Documentos de Académico
Documentos de Profesional
Documentos de Cultura
6 6.4 inciso c) Todos los usuarios del Instituto deben abstenerse de guardar su(s) contraseña(s) de forma
legible en archivos en disco o escribirla(s) en papel. Si existe razón para creer que una
contraseña ha sido comprometida, debe solicitar su cambio inmediatamente ante el área que
administre los servicios o accesos. No deben usarse contraseñas que son idénticas o
substancialmente similares con respecto a contraseñas previamente empleadas
Actividad específica: Validar que no se encuentre escrita por ningún medio la contraseña
entregada.
6 6.4 inciso h) En los casos donde varios usuarios utilicen un mismo equipo se permite el uso de cuentas
genéricas siempre y cuando se justifique con base en las funciones u operación; además se
debe asignar una persona que fungirá como responsable en caso de que se realice o
determine un mal uso de la cuenta genérica.
6 6.4 inciso j) En los casos de equipos que no se encuentren conectados a la red y por consiguiente no
estén vinculados al directorio activo, será el Coordinador Delegacional de Informática y/o el
Jefe Biomédico quienes deberán establecer con base al sistema operativo Windows, control
de usuarios y contraseñas, de acuerdo a lo establecido en el presente control.
6 6.5 inciso d) En caso de ya no requerirse el uso de una cuenta de usuario, debe de ser notificado por los
responsables de las áreas a donde pertenece el usuario en cuestión. La petición de la baja
debe de ir dirigida directamente al responsable de la aplicación, sistema o servicio que se
trate. Esto incluye personal de base, confianza, honorarios, servicios profesionales e incluso
proveedores, a los cuales se les haya creado una cuenta.
6 6.6.3 inciso c) El usuario no podrá abandonar su equipo de cómputo sin antes bloquear la sesión o apagarlo
si se retira de las instalaciones del Instituto, de acuerdo a lo establecido en el documento
SGMP_MGSI_CtrolProtEquiFisCriterios Controles de Seguridad de la Información para
Protección de Equipos de Cómputo Pertenecientes al Instituto
Actividad específica: Validar que los equipos sean bloqueados por los usuarios, y apagados al
terminar su jornada.
6 6.6.3 inciso f) f) La contraseña no deberá ser igual al identificador del usuario, por ejemplo, para el usuario
juan. perez, la contraseña no podrá ser juanperez10.
Actividad específica: Validar la contraseña del usuario, que cumpla los estándares de
seguridad establecidos
4 4.1 inciso b) El Correo Electrónico Institucional es una herramienta de apoyo que debe ser utilizada única y
exclusivamente para envío y recepción de información con la finalidad de contribuir con las
actividades y funciones institucionales que les fueron asignadas a los usuarios. El sistema de
Correo Electrónico Institucional es propiedad del Instituto y por tanto éste forma parte de sus
sistemas de información, por lo que el único dueño de las cuentas, contraseñas, mensajes y
contenidos del Correo Electrónico Institucional es el Instituto. El único responsable de la
cuenta y contraseña asignadas, así como del envío, administración de los mensajes y su
contenido es el usuario
Actividad específica: Validar aleatoriamente la bandeja de correo electrónico del usuario a fin
de validar el uso ético del mismo.
4 4.1 inciso f) En ningún caso las cuentas de Correo Electrónico Institucional serán usadas para el envío y/o
recepción de asuntos personales, siendo el usuario de la cuenta responsable de su buen uso
Actividad específica: Validar aleatoriamente la bandeja de correo electrónico del usuario a fin
de validar el uso ético del mismo.
4 4.1 inciso x) Será responsabilidad única y exclusiva del usuario, la información contenida en las carpetas
personales, así como su respaldo, por tal motivo deberá realizar la descarga de los mismos a
fin de evitar saturaciones en su buzón
Actividad específica: Validar que el usuario realice respaldos del buzón de correo, así como
su registro en equipo de cómputo y no en Servidor de Correo (Exchange).
4 4.1 inciso d) Queda estrictamente prohibido el uso de programas de evasión de políticas de filtrado web.
Los usuarios del Instituto (empleados del Instituto y terceros) deben de abstenerse de usar
herramientas tipo proxy para acceder a sitios web que el Instituto bloquea, toda vez que se
están incumpliendo los lineamientos establecidos en este control. De detectarse el uso de
estas herramientas por algún usuario, se cancelará el acceso a Internet y se notificara al
Responsable del área donde este adscrito ese usuario, al mismo tiempo que se avisará al
Coordinación de Servicios Administrativos (CSA), para que en su caso, aplique las sanciones
correspondientes
4 4.1 inciso m) Queda prohibido el uso de programas para intercambio de archivos P2P, como Morpheous,
Imesh, Limewire, Grokster, Kazza, Ares, etc.
4 4.1 inciso n) Queda estrictamente prohibido el uso de canales directos tales como DSL, cablemodem, o
similares para acceder a los servicios de Internet, salvo aquellos que sean autorizados por la
División de Telecomunicaciones y la DSII.
Actividad específica: Revisión y validación de que no existan módems no autorizados
instalados.
4 4.1 inciso f) Los usuarios no deben realizar descargas no autorizadas de archivos o contenidos a través
del servicio institucional de Internet, por ejemplo: juegos, videos, música, programas, etc
5 5.1 inciso e) Todos los equipos del Instituto deben contar, por lo menos, con antivirus y antispyware.
5 5.1 inciso i) Se bloqueará el acceso al panel de control del sistema operativo para evitar que los usuarios
puedan modificar el sistema mediante una política de dominio. Estarán exentos de este criterio
los grupos de soporte técnico y servidores.
5 5.1 inciso k) ...”Los usuarios con equipo de cómputo asignado son responsables de la seguridad de los
sistemas de cómputo, así como de:IV. No tener configuraciones fuera de las normas dictadas
por la División de Infraestructura de Cómputo Personal (DICP) y la División de Seguridad
Informática Física (DSIF).”…
5 5.1 inciso k) ...”Los usuarios con equipo de cómputo asignado son responsables de la seguridad de los
sistemas de cómputo, así como de:
III. No instalar software que no esté autorizado por el Instituto.
VI. Utilizar únicamente software institucional.”…
5 5.3 Escritorio limpio Es responsabilidad del usuario cuidar el equipo de cómputo asignado ya que es una
herramienta de trabajo y no de uso personal. El usuario debe asegurarse de :
Actividad específica: Verificación de configuración en Dominio del equipo, así como los
permisos de Administración de los mismos.
5 5.4 inciso i) i) Los usuarios del Instituto están obligados a solicitar a las áreas técnicas de su Delegación o
en Nivel Central, que su equipo esté unido a dominio, que se inicie sesión con un usuario de
dominio, que cuenten con el antivirus institucional y que tengan instaladas las últimas
actualizaciones de seguridad de los productos de software contenidos con su equipo, siempre
y cuando cuenten con licencia o estén autorizados por la DIDT. Por ejemplo, actualizaciones
de Microsoft Office, Adobe Reader, Flash, Java, entre otros
5 5.5 inciso c) c) Los usuarios tienen prohibido instalar, desactivar, cambiar configuración o desinstalar el
software antivirus y antispyware, de acuerdo a los puntos indicados en el documento
SGMP_MGSI_CtrlProtVirusCodigo Control de Seguridad de la Información para Protección
Contra Virus y Código Malicioso
5 5.8 inciso b) b) Queda estrictamente prohibido compartir música, videos y películas; compartir archivos sin
control de usuarios y permisos, compartir el disco duro completo, quitar las particiones
administrativas del equipo (c$, admin$, entre otras) y todas aquellas que se consideren
importantes para la seguridad de la información tanto del equipo de escritorio como del
servidor.
Actividad específica: Validación de carpetas compartidas en los equipos, así como contenido
personal en los mismos.
5 5.1 inciso 7) Todo el software instalado en los equipos de cómputo debe ser desarrollado internamente o
debe estar soportado con base en los compromisos de licencias, las leyes de protección de
copias y los acuerdos de compra establecidos con proveedores. Este lineamiento se precisa
en el documento SGMP_MGSI_CtrDesaSW Control de seguridad de la información para
desarrollo de software.