CtrlSegInfCtrlAcc - Control de Seguridad de la Información para el Control de Acceso

6 6.4 Lineamientos generales sobre cuentas de usuario

6 6.4 inciso c) Todos los usuarios del Instituto deben abstenerse de guardar su(s) contraseña(s) de forma
legible en archivos en disco o escribirla(s) en papel. Si existe razón para creer que una
contraseña ha sido comprometida, debe solicitar su cambio inmediatamente ante el área que
administre los servicios o accesos. No deben usarse contraseñas que son idénticas o
substancialmente similares con respecto a contraseñas previamente empleadas

Actividad específica: Validar que no se encuentre escrita por ningún medio la contraseña
entregada.

6 6.4 inciso h) En los casos donde varios usuarios utilicen un mismo equipo se permite el uso de cuentas
genéricas siempre y cuando se justifique con base en las funciones u operación; además se
debe asignar una persona que fungirá como responsable en caso de que se realice o
determine un mal uso de la cuenta genérica.

Actividad específica: Verificación del responsable de la cuenta genérica.

6 6.4 inciso j) En los casos de equipos que no se encuentren conectados a la red y por consiguiente no
estén vinculados al directorio activo, será el Coordinador Delegacional de Informática y/o el
Jefe Biomédico quienes deberán establecer con base al sistema operativo Windows, control
de usuarios y contraseñas, de acuerdo a lo establecido en el presente control.

Actividad específica: Validación de equipo pegado a dominio, en caso contrario revisión de

la instalación de las últimas actualizaciones de SO .

6 6.5 Administración de usuarios y contraseñas

6 6.5 inciso d) En caso de ya no requerirse el uso de una cuenta de usuario, debe de ser notificado por los
responsables de las áreas a donde pertenece el usuario en cuestión. La petición de la baja
debe de ir dirigida directamente al responsable de la aplicación, sistema o servicio que se
trate. Esto incluye personal de base, confianza, honorarios, servicios profesionales e incluso
proveedores, a los cuales se les haya creado una cuenta.

Actividad específica: Revisión de solicitudes de baja de cuenta de usuarios y cédula de

borrado seguro.

6 6.6 Controles para las contraseñas

6 6.6.3 inciso c) El usuario no podrá abandonar su equipo de cómputo sin antes bloquear la sesión o apagarlo
si se retira de las instalaciones del Instituto, de acuerdo a lo establecido en el documento
SGMP_MGSI_CtrolProtEquiFisCriterios Controles de Seguridad de la Información para
Protección de Equipos de Cómputo Pertenecientes al Instituto

Actividad específica: Validar que los equipos sean bloqueados por los usuarios, y apagados al
terminar su jornada.

6 6.6.3 inciso f) f) La contraseña no deberá ser igual al identificador del usuario, por ejemplo, para el usuario
juan. perez, la contraseña no podrá ser juanperez10.
 Actividad específica: Validar la contraseña del usuario, que cumpla los estándares de
seguridad establecidos

4 4.1 Lineamientos de correo electrónico

4 4.1 inciso b) El Correo Electrónico Institucional es una herramienta de apoyo que debe ser utilizada única y
exclusivamente para envío y recepción de información con la finalidad de contribuir con las
actividades y funciones institucionales que les fueron asignadas a los usuarios. El sistema de
Correo Electrónico Institucional es propiedad del Instituto y por tanto éste forma parte de sus
sistemas de información, por lo que el único dueño de las cuentas, contraseñas, mensajes y
contenidos del Correo Electrónico Institucional es el Instituto. El único responsable de la
cuenta y contraseña asignadas, así como del envío, administración de los mensajes y su
contenido es el usuario

Actividad específica: Validar aleatoriamente la bandeja de correo electrónico del usuario a fin
de validar el uso ético del mismo.

4 4.1 inciso f) En ningún caso las cuentas de Correo Electrónico Institucional serán usadas para el envío y/o
recepción de asuntos personales, siendo el usuario de la cuenta responsable de su buen uso

Actividad específica: Validar aleatoriamente la bandeja de correo electrónico del usuario a fin
de validar el uso ético del mismo.

4 4.1 inciso x) Será responsabilidad única y exclusiva del usuario, la información contenida en las carpetas
personales, así como su respaldo, por tal motivo deberá realizar la descarga de los mismos a
fin de evitar saturaciones en su buzón

Actividad específica: Validar que el usuario realice respaldos del buzón de correo, así como
su registro en equipo de cómputo y no en Servidor de Correo (Exchange).

4 4.1 Uso del servicio institucional de internet

4 4.1 inciso d) Queda estrictamente prohibido el uso de programas de evasión de políticas de filtrado web.
Los usuarios del Instituto (empleados del Instituto y terceros) deben de abstenerse de usar
herramientas tipo proxy para acceder a sitios web que el Instituto bloquea, toda vez que se
están incumpliendo los lineamientos establecidos en este control. De detectarse el uso de
estas herramientas por algún usuario, se cancelará el acceso a Internet y se notificara al
Responsable del área donde este adscrito ese usuario, al mismo tiempo que se avisará al
Coordinación de Servicios Administrativos (CSA), para que en su caso, aplique las sanciones
correspondientes

Actividad específica: Validación de la no existencia de instalaciones de proxy y revisión del

histórico de navegación en Internet del usuario.

4 4.1 inciso m) Queda prohibido el uso de programas para intercambio de archivos P2P, como Morpheous,
Imesh, Limewire, Grokster, Kazza, Ares, etc.

Actividad específica: Validación de la no existencia de instalaciones de programas P2P.

4 4.1 inciso n) Queda estrictamente prohibido el uso de canales directos tales como DSL, cablemodem, o
similares para acceder a los servicios de Internet, salvo aquellos que sean autorizados por la
División de Telecomunicaciones y la DSII.
 Actividad específica: Revisión y validación de que no existan módems no autorizados
instalados.

4 4.3 Responsabilidades de los usuarios y/o personal

4 4.1 inciso f) Los usuarios no deben realizar descargas no autorizadas de archivos o contenidos a través
del servicio institucional de Internet, por ejemplo: juegos, videos, música, programas, etc

Actividad específica: Validación de la carpeta C:\Users\user_name\Downloads que no exista

software no autorizado.

5 5.1 Lineamientos de protección de equipo de cómputo

5 5.1 inciso e) Todos los equipos del Instituto deben contar, por lo menos, con antivirus y antispyware.

Actividad específica: Revisión de la instalación del agente System Center Endpoint

Protection actualizado.

5 5.1 inciso i) Se bloqueará el acceso al panel de control del sistema operativo para evitar que los usuarios
puedan modificar el sistema mediante una política de dominio. Estarán exentos de este criterio
los grupos de soporte técnico y servidores.

Actividad específica: Validación del Panel de Control bloqueado, en el equipo en revisión.

5 5.1 inciso k) ...”Los usuarios con equipo de cómputo asignado son responsables de la seguridad de los
sistemas de cómputo, así como de:IV. No tener configuraciones fuera de las normas dictadas
por la División de Infraestructura de Cómputo Personal (DICP) y la División de Seguridad
Informática Física (DSIF).”…

Actividad específica: Validación de la imagen institucional del equipo.

5 5.1 inciso k) ...”Los usuarios con equipo de cómputo asignado son responsables de la seguridad de los
sistemas de cómputo, así como de:
III. No instalar software que no esté autorizado por el Instituto.
VI. Utilizar únicamente software institucional.”…

Actividad específica: Validación de que no exista software instalado fuera de la imagen

institucional.

5 5.3 Escritorio limpio

5 5.3 Escritorio limpio Es responsabilidad del usuario cuidar el equipo de cómputo asignado ya que es una
herramienta de trabajo y no de uso personal. El usuario debe asegurarse de :

Actividad específica: Validación de escritorio limpio (físico y lógico), verificación de que no se

estén guardando archivos personales en los equipos de cómputo institucionales.

5 5.4 Instalación y configuración inicial

5 5.4 inciso g) g) Todos los equipos de los usuarios del Instituto deberán estar unidos al directorio activo. Lo
anterior permitirá establecer en el Instituto una configuración estándar de los equipos,
desplegar políticas de seguridad, desplegar el antivirus institucional, desplegar actualizaciones
de seguridad, control de monitoreo de recursos y otras que se definan en la Coordinación de
Servicios de Infraestructura Tecnológica Institucional (CSITI).

Actividad específica: Verificación de configuración en Dominio del equipo, así como los
permisos de Administración de los mismos.

5 5.4 inciso i) i) Los usuarios del Instituto están obligados a solicitar a las áreas técnicas de su Delegación o
en Nivel Central, que su equipo esté unido a dominio, que se inicie sesión con un usuario de
dominio, que cuenten con el antivirus institucional y que tengan instaladas las últimas
actualizaciones de seguridad de los productos de software contenidos con su equipo, siempre
y cuando cuenten con licencia o estén autorizados por la DIDT. Por ejemplo, actualizaciones
de Microsoft Office, Adobe Reader, Flash, Java, entre otros

Actividad específica: Validación de ingreso con sesión de dominio a Directorio Activo,

verificación de la instalación del agente de System Center en el equipo, así como las
actualizaciones más recientes en los equipos en revisión.

5 5.5 Protección contra malware

5 5.5 inciso c) c) Los usuarios tienen prohibido instalar, desactivar, cambiar configuración o desinstalar el
software antivirus y antispyware, de acuerdo a los puntos indicados en el documento
SGMP_MGSI_CtrlProtVirusCodigo Control de Seguridad de la Información para Protección
Contra Virus y Código Malicioso

Actividad específica: Validación de la no existencia de permisos de Administración en los

equipos, a fin de minimizar la afectación de desactivar el software antivirus institucional.

5 5.8 Recursos compartidos en red

5 5.8 inciso b) b) Queda estrictamente prohibido compartir música, videos y películas; compartir archivos sin
control de usuarios y permisos, compartir el disco duro completo, quitar las particiones
administrativas del equipo (c$, admin$, entre otras) y todas aquellas que se consideren
importantes para la seguridad de la información tanto del equipo de escritorio como del
servidor.

Actividad específica: Validación de carpetas compartidas en los equipos, así como contenido
personal en los mismos.

5 5.1 Lineamientos de licenciamiento de software

5 5.1 inciso 7) Todo el software instalado en los equipos de cómputo debe ser desarrollado internamente o
debe estar soportado con base en los compromisos de licencias, las leyes de protección de
copias y los acuerdos de compra establecidos con proveedores. Este lineamiento se precisa
en el documento SGMP_MGSI_CtrDesaSW Control de seguridad de la información para
desarrollo de software.

Actividad específica: Validación de licenciamiento vigente en equipo de cómputo.