.
3.6.2 Los usuarios deben tratar los mensajes de correo electrnico y
archivos adjuntos como informacin de propiedad de la CGADM. Los
mensajes de correo electrnico deben ser manejados como una
comunicacin privada y directa entre emisor y receptor.
3.6.3 Los usuarios podrn enviar informacin reservada y/o
confidencial va correo electrnico siempre y cuando vayan de
manera encriptada y destinada exclusivamente a personas
autorizadas y en el ejercicio estricto de sus funciones y atribuciones
3.6.4 Queda prohibido falsear, esconder, suprimir o sustituir la
identidad de un usuario de correo electrnico.
3.6.5 Queda prohibido interceptar, revelar o ayudar a terceros a
interceptar o revelar las comunicaciones electrnicas.

3.7 Controles contra

cdigo malicioso

3.7.1 Para prevenir infecciones por virus informtico, los usuarios de

la CGADM no deben hacer uso de software que no haya sido
proporcionado y validado por el rea de Tecnologas de la
Informacin.

3.7.2 Los usuarios de la CGADM deben verificar que la informacin y

los medios de almacenamiento, estn libres de cualquier tipo de
cdigo malicioso, para lo cual deben ejecutar el software antivirus
autorizado por el rea de Tecnologas de la Informacin.

3.7.3 Todos los archivos de computadora que sean proporcionados

por personal externo o interno considerando al menos programas de
software, bases de datos, documentos y hojas de clculo que tengan
que ser descomprimidos, el usuario debe verificar que estn libres de
virus utilizando el software antivirus autorizado antes de ejecutarse.

3.7.4 Ningn usuario, empleado o personal externo, podr bajar o

descargar software de sistemas, boletines electrnicos, sistemas de
correo electrnico, de mensajera instantnea y redes de
comunicaciones externas, sin la debida autorizacin del rea de
Tecnologas de la Informacin.
3.7.5 Cualquier usuario que sospeche de alguna infeccin por virus
de computadora, deber dejar de usar inmediatamente el equipo y
llamar al rea de Tecnologas de la Informacin para la deteccin y
erradicacin del virus.
3.7.6 Los usuarios no debern alterar o eliminar, las configuraciones
de seguridad para detectar y/o prevenir la propagacin de virus que
sean implantadas por la CGADM en: Antivirus, Outlook, office,
Navegadores u otros programas.
3.7.7 Debido a que algunos virus son extremadamente complejos,
ningn usuario de la CGADM debe intentar erradicarlos de las
computadoras.

3.8 Internet

3.8.1 El acceso a Internet provisto a los usuarios de la CGADM es

exclusivamente para las actividades relacionadas con las
necesidades del puesto y funcin que desempea.
3.8.2 Todos los accesos a Internet tienen que ser realizados a travs
de los canales de acceso provistos por la CGADM, en caso de
necesitar una conexin a Internet especial, sta tiene que ser
notificada y aprobada por el rea de Tecnologas de la Informacin.

3.8.3 Los usuarios de Internet de la CGADM tienen que reportar

todos los incidentes de seguridad informtica al rea de Tecnologas
de la Informacin inmediatamente despus de su identificacin,
indicando claramente que se trata de un incidente de seguridad
informtica.
3.8.4 Los usuarios del servicio de navegacin en Internet, al aceptar
el servicio estn aceptando que:
Sern sujetos de monitoreo de las actividades que realiza en

Internet.
Saben que existe la prohibicin al acceso de pginas no
autorizadas.
Saben que existe la prohibicin de transmisin de archivos
reservados o confidenciales no autorizados.
Saben que existe la prohibicin de descarga de software sin la
autorizacin del rea de Tecnologas de la Informacin.
La utilizacin de Internet es para el desempeo de su funcin
y puesto en la CGADM y no para propsitos personales.

4.- POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICO

Poltica

Cada usuario es responsable del mecanismo de control de acceso

que le sea proporcionado; esto es, de su identificador de usuario y
contrasea necesarios para acceder a la informacin y a la
infraestructura tecnolgica de la CGADM, por lo cual deber
mantenerlo de forma confidencial.
El permiso de acceso a la informacin que se encuentra en la
infraestructura tecnolgica de la CGADM, debe ser proporcionado por
el dueo de la informacin, con base en el principio de la necesidad
de saber el cual establece que nicamente se debern otorgar los
permisos mnimos necesarios para el desempeo de sus funciones.

4.1 Controles de acceso

lgico

4.1.1 Todos los usuarios de servicios de informacin son

responsables por el de usuario y contrasea que recibe para el uso y
acceso de los recursos.
4.1.2 Todos los usuarios debern autenticarse por los mecanismos de
control de acceso provistos por el rea de Tecnologas de la
Informacin antes de poder usar la infraestructura tecnolgica de la
CGADM.
4.1.3 Los usuarios no deben proporcionar informacin a personal
externo, de los mecanismos de control de acceso a las instalaciones
e infraestructura tecnolgica de la CGADM, a menos que se tenga el
visto bueno del dueo de la informacin y del rea de Tecnologas de
la Informacin y la autorizacin del secretario de la oficina de la
CGADM o su equivalente en las dependencias de la Coordinacin.

4.1.4 Cada usuario que acceda a la infraestructura tecnolgica de la

CGADM debe contar con un identificador de usuario (UserID) nico y
personalizado. Por lo cual no est permitido el uso de un mismo
UserID por varios usuarios.
4.1.5 Los usuarios son responsables de todas las actividades
realizadas con su identificador de usuario (UserID). Los usuarios no
deben divulgar ni permitir que otros utilicen sus identificadores de
usuario, al igual que tienen prohibido utilizar el UserID de otros

usuarios.

4.2 Administracin de
privilegios

4.2.1 Cualquier cambio en los roles y responsabilidades de los

usuarios debern ser notificados a el rea de Tecnologas de la
Informacin, para el cambio de privilegios.

4.3 Equipo desatendido

4.3.1 Los usuarios debern mantener sus equipos de cmputo con

controles de acceso como contraseas y protectores de pantalla
(screensaver) previamente instalados y autorizados por el rea de
Tecnologas de la Informacin cuando no se encuentren en su lugar
de trabajo.

4.4 Administracin y uso

de contrasea

4.4.1 La asignacin de contraseas debe ser realizada de forma

individual, por lo que el uso de contraseas compartidas est
prohibido.
4.4.2 Cuando un usuario olvide, bloquee o extrave su contrasea,
deber acudir al rea de Tecnologas de la Informacin para que se
le proporcione una nueva contrasea.

4.4.3 Est prohibido que las contraseas se encuentren de forma

legible en cualquier medio impreso y dejarlos en un lugar donde
personas no autorizadas puedan descubrirlos.
4.4.4 Sin importar las circunstancias, las contraseas nunca se deben
compartir o revelar. Hacer esto responsabiliza al usuario que prest
su contrasea de todas las acciones que se realicen con el mismo.
4.4.5 Todo usuario que tenga la sospecha de que su contrasea es
conocido por otra persona, deber cambiarlo inmediatamente.
4.4.6 Los usuarios no deben almacenar las contraseas en ningn
programa o sistema que proporcione esta facilidad.

4.5 Control de accesos

remotos

4.5.1 La administracin remota de equipos conectados a Internet no

est permitida, salvo que se cuente con el visto bueno y con un
mecanismo de control de acceso seguro autorizado por el dueo de la
informacin y del rea de Tecnologas de la Informacin.

5.- POLTICAS Y ESTNDARES DE CUMPLIMIENTO DE SEGURIDAD

INFORMTICA

Poltica

El rea de Tecnologas de la Informacin tiene como una de sus

funciones la de proponer y revisar el cumplimiento de normas y
polticas de seguridad, que garanticen acciones preventivas y
correctivas para la salvaguarda de equipos e instalaciones de
cmputo, as como de bancos de datos de informacin automatizada
en general.

5.1 Derechos de
propiedad intelectual

5.1.1 Los sistemas desarrollados por personal interno o externo que

controle el rea de Tecnologas de la Informacin son propiedad
intelectual de la CGADM.

5.2 Revisiones del

cumplimiento

5.2.1 El rea de Tecnologas de la Informacin realizar acciones de

verificacin del cumplimiento del Manual de Polticas y Estndares de
Seguridad Informtica para Usuarios.

5.2.2 El rea de Tecnologas de la Informacin podr implantar

mecanismos de control que permitan identificar tendencias en el uso
de recursos informticos del personal interno o externo, para revisar
la actividad de procesos que ejecuta y la estructura de los archivos
que se procesan. El mal uso de los recursos informticos que sea
detectado ser reportado conforme a lo indicado en la poltica de
Seguridad de Personal.
5.2.3 Los jefes y responsables de los procesos establecidos en la
CGADM deben apoyar las revisiones del cumplimiento de los
sistemas con las polticas y estndares de seguridad informtica
apropiadas y cualquier otro requerimiento de seguridad.

5.3 Violaciones de
seguridad Informtica

5.3.1 Est prohibido el uso de herramientas de hardware o software

para violar los controles de seguridad informtica. A menos que se
autorice por el rea de Tecnologas de la Informacin.

5.3.2 Ningn usuario de la CGADM debe probar o intentar probar

fallas de la Seguridad Informtica o conocidas, a menos que estas
pruebas sean controladas y aprobadas por el rea de Tecnologas de
la Informacin.
5.3.3 No se debe intencionalmente escribir, generar, compilar, copiar,
coleccionar, propagar, ejecutar o intentar introducir cualquier tipo de
cdigo (programa) conocidos como virus, gusanos caballos de
Troya, diseado para auto replicarse, daar o afectar el desempeo o
acceso a las computadoras, redes o informacin de la CGADM.