Directriz de Seguridad Operacional de Cómputo...

Directriz de Seguridad Operacional de Cómputo Institucional

Propiedad del Banco Nacional de Obras y Servicios Públicos, S.N.C. Dirección General Adjunta de Planeación y Contraloría Dirección de Tecnologías de Información y Comunicaciones Av. Javier Barros Sierra No. 515, 8° Piso, Col. Lomas de Santa Fe, Delegación Álvaro Obregón México, D.F., C.P. 01219 Tel. 52-70-12-00 La reproducción total o parcial de este documento podrá efectuarse mediante la autorización expresa de la Dirección General Adjunta de Planeación y Contraloría, otorgándole el crédito correspondiente.


Vigente a partir de

Día Mes Año

01 07 2016


Página 3 de 56

Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el:

Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año

Elaboró: IPMM, JAOS, ICM Día Mes Año

Revisó: RMC, IRL

Hoja de Autorización

Elaboró

Iliana Patricia Medina Mondragón Experto Técnico

Rúbrica

Josué Alejandro Ortiz Sánchez Experto Técnico

Rúbrica

Issana Camacho Martínez Experto Técnico

Rúbrica

Revisó

Rodrigo Mendoza Camacho Subgerente de Cómputo

Institucional Rúbrica

Israel Rojas Luna Subgerente de Seguridad de la

Información 2 Rúbrica

Aprobó

Julio César Carrasco Ruíz Gerente de Cómputo

Juan Carlos Rodríguez Rodríguez Gerente de Seguridad de la Información


Vigente a partir de

Día Mes Año

01 07 2016


Página 4 de 56




Revisó: RMC, IRL

Sección de Control de Cambios Revisión

Página (s) Modificada (s)

Descripción del Cambio Fecha de Emisión

1.0 Todas Versión inicial 01/07/2016

Contenido SECCIÓN DE CONTROL DE CAMBIOS ............................................................................................................................... 4

CONTENIDO ........................................................................................................................................................................... 4

SECCIÓN I VISIÓN GENERAL .............................................................................................................................................. 6

I.1. Objetivo ......................................................................................................................................................................... 6 I.2. Alcance .......................................................................................................................................................................... 6 I.3. Responsabilidades respecto al documento .................................................................................................................. 6 I.2. Aplicación de la Directriz ............................................................................................................................................... 7

SECCIÓN II DIRECTRIZ DE SEGURIDAD DE CÓMPUTO INSTITUCIONAL ..................................................................... 8

1. Seguridad física........................................................................................................................................................... 8 1.1. Del Centro de Datos Secundario (B) – Edificio Corporativo Santa Fe. .............................................................. 8 1.2. Acceso a la Infraestructura de BANOBRAS. ...................................................................................................... 9 1.3. Manejo de Medios de Almacenamiento y Procesamiento Central. .................................................................... 9

2. Manejo De La Información ........................................................................................................................................ 10 2.1. Del almacenamiento de información. ................................................................................................................ 10 2.2. Del respaldo de información. ............................................................................................................................ 10

3. Administración del Licenciamiento ............................................................................................................................ 10 3.1. Del licenciamiento de software. ........................................................................................................................ 10 3.2. De la actualización de software. ....................................................................................................................... 11

4. Servidores ................................................................................................................................................................. 12 4.1. De la protección de servidores. ......................................................................................................................... 12 4.2. Del control de acceso. ....................................................................................................................................... 12 4.3. De la instalación de software en servidores. .................................................................................................... 12 4.4. De los ambientes de producción y de desarrollo. ............................................................................................. 13 4.5. Del mantenimiento de Infraestructura. .............................................................................................................. 13 4.6. Entrega de servidores en ambientes de producción y de desarrollo. ............................................................... 13 4.7. De los Sistemas Operativos Windows. ............................................................................................................. 14 4.8. De los Sistemas Operativos Unix. ..................................................................................................................... 15

5. Bases de datos.......................................................................................................................................................... 16 5.1. Del control de acceso. ....................................................................................................................................... 16 5.2. De los ambientes de producción y de desarrollo. ............................................................................................. 16 5.3. Medidas de Seguridad de Nivel Crítico. ............................................................................................................ 16 5.4. De las Bases de Datos Oracle. ......................................................................................................................... 18 5.5. De las Bases de Datos Microsoft SQL Server. ................................................................................................. 19

6. Monitoreo .................................................................................................................................................................. 20 6.1. Del monitoreo de infraestructura. ...................................................................................................................... 20 6.2. De los umbrales de monitoreo. ......................................................................................................................... 21 6.3. De las alertas de monitoreo. ............................................................................................................................. 21 6.4. De los reportes de monitoreo. ........................................................................................................................... 21 6.5. De la retención de datos. .................................................................................................................................. 21 6.6. Del acceso a las consolas de monitoreo. ......................................................................................................... 21


Vigente a partir de

Día Mes Año

01 07 2016


Página 5 de 56




Revisó: RMC, IRL

6.7. Del Monitoreo por Tipo de Infraestructura. ....................................................................................................... 22 6.7.1. Del monitoreo de dispositivos de red. ........................................................................................................... 22 6.7.2. Del Monitoreo de Equipos de Procesamiento. .............................................................................................. 22 6.7.3. Del Monitoreo de Aplicaciones. ..................................................................................................................... 22 6.7.4. Del Monitoreo de Bases de datos. ................................................................................................................ 23 6.8. De la auditoria de usuarios con altos privilegios o administradores de Bases de Datos Oracle. ..................... 23 6.9. De la operación del servicio de monitoreo. ....................................................................................................... 23 6.10. De la administración de bitácoras e información de seguridad. ....................................................................... 24

7. Correo electrónico ..................................................................................................................................................... 25 7.1. Del servicio de correo electrónico para usuarios finales. .................................................................................. 25 7.2. De la configuración de servidores y/o aplicaciones que requieran realizar el envío de correo electrónico (relay). 25

8. Protección Antimalware ............................................................................................................................................ 26 8.1. De la Administración de Protección de Equipos de Cómputo. ......................................................................... 26 8.2. De la protección de archivos y software. .......................................................................................................... 26 8.3. Del software Antivirus........................................................................................................................................ 26

9. Seguridad para la administración y uso de Middleware. .......................................................................................... 26 9.1. De la plataforma VMware. ................................................................................................................................. 26 9.2. De la plataforma Citrix. ...................................................................................................................................... 27 9.3. De los Servidores Web...................................................................................................................................... 27 9.3.1. Del servicio IIS. ............................................................................................................................................. 27 9.3.2. Del servicio Apache Tomcat. ........................................................................................................................ 27

10. Seguridad En Redes. ............................................................................................................................................ 28 10.1. Del uso de redes. .............................................................................................................................................. 28

11. Procesos de Recuperación (DRP) ........................................................................................................................ 28 11.1. Replicación de aplicativos al Centro de Datos Secundario (B). ....................................................................... 28

12. Lineamientos de vulnerabilidades. ........................................................................................................................ 28 12.1. Del diagnóstico de vulnerabilidades. ................................................................................................................. 28 12.2. De las pruebas de penetración (Pent-test). ...................................................................................................... 29

SECCIÓN III REFERENCIAS A DOCUMENTOS DE OPERACIÓN ................................................................................... 29

SECCIÓN IV ANEXOS ......................................................................................................................................................... 30

Anexo 1. Glosario .............................................................................................................................................................. 31 Anexo 2. Control para el acceso de equipo al Centro de Datos Secundario (B) .............................................................. 37 Anexo 3. Línea Base De Servidores ................................................................................................................................. 38

Solicitud de Infraestructura ........................................................................................................................................... 40 Anexo 4. Alta de dispositivos ............................................................................................................................................ 41

Diagrama de Flujo del Procedimiento para alta de dispositivos ................................................................................... 41 Procedimiento de alta de dispositivos ........................................................................................................................... 42

Anexo 5. Baja de Dispositivos........................................................................................................................................... 45 Diagrama de flujo del procedimiento de baja de dispositivos. ...................................................................................... 45 Procedimiento de baja de dispositivos. ......................................................................................................................... 46

Anexo 6. Reporte trimestral de acciones para la mejora del desempeño de los equipos o Bases de datos. (FORMATO) .......................................................................................................................................................................................... 48 Anexo 7. Solicitud ABC – Comunicaciones y Procesamiento. ......................................................................................... 49 Anexo 8. Solicitud ABC – Bases de datos. ....................................................................................................................... 52 Anexo 9. Procedimiento de Atención de Eventos ............................................................................................................. 54


Vigente a partir de

Día Mes Año

01 07 2016


Página 6 de 56




Revisó: RMC, IRL

Sección I Visión General

I.1. Objetivo El presente documento, tiene como propósito normar, mediante directrices de seguridad específicas y que se desprenden de la política general de seguridad de Banobras, el manejo de la información, mismo que debe cumplirse con la finalidad de preservar su confidencialidad, integridad y disponibilidad. El documento contribuye a la operación de la Subgerencia de Cómputo Institucional, buscando minimizar los riesgos para la integridad, disponibilidad y confidencialidad de la información, al proporcionar una guía clara y específica para ayudar a conocer y aplicar las directrices de seguridad para el uso adecuado y seguro de la información que utiliza.

I.2. Alcance Este documento es de aplicación general y obligatoria para el personal de la Subgerencia de Cómputo Institucional; así como para aquellos usuarios autorizados y que tengan accesos a las instalaciones de procesamiento de información.

I.3. Responsabilidades respecto al documento

Responsable Responsabilidad

Gerente de Cómputo Autorizar la Directriz de Seguridad Operacional de Cómputo Institucional. Proponer mejoras. Guardar y custodiar el documento.

Gerente de Seguridad de la Información

Autorizar la Directriz de Seguridad Operacional de Cómputo Institucional. Proponer mejoras.

Subgerente de Cómputo Institucional

Revisar el documento Directriz de Seguridad Operacional de Cómputo Institucional. Coordinar la actualización del presente documento cuando se requiera o derivada de:

Modificaciones al marco jurídico y normativo aplicable;

Observaciones y/o recomendaciones por parte de las instancias de supervisión y fiscalización, así como de las autoridades competentes;

Cambios en la estructura organizacional de Banobras; y mejora del proceso de calidad regulatoria.

Proponer y Coordinar las mejoras.

Subgerente de Seguridad de la Información 2

Revisar el documento Directriz de Seguridad Operacional de Cómputo Institucional. Coordinar la actualización del presente documento cuando se requiera o derivada de:

Modificaciones al marco jurídico y normativo aplicable;


Vigente a partir de

Día Mes Año

01 07 2016


Página 7 de 56




Revisó: RMC, IRL

Responsable Responsabilidad

Observaciones y/o recomendaciones por parte de las instancias de supervisión y fiscalización, así como de las autoridades competentes;

Cambios en la estructura organizacional de Banobras; y mejora del proceso de calidad regulatoria.

Proponer mejoras.

Expertos Técnicos de la Subgerencia de Cómputo Institucional.

Elaborar el documento Directriz de Seguridad Operacional de Cómputo Institucional. Proponer e implementar mejoras.

I.2. Aplicación de la Directriz

La Subgerencia de Cómputo Institucional implementará todas las actividades, controles, lineamientos, configuraciones, etc. que, a la emisión del documento, no estén implementados, dentro de los 30 días hábiles siguientes a la aprobación del mismo. Todas las excepciones a la Directriz de Seguridad Operacional de Cómputo Institucional deberán ser autorizadas en conjunto por la Gerencia de Cómputo y en conocimiento a la Gerencia de Seguridad de la Información.


Vigente a partir de

Día Mes Año

01 07 2016


Página 8 de 56




Revisó: RMC, IRL

Sección II Directriz de Seguridad de Cómputo Institucional

1. Seguridad física

1.1. Del Centro de Datos Secundario (B) – Edificio Corporativo Santa Fe.

1.1.1. El espacio físico en el que se encuentran los servidores deberá cumplir, mínimo, con las siguientes características:

a) Temperatura: El Centro de Datos Secundario (B) deberá mantener una temperatura entre los 21 y 23 grados centígrados para evitar averías en los equipos a causa del sobrecalentamiento.

b) Deberán ser eliminados los cambios de temperatura superiores a 5 grados centígrados por hora así como los cambios de humedad de +- 10%.

c) Humedad: La humedad del Centro de Datos Secundario (B) deberá oscilar entre el 40% y 55% para que las cargas estáticas sean menos frecuentes.

d) Energía Regulada: Las variaciones de voltaje deberán encontrarse entre los 115 volts +/- 10%.

e) Fuente Ininterrumpida de Energía Eléctrica: La energía entregada deberá ser sin picos ni ciclos faltantes, independiente de la red comercial.

1.1.2. El acceso al Centro de Datos Secundario (B) de la Institución deberá estar restringido sólo a personal interno autorizado por el Gerente de Cómputo y el responsable del Proceso de Administración de la Operación (AOP) del MAAGTIC-SI de acuerdo con lo definido en los Mecanismos de Operación de TIC del mismo proceso.

1.1.3. El acceso a los proveedores deberá ser a través de personal autorizado, y deberá entregarse el formato AOP-F12 correspondiente al Proceso de Administración de la Operación (AOP) del MAAGTIC-SI, debidamente llenado por el solicitante y firmado por el responsable de la Administración de la Operación. El proveedor deberá ajustarse a las actividades descritas en dicho formato y en todo momento deberá estar acompañado por el personal autorizado de la Institución designado para esta tarea.

1.1.4. Todo el personal que no tenga acceso a través del dispositivo biométrico de control de acceso al Centro de Datos Secundario (B) deberá registrarse en la bitácora de acceso en todos los campos de ésta.

1.1.5. El ingreso o retiro de equipo de TIC del Centro de Datos Secundario (B) del edificio Santa Fe, deberá apegarse al procedimiento descrito en el Anexo 2. Control para el acceso de equipo al Centro de Datos Secundario (B) de la Subgerencia de Cómputo Institucional y se deberá entregar el formato AOP-F13 correctamente llenado por el solicitante y firmado por el Subgerente de Cómputo Institucional correspondiente al equipo que será ingresado o retirado de la infraestructura.

1.1.6. Queda estrictamente prohibido el ingreso de medios extraíbles de almacenamiento tales como Memorias USB, Discos Duros portátiles, etc. Así como dispositivos de comunicaciones móviles tales como Banda Ancha Móvil (BAM) o Switches inalámbricos al Centro de Datos Secundario (B) del Edificio Santa Fe.

1.1.7. Queda estrictamente prohibido tomar fotografías a las instalaciones del Centro de Datos Secundario (B) del edificio Santa Fe. En caso de requerir este tipo de material, deberá ser solicitado por escrito al Subgerente de Cómputo Institucional quien será el encargado de entregarlas.


Vigente a partir de

Día Mes Año

01 07 2016


Página 9 de 56




Revisó: RMC, IRL

1.2. Acceso a la Infraestructura de BANOBRAS.

1.2.1. Al terminar la relación laboral de una persona con la Institución, se deben inhabilitar o dar de baja de forma inmediata todas sus cuentas, conforme lo indican las Directrices del proceso de Gestión de Cuentas de Usuario.

1.2.2. La Subgerencia de Cómputo Institucional, realizará un reporte cada 6 meses, el cual deberá contener un barrido de las cuentas existentes en el Directorio Activo e inactivas por más de 90 días; los resultados obtenidos serán informados al personal de la Gerencia de Seguridad de la Información.

1.2.3. El acceso remoto a la infraestructura de la Institución únicamente deberá realizarse mediante una conexión segura (VPN) proporcionada y monitoreada por la Subgerencia de Telecomunicaciones.

1.2.4. La comunicación con los servidores del Centro de Datos Primario (A) desde las instalaciones de Banobras Santa Fe deberá estar cifrada mediante dispositivos que utilicen por lo menos el algoritmo de cifrado AES-256 para evitar ataques tipo “Man in the Middle” que permitan la fuga de información confidencial.

1.2.5. Queda estrictamente prohibido el acceso a los servidores de la Institución mediante software de acceso remoto tal como “LogMeIn Free”, “TeamViewer”, “VNC”, “Join.me”, etc.

1.2.6. El acceso a los servidores y bases de datos deberá ser únicamente a través de cuentas de dominio y/o locales, nombradas y asignadas a los usuarios para el acceso a la infraestructura en apego a la Directriz del proceso de Gestión de Cuentas de Usuario. Cualquier excepción a este punto deberá ser justificada por el área correspondiente a la Gerencia de Seguridad de la Información.

1.2.7. El resguardo de las contraseñas de Administrador local de los servidores con Sistema Operativo Windows y los usuarios root de los servidores con Sistema Operativo Linux, así como los usuarios SYS/SYSTEM de las Bases de Datos Oracle y los SA de Bases de Datos SQL, estará bajo la responsabilidad de la Gerencia de Seguridad de la Información.

1.2.8. El uso de las cuentas por default (Administrator, Root, Oracle, SYS, SYSTEM, SA, etc.) deberá ser solicitado a la Gerencia de Seguridad de la Información con el visto bueno de la Gerencia de Cómputo.

1.3. Manejo de Medios de Almacenamiento y Procesamiento Central.

1.3.1. Cuando ya no se requiera de algún equipo o medio de almacenamiento de información no removible relacionado con la infraestructura de almacenamiento y procesamiento, la Subgerencia de Cómputo Institucional deberá validar que la información contenida en estos dispositivos haya sido borrada de forma segura (de acuerdo a la Guía de Operación AOP-F3.GAO.CI-084 Borrado Seguro) antes de ser desechados.

1.3.2. La Subgerencia de Cómputo Institucional será la responsable de que los medios de almacenamiento no removibles (por ejemplo: discos físicos de almacenamiento) que van a ser desechados, vendidos, donados y/o devueltos sean borrados de forma segura.

1.3.3. La información contenida en medios de almacenamiento de proveedores o terceros debe eliminarse de forma segura antes de que estos sean devueltos a sus dueños.


Vigente a partir de

Día Mes Año

01 07 2016


Página 10 de 56




Revisó: RMC, IRL

2. Manejo De La Información

2.1. Del almacenamiento de información.

2.1.1. La Subgerencia de Cómputo Institucional realizará ejercicios de restauración trimestrales sobre la información almacenada en medios magnéticos por periodos prolongados, misma que deberá ser sometida a pruebas, para validar que es posible su recuperación; el resultado se hará del conocimiento de la Gerencia de Seguridad de la Información.

2.1.2. Debe evitarse que los medios magnéticos utilizados para el almacenamiento de información, se vuelvan obsoletos en cuanto a la tecnología utilizada.

2.1.3. Los procedimientos de respaldo de información en medios de almacenamiento (cintas magnéticas y Data Domain), deben asegurar que la información sensible, crítica o valiosa almacenada por periodos prolongados no se pierda por deterioro del medio utilizado.

2.1.4. Los respaldos de información, deben almacenarse en un sitio alterno, protegido contra el medio ambiente y con controles de acceso.

2.1.5. Los dispositivos de almacenamiento o de cómputo que contengan información sensible, deben protegerse contra divulgación o modificación no autorizada cuando se trasladen fuera de la Institución.

2.1.6. Los medios de almacenamiento con respaldos de información crítica, deben ser protegidos contra robo y resguardados en una ubicación alterna, fuera de las oficinas de la Institución.

2.2. Del respaldo de información.

2.2.1. Toda la información en el esquema de respaldos en los sistemas de la Institución, deben respaldarse periódicamente con base en su criticidad y en cumplimiento a los lineamientos de los procesos aplicables del MAAGTIC-SI.

a) Los equipos de procesamiento de información de la Institución deberán contar con los medios de almacenamiento necesarios para asegurar la disponibilidad de la información contenida en éstos, aún en situaciones adversas.

b) Es responsabilidad de la Subgerencia de Cómputo Institucional, asegurarse de que se efectúen respaldos de datos sensibles, críticos y valiosos para la Institución de acuerdo con la Guía de Administración y Operación “AOP-F3.GAO.CI.082 Guía de Administración y Operación Proceso de Administración de Respaldos.

c) Los respaldos deberán llevarse a cabo fuera de los horarios de operación. Se documentarán las excepciones.

3. Administración del Licenciamiento

3.1. Del licenciamiento de software.

3.1.1. Todo el software instalado en la infraestructura de servidores debe ser desarrollado internamente o de acuerdo a los compromisos de licencias, las leyes de protección de copias y los acuerdos de compra establecidos con proveedores.


Vigente a partir de

Día Mes Año

01 07 2016


Página 11 de 56




Revisó: RMC, IRL

3.1.2. La Subgerencia de Cómputo Institucional, supervisará el apego al uso de licencias y cumplimiento con los derechos de autor de toda aplicación y herramienta de software utilizada en los equipos de la infraestructura de los Centros de Cómputo.

3.1.3. La Subgerencia de Cómputo Institucional será la encargada de realizar por lo menos una vez al año un inventario que muestre el software instalado en los servidores.

3.1.4. Al encontrarse software no autorizado en los equipos de los Centros de Cómputo de la Institución, la Subgerencia de Cómputo Institucional tendrá la facultad de solicitar, por el medio de comunicación pertinente, la eliminación del software de dichos equipos.

3.1.5. Antes de su instalación, todo software con licenciamiento comercial, u otro tipo de licencia, deberá ser previamente revisado por la Subgerencia de Cómputo Institucional.

3.1.6. Todo Software que no haya sido reportado a la Subgerencia de Cómputo Institucional, será sujeto de evaluación de ser desinstalado o documentar su instalación.

3.1.7. La Institución debe conservar los contratos o documentos para comprobar la propiedad del software hasta dejar de utilizarlo.

3.1.8. La Subgerencia de Cómputo Institucional es la encargada de retirar el software de los equipos de infraestructura de los Centros de Cómputo de la Institución apegándose al proceso de Administración de Cambios.

3.2. De la actualización de software.

3.2.1. Es responsabilidad de los administradores de los servidores y aplicaciones, validar las actualizaciones disponibles para las aplicaciones y sistemas operativos utilizados como parte de la infraestructura de la Institución.

3.2.2. Con la finalidad de mantener los niveles de seguridad óptimos, se debe realizar la actualización de cualquier software de la infraestructura de la institución, en ambientes de prueba o desarrollo.

3.2.3. Las actualizaciones identificadas para su aplicación en los servidores de la Institución deberán ser analizadas con base en las especificaciones del fabricante e identificando las vulnerabilidades o errores que éstas corregirán.

a) Las posibles actualizaciones a aplicar deberán ser analizadas con el fin de identificar si el beneficio que su aplicación le dará a la Institución es un beneficio mayor al riesgo que su aplicación representa.

b) Las posibles actualizaciones a aplicar deberán ser analizadas con el fin de identificar si existen controles compensatorios en caso de que el riesgo de su aplicación en los servidores de la Institución sea muy alto.

c) Las aplicaciones a utilizar en los servidores deberán ser sometidas a pruebas en el ambiente de Desarrollo antes de ser aplicadas en el ambiente de Producción.

3.2.4. La Gerencia de Cómputo emitirá para la Gerencia de Seguridad de la Información un reporte semestral del análisis realizado sobre las actualizaciones pendientes por aplicar para el seguimiento del mismo.

3.2.5. Para la aplicación de actualizaciones, deberá gestionarse un control de cambios apegado al proceso vigente en la DTIC, el cual deberá de considerar por lo menos lo siguiente:

a) Autorización del cambio.

b) Plan para la aplicación de la actualización.


Vigente a partir de

Día Mes Año

01 07 2016


Página 12 de 56




Revisó: RMC, IRL

c) Procedimiento de regreso en caso de que la actualización presente problemas en el ambiente de producción.

4. Servidores

4.1. De la protección de servidores.

4.1.1. Los servidores de la Institución deben estar protegidos bajo los siguientes lineamientos:

a) Deben estar en áreas seguras, preferentemente, en centros de cómputo.

b) Los sitios en donde se encuentren los servidores deben cumplir con la política de seguridad física y de personal.

c) En caso de desastre, los servidores que soportan servicios críticos medulares AAA deben estar incluidos en el plan de continuidad del negocio y de acuerdo a la política de administración de la continuidad.

d) Las consolas de los servidores sólo deben ser operadas por usuarios autorizados y deberán contar con controles de acceso.

4.2. Del control de acceso.

4.2.1. Las operaciones diarias deben ser ejecutadas con usuarios limitados, sólo se deben usar cuentas con altos privilegios cuando las actividades a ejecutar lo requieran.

4.2.2. Para la creación y uso de cuentas de usuarios de altos privilegios se deberán considerar los Lineamientos establecidos en las Directrices del Proceso de Gestión de Cuentas de Usuario.

4.2.3. Para el desbloqueo de cuentas se deberá solicitar a través de la Mesa de Servicios de la Institución, proporcionando la información que le sea solicitada al usuario.

4.2.4. La protección por contraseña del protector de pantalla deberá estar configurada y habilitada en un tiempo de inactividad de 300 segundos.

4.2.5. Las cuentas con altos privilegios deshabilitadas, sólo podrán ser habilitadas mediante una responsiva firmada por el solicitante y por un funcionario público con nivel mínimo de Gerente, con el visto bueno de la Gerencia de Seguridad de la Información, si el solicitante tiene un rango de Gerente la responsiva deberá estar firmada por un funcionario con nivel de Subdirector.

4.2.6. Cuando el sistema lo permita, se deberá limitar el tiempo de sesión inactiva y el número de intentos fallidos, si se excede este umbral, el sistema finalizará el proceso.

4.3. De la instalación de software en servidores.

4.3.1. Queda prohibida la instalación de software no institucional en los servidores de ambientes de Producción y de Desarrollo.

4.3.2. La instalación de software en la infraestructura de la Institución deberá realizarse de acuerdo al Proceso de Administración de Cambios, primero en el ambiente de Desarrollo y después en el de Producción.

4.3.3. En el caso de que el software instalado no se requiera mantener en el servidor por tiempo indefinido, el mismo deberá ser desinstalado a través del proceso mencionado en el punto anterior.


Vigente a partir de

Día Mes Año

01 07 2016


Página 13 de 56




Revisó: RMC, IRL

4.4. De los ambientes de producción y de desarrollo.

4.4.1. Los ambientes de Producción y de Desarrollo de sistemas deben estar separados, tomando en consideración la infraestructura física y virtual así como de redes. Al no ser posible esta separación de ambientes porque los sistemas no lo permitan, se deben llevar acabo separaciones lógicas de redes, directorios y archivos.

Ambiente de Desarrollo. 4.4.2. Únicamente el personal en el “Catálogo personal autorizado para solicitar copias de producción a

Desarrollo” tendrá la facultad de solicitar copias de bases de datos del ambiente productivo al ambiente de desarrollo; los sistemas de información desarrollados internamente o adquiridos deben contar con los controles internos que garanticen la seguridad de los datos y el registro de las actividades que los usuarios realizan en éstos, mediante mecanismos de enmascaramiento de la información sensible de producción.

Ambiente de Producción. 4.4.3. El código fuente de los sistemas no deberá existir en el ambiente de Producción.

4.4.4. Los servidores del ambiente de Producción que publiquen servicios hacia Internet, deberán encontrarse detrás de un Firewall y de un IPS, para la protección y detección de cualquier intento de ataque externo.

4.4.5. Las cuentas con privilegios de acceso al Ambiente de Desarrollo no tendrán acceso a la infraestructura del Ambiente de Producción.

4.4.6. No está permitido instalar herramientas de ningún tipo en el ambiente de Producción, y en caso de ser necesario, se deberá apegar al proceso de cambios (ACMB).

4.4.7. Por ningún motivo deberá existir software de desarrollo en los servidores del ambiente de Producción, lo cual supone una vulnerabilidad en la seguridad de los sistemas.

4.5. Del mantenimiento de Infraestructura.

4.5.1. La Subgerencia de Cómputo Institucional deberá asegurar la actualización del plan de mantenimientos preventivos a la infraestructura de almacenamiento y procesamiento del ambiente de Producción a través del proceso de Administración de la Operación del MAAGTIC-SI

4.6. Entrega de servidores en ambientes de producción y de desarrollo.

4.6.1. Todos los servidores administrados por la Subgerencia de Cómputo Institucional, deberán contar con el sufijo “banobras.gob.mx”, si se llegara a requerir hacer alguna excepción se deberá de justificar y documentar técnicamente.

4.6.2. Cualquier software instalado posterior a la entrega de los servidores deberá incluir todas las actualizaciones, parches, Service Pack y/o hotfixes liberados por el fabricante al momento de su instalación.

4.6.3. Los servicios que no sean requeridos para el correcto funcionamiento de los aplicativos deberán estar deshabilitados. Algunos de los servicios que no son necesarios en un servidor seguro son:

a) FTP


Vigente a partir de

Día Mes Año

01 07 2016


Página 14 de 56




Revisó: RMC, IRL

b) TFTP

c) Web (solo en caso de ser servidor web)

d) Telnet

e) DNS

f) LDAP

g) Windows terminal server

h) Sharing

4.6.4. Todos los puertos que no sean requeridos para el correcto funcionamiento de los aplicativos deberán ser deshabilitados, por ejemplo:

a) Puerto 25 (SMTP)

b) Puertos 20 y 21 (FTP)

c) Puerto 23 (Telnet)

d) Puerto 53 (DNS)

e) Puerto 79 (Finger)

f) Puerto 110 (POP3)

g) Puerto 123 (NTP)

h) Puerto 389 (LDAP)

i) Puerto 445 (AD, Sharing)

j) Puerto 1433 (SQL)

k) Puerto 1521 (Oracle)

4.7. De los Sistemas Operativos Windows.

4.7.1. El acceso a los servidores de los ambientes de producción y desarrollo con Sistema Operativo Windows se otorgará con las cuentas de dominio DS o WS de acuerdo con la Directriz del Proceso de Gestión de Usuarios.

4.7.2. Queda prohibido compartir carpetas en los servidores de Producción. En caso de que se requiera compartir alguna carpeta, se deberán tener en cuenta los siguientes puntos:

a) Las solicitudes serán recibidas a través de la Mesa de Servicios de la Institución, bajo solicitud del jefe directo del solicitante.

b) Se debe remplazar el grupo “everyone” por usuarios autenticados en los archivos compartidos.

4.7.3. Todos los servidores que sean entregados en los ambientes de Producción y de Desarrollo, deberán cumplir con la línea base establecida en el Anexo 3. Línea Base De Servidores.

4.7.4. Los servidores Miembros del Dominio deberán tener habilitadas las siguientes opciones de auditoría:

Audit Account logon events: Fallas y Aciertos Audit account Management: Fallas y Aciertos Audit Directory Service Access: Fallas y Aciertos


Vigente a partir de

Día Mes Año

01 07 2016


Página 15 de 56




Revisó: RMC, IRL

Audit logon events: Fallas y Aciertos Audit object Access: Fallas y Aciertos Audit Policy Change: Aciertos Audit System Events: Aciertos

4.7.5. Para los servidores NO miembros del Dominio, se deberán activar las mismas políticas de auditoria de manera manual.

4.8. De los Sistemas Operativos Unix.

4.8.1. Sólo debe existir un solo usuario con perfil de “root” y con el Group ID de root. El perfil de root maneja como UID el 0 y como GID el 0.

4.8.2. Restringir el acceso remoto con la cuenta de SuperUser (root). No debe permitirse la conexión remota del usuario root. Si se requiere hacer la conexión, se debe hacer mediante un usuario universal y ejecutar el comando “su -” para poder obtener los privilegios de SuperUsuario y realizar las tareas de administración requeridas.

4.8.3. Todo usuario deberá contar con un HOME Directory asignado

4.8.4. Mantener /home en una partición diferente a la de /.

4.8.5. Acordar un estándar para el nombramiento de archivos.

a) Utilizar únicamente caracteres alfanuméricos, guiones medios y guiones bajos.

b) Evitar dejar espacios en blanco.

c) Evitar el uso de caracteres especiales tales como “%” “$”.

4.8.6. Deshabilitar los demonios que no sean necesarios para el funcionamiento de los servidores tales como:

a) pop

b) imap

c) smtp

d) http

e) mysql

f) snmp

g) nesus

h) saint

i) nessus


Vigente a partir de

Día Mes Año

01 07 2016


Página 16 de 56




Revisó: RMC, IRL

5. Bases de datos

5.1. Del control de acceso.

5.1.1. Las cuentas de acceso a las bases de datos que no estén asociadas a las aplicaciones institucionales deberán apegarse a las Directrices del Proceso de Gestión de Cuentas de Usuarios.

5.1.2. En ningún caso se podrán efectuar actividades que perjudiquen los intereses legítimos del fabricante de la base o del proveedor de las prestaciones contenidas en la misma.

5.1.3. La protección frente a la extracción no autorizada del contenido de una base de datos se concederá por un período de seis años a partir de la fecha de entrega.

5.1.4. Las actividades de revisión de las bases de datos, deberán ser acordadas y planeadas con anticipación.

5.1.5. Es responsabilidad de la Subgerencia de Cómputo Institucional, evaluar, proponer, asegurar la implementación y monitorear los mecanismos de control de acceso para prevenir la intrusión no autorizada a las bases de datos de la Institución.

5.1.6. Las cuentas de acceso a las bases de datos serán intransferibles y no se podrán compartir, éstas deben contar con métodos de autenticación y sólo serán para usuarios autorizados de acuerdo con las directrices del Proceso de Gestión de Cuentas de Usuario.

5.1.7. Los equipos que hospedan bases de datos no deberán estar expuestos directamente a la red pública.

5.2. De los ambientes de producción y de desarrollo.

5.2.1. Las bases de datos para ambientes Web, así como las creadas por personal de la Institución o terceros, deben incluir canales seguros de comunicación.

5.2.2. La autorización de las modificaciones a datos almacenados en las bases de datos del ambiente productivo estarán sujetas al procedimiento de Solicitudes de TI de la Subgerencia de Cómputo Personal.

5.2.3. La Subdirección de Soluciones Tecnológicas nombrará a los funcionarios públicos autorizados para extraer o reutilizar partes del contenido de las bases de datos de los ambientes productivos por medio del Catálogo de firmas de personal autorizado para solicitar copias de bases de datos de producción a desarrollo.

5.2.4. Para efectos de la operación de la Subgerencia de Cómputo Institucional, todas las bases de datos que no se encuentren en la infraestructura del ambiente productivo serán clasificadas como ambiente de desarrollo.

5.3. Medidas de Seguridad de Nivel Crítico.

5.3.1. Las herramientas de respaldos de bases de datos institucionales deberán adoptar medidas para evitar que los respaldos puedan ser leídos o manipulados durante su almacenamiento o transporte por personal no autorizado.

5.3.2. La Subgerencia de Cómputo Institucional garantizará el registro de accesos a Bases de Datos con información que identifique al usuario que accedió, cuándo lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar si se hicieron modificaciones a las bases de datos.


Vigente a partir de

Día Mes Año

01 07 2016


Página 17 de 56




Revisó: RMC, IRL

5.3.3. Los respaldos de bases de datos se alinearán a los procedimientos de respaldos y recuperación de los mismos de la Subgerencia de Cómputo Institucional.


Vigente a partir de

Día Mes Año

01 07 2016


Página 18 de 56




Revisó: RMC, IRL

5.4. De las Bases de Datos Oracle.

5.4.1. Generales.

5.4.1.1. Para todas las bases de datos de nueva creación, se deberá cambiar la contraseña por omisión de los usuarios de Administración:

a) SYS

b) SYSTEM

5.4.1.2. Las contraseñas de los usuarios de administración deberán cumplir con los lineamientos descritos en las Directrices del proceso de Gestión de Cuentas de Usuarios.

5.4.1.3. La administración de las cuentas SYS, SYSTEM y Oracle se apegará a los procedimientos de uso de cuentas con altos privilegios a través de las Directrices del proceso de Gestión de Cuentas de Usuarios.

5.4.1.4. La Subgerencia de Cómputo Institucional se asegurará que se elimine el schema Scott de todas las bases de datos del ambiente productivo.

5.4.1.5. La Subgerencia de Cómputo Institucional deshabilitará los usuarios que no estén relacionados con una aplicación y no cuenten con una responsiva vigente.

5.4.2. La configuración de bases de datos Oracle se hará para que no se utilice el puerto por default 1521.

5.4.3. Roles y Perfiles.

5.4.3.1. La Subgerencia de Cómputo Institucional configurará los roles definidos por la Subdirección de Soluciones Tecnológicas para las bases de datos productivas.

5.4.3.2. La Subgerencia de Cómputo Institucional dará tratamiento de cuenta con altos privilegios a todos los usuarios cuyos privilegios se extiendan al sistema, no tengan restringida la opción ADMIN o no tenga restringidos los privilegios sobre objetos de sys (DBA* y v$)

5.4.4. Mantenimiento de las Bases de Datos Oracle.

5.4.4.1. La Subgerencia de Cómputo Institucional determinó la necesidad de realizar mantenimiento constante de las Bases de Datos, con la finalidad de mejorar la Respuesta, Disponibilidad y Funcionamiento.

5.4.4.2. La Subgerencia de Cómputo Institucional deberá ejecutar cada 6 meses los procesos DB Healt Check y UNDO_RETENTION, los cuales ayudarán a determinar si las Bases de Datos requieren aumento de memoria y recomendaciones para un mejor funcionamiento, para mayor información consultar el documento “Validación de Memoria y Parámetros - Bases de Datos Oracle”.

5.4.4.3. La Subgerencia de Cómputo Institucional ejecutará de manera automatizada, semanalmente, dos JOB en las Bases de Datos, los cuales estarán generando las estadísticas y la desfragmentación, para mayor información consultar el documento “Mantenimientos de Producción - Bases de Datos Oracle”.

5.4.4.4. La Subgerencia de Computo Institucional generará mensualmente un listado o inventario de Bases de Datos, el cual contiene el nombre, tamaño y servidor donde se encuentran las Bases de Datos, este inventario se localizará en el repositorio de Share Point de la Subgerencia de Computo Institucional (Inventario BD_Mes).


Vigente a partir de

Día Mes Año

01 07 2016


Página 19 de 56




Revisó: RMC, IRL

5.4.4.5. Se validará cada 6 meses que el archivo SPFILE, tenga la configuración de los parámetros internos de las Bases de Datos, para mayor información consultar el documento “Validación de Memoria y Parámetros - Bases de Datos Oracle”.

5.4.5. Todas las Bases de Datos creadas a partir de la publicación de ésta directriz deberán ser consideradas dentro de las actividades de mantenimiento descritas en el numeral anterior.

5.5. De las Bases de Datos Microsoft SQL Server.

5.5.1. La Subgerencia de Cómputo Institucional evitará la instalación de componentes que no sean requeridos para la funcionalidad de la aplicación.

5.5.2. La Subgerencia de Cómputo Institucional evitará la instalación de componentes adicionales como Servidores Web, Servidor de Correo, Servidor FTP, etc. En los servidores de Bases de datos SQL.

5.5.3. La Subgerencia de Cómputo Institucional creará particiones separadas a nivel sistema operativo para los archivos de programa de la base de datos, archivos de información de SQL y la bitácora de transacciones (transaction log).

5.5.4. La Subgerencia de Cómputo Institucional modificará, asegurará o borrará los archivos de configuración que puedan contener información sensible [Drive]:\Program Files\Microsoft SQL Server\MSSQL.X\MSSQL\Install (sqlstp.log, sqlsp.log, y setup.iss)

5.5.5. La Subgerencia de Cómputo Institucional sólo otorgará los permisos mínimos a las cuentas de servicio para su correcto funcionamiento definidos por el responsable del servicio de aplicación por parte de la Subdirección de Soluciones Tecnológicas.

5.5.6. La Subgerencia de Cómputo Institucional ejecutará siempre los servicios de SQL Server con los derechos de usuario mínimos posibles.

5.5.7. Métodos de Autenticación.

5.5.7.1. Todas las instancias de SQL Server utilizarán preferentemente la autenticación por Windows.

5.5.7.2. En las instancias en las que, por las características de la aplicación, se tenga habilitada la autenticación mixta, se habilitarán las cuentas de dominio ws para los administradores correspondientes apegados a los procedimientos de control de cuentas con altos privilegios de la Gerencia de Seguridad de la Información.

5.5.7.3. La administración de las cuentas SA se apegará a los procedimientos de uso de cuentas con altos privilegios definidos en las Directrices del Proceso de Gestión de Usuarios.

5.5.8. Conectividad de Red.

5.5.8.1. En caso de que el motor SQL Server esté expuesto a Internet, la Subgerencia de Cómputo Institucional verificará que el canal se encuentre cifrado.

5.5.8.2. Las instancias de SQL Server se configurarán para utilizar un puerto específico asignado en vez de puertos aleatorios o por defecto (1433, 1434).

5.5.8.3. Todas las bases de datos SQL que contengan información de aplicaciones tendrán habilitadas las opciones de auditoría para accesos efectuados y fallidos, eventos de SQL y trigger-based.

5.5.8.4. La Subgerencia de Cómputo Institucional habilitará la auditoría tipo C2 (Common Criteria) en caso de ser requerida.


Vigente a partir de

Día Mes Año

01 07 2016


Página 20 de 56




Revisó: RMC, IRL

5.5.9. Analysis Services.

5.5.9.1. Derechos de Administrador.

a) Verificar que ningún usuario que no sea administrador tenga permisos de control total para el Analysis Services.

b) Es importante contar con una lista de usuario o grupos con privilegios administrativos que pueda ser cotejada contra la base de datos.

5.5.9.2. La Subdirección de Soluciones Tecnológicas, a través del responsable del servicio de aplicación, definirá los diferentes niveles de seguridad para los servicios de análisis de SQL Server, considerando como mínimo los siguientes:

a) Seguridad a nivel de dimensión. Es importante contar con una lista de usuarios o grupos con privilegios administrativos que pueda ser cotejada contra la base de datos contra las dimensiones y permisos actuales.

b) Seguridad a nivel de cubo. Es importante contar con una lista de usuarios o grupos con privilegios administrativos que pueda ser cotejada contra la base de datos contra los cubos y sus permisos actuales.

c) Seguridad a nivel de celda. Es importante contar con una lista de usuarios o grupos con privilegios administrativos que pueda ser cotejada contra la base de datos contra las celdas pertenecientes al cubo y sus permisos actuales.

d) Seguridad de la estructura de minería de datos, modelo de minería de datos y origen de datos. Es importante contar con una lista de usuarios o grupos con privilegios administrativos que pueda ser cotejada contra la base de datos contra la estructura y modelos de minería de datos de la base de datos.

e) Seguridad de los procedimientos almacenados. No deberán existir procedimientos almacenados con permisos de ejecución tipo Unrestricted ya que no puede garantizarse la seguridad ni la confiabilidad de los procedimientos almacenados.

f) Desactivado de forma predeterminada. Se deberá de verificar que las instancias de Analysis Services no tengan habilitadas ninguna de las características anteriormente mencionadas. Se recomienda tener una lista con dichas características que pueden estar habilitadas con su respectiva justificación.

5.5.10. El acceso a la carpeta Data estará restringido y, además, los archivos de esta carpeta se almacenarán en formato binario.

6. Monitoreo

6.1. Del monitoreo de infraestructura.

6.1.1. La Subgerencia de Cómputo Institucional monitoreará toda la infraestructura que soporta los servicios de TIC en el alcance de la Dirección de Tecnologías de Información y Comunicaciones en apego a los presentes controles.

6.1.2. Los responsables da cada Dominio Tecnológico solicitarán el alta y/o baja de los dispositivos en su alcance de acuerdo con el procedimiento definido en los Anexos 4 y 5, respectivamente.


Vigente a partir de

Día Mes Año

01 07 2016


Página 21 de 56




Revisó: RMC, IRL

6.2. De los umbrales de monitoreo.

6.2.1. Los responsables de cada Dominio Tecnológico definirán los umbrales críticos y preventivos para cada tipo de infraestructura que se dé de alta en el esquema de monitoreo de acuerdo con las particularidades de los equipos y, primordialmente, el servicio al que sustentan.

6.2.2. Para los casos en los que el responsable del Dominio Tecnológico correspondiente no defina los umbrales específicos para su infraestructura se configurarán los umbrales que señalan las Políticas Generales de Seguridad de la Información

6.3. De las alertas de monitoreo.

6.3.1. Las herramientas de monitoreo deberán enviar alertas automáticas por lo menos vía correo electrónico a los grupos de atención definidos por el responsable del Dominio Tecnológico correspondiente.

6.3.2. Las alertas automáticas de la herramienta de monitoreo se clasificarán como preventivas y críticas; y se lanzarán continuamente mientras estén rebasados los umbrales definidos por el Responsable del Dominio Tecnológico correspondiente.

6.3.3. Los grupos de atención definidos por el responsable del Dominio Tecnológico correspondiente registrará y dará tratamiento a las alertas que reciban en apego al proceso de Administración de la Operación (AOP) del MAAGTIC-SI.

6.3.4. Las herramientas de monitoreo soportarán el uso de “Blackouts” para las ventanas de cambios y/o mantenimientos programados para evitar la emisión de falsos positivos que puedan afectar la operación de la infraestructura.

6.4. De los reportes de monitoreo.

6.4.1. Las herramientas de monitoreo deberán tener la capacidad de emitir reportes automáticos y personalizados de los dispositivos en el alcance del servicio de monitoreo.

6.4.2. Las herramientas de monitoreo deberán tener la capacidad de emitir por lo menos reportes mensuales de disponibilidad y desempeño de los dispositivos en el alcance del monitoreo.

6.4.3. Los reportes de disponibilidad y desempeño deberán ser enviados por la Subgerencia de Computo Institucional a la Gerencia de Seguridad de la Información para su conocimiento.

6.5. De la retención de datos.

6.5.1. Las herramientas de monitoreo deberán mantener en línea los datos de por lo menos los últimos treinta días naturales para toda la infraestructura en el alcance del servicio de monitoreo.

6.5.2. La Subgerencia de Cómputo Institucional conservará los reportes mensuales y trimestrales de disponibilidad y desempeño, en formato físico o digital, por lo menos durante dos años para atender las revisiones a las que la Dirección de Tecnologías de Información y Comunicaciones esté sujeta durante éste periodo.

6.6. Del acceso a las consolas de monitoreo.

6.6.1. El control de accesos a las consolas de monitoreo se apegará a las políticas, procedimientos y controles de la Gerencia de Seguridad de la Información en lo que se refiere a:


Vigente a partir de

Día Mes Año

01 07 2016


Página 22 de 56




Revisó: RMC, IRL

a) Lineamientos de autorización de acceso.

b) Lineamiento en la generación de id de conformación de usuario.

c) Lineamientos de contraseñas.

6.7. Del Monitoreo por Tipo de Infraestructura.

6.7.1. Del monitoreo de dispositivos de red.

6.7.1.1. Los equipos de red deberán ser monitoreados por herramientas diseñadas para integrar las recomendaciones del fabricante de cada dispositivo de red en el monitoreo de los mismos.

6.7.1.2. El servicio de Monitoreo emitirá los reportes automáticos mensuales de disponibilidad durante los primeros 5 días del mes siguiente.

6.7.1.3. El servicio de Monitoreo emitirá los reportes trimestrales de tendencia de uso de los enlaces durante los primeros 10 días del trimestre siguiente.

6.7.1.4. Los reportes mensuales de disponibilidad y trimestrales de tendencia de uso de los enlaces se mantendrán en el repositorio del servicio de monitoreo a disposición de las entidades fiscalizadoras u operativas correspondientes.

6.7.1.5. Las herramientas de monitoreo de dispositivos de red mantendrán en línea los datos de Latencia ICMP y utilización de interfaces por un año.

6.7.2. Del Monitoreo de Equipos de Procesamiento.

6.7.2.1. Los equipos de procesamiento, virtuales y físicos, serán monitoreados por lo menos en su disponibilidad y uso de Memoria, Disco y CPU.

6.7.2.2. El servicio de Monitoreo emitirá los reportes automáticos, mensuales de disponibilidad durante los primeros 5 días del mes siguiente.

6.7.2.3. El servicio de Monitoreo emitirá un reporte trimestral de tendencia del uso de la capacidad de cómputo que se centrará en la infraestructura que haya tenido mayor utilización en el trimestre por sistema operativo (por lo menos 10 dispositivos).

6.7.2.4. El personal asignado por la Subgerencia de Cómputo Institucional revisará y analizará los reportes de desempeño y emitirá el informe para iniciar las acciones que se consideren necesarias para minimizar los impactos de disponibilidad en la infraestructura mediante el Anexo 6. Reporte trimestral de acciones para la mejora del desempeño de los equipos o Bases de datos. (FORMATO).

6.7.3. Del Monitoreo de Aplicaciones.

6.7.3.1. El servicio de monitoreo registrará la disponibilidad de las URLs de aplicaciones web o disponibilidad de puertos que se soliciten de acuerdo con el procedimiento definido en el Anexo 4.


6.7.3.3. El servicio de Monitoreo emitirá un reporte trimestral de la disponibilidad de aplicaciones durante los primeros 10 días del trimestre siguiente en el alcance del servicio de monitoreo.


Vigente a partir de

Día Mes Año

01 07 2016


Página 23 de 56




Revisó: RMC, IRL

6.7.3.4. La herramienta de monitoreo para aplicaciones tendrá la capacidad de monitorear el desempeño y disponibilidad de las aplicaciones de los principales proveedores de tecnologías de despliegue asociadas (Oracle, Microsoft, SAP, etc.).

6.7.3.5. El responsable del Dominio Tecnológico de Soluciones Tecnológicas definirá los parámetros y umbrales específicos a monitorear por tecnología/aplicación en un anexo a la solicitud de alta de dispositivo correspondiente (Anexo 7. Solicitud ABC – Comunicaciones y Procesamiento.).

6.7.4. Del Monitoreo de Bases de datos.

6.7.4.1. Las bases de datos Oracle de los ambientes productivos serán monitoreadas en su disponibilidad y desempeño de manera automática por una herramienta especializada.


6.7.4.3. El servicio de Monitoreo emitirá un reporte trimestral del desempeño de las bases de datos de todos los ambientes durante los primeros 10 días del trimestre siguiente en el alcance del servicio de monitoreo.

6.7.4.4. El personal asignado por la Subgerencia de Cómputo Institucional revisará y analizará los reportes de desempeño de las bases de datos y emitirá el reporte para iniciar las acciones que se consideren necesarias para minimizar los impactos de disponibilidad en la infraestructura mediante el Anexo 6. Reporte trimestral de acciones para la mejora del desempeño de los equipos o Bases de datos. (FORMATO).

6.8. De la auditoria de usuarios con altos privilegios o administradores de Bases de Datos Oracle.

6.8.1. La Subgerencia de Cómputo Institucional entregará a la Gerencia de Seguridad de la Información un reporte mensual, los primeros 5 días hábiles de cada mes, sobre las actividades u operaciones que realizan los administradores de Bases de Datos o usuarios con altos privilegios.

6.8.2. La herramienta, registrará las actividades de los usuarios con altos privilegios para identificar por lo menos la ejecución de las siguientes actividades: accesos, creación, modificación, borrado de objetos, esquemas y privilegios.

6.8.3. El personal de la Subgerencia de Computo Institucional y Gerencia de Seguridad de la Información podrán solicitar usuarios de acceso a la consola de administración por medio del Proceso de Gestión de Usuarios de la GSI.

6.8.4. La Subgerencia de Computo Institucional entregará a la Gerencia de Seguridad de la Información reportes trimestrales de las actividades de usuarios con altos privilegios, así como los que soliciten las instancias reguladoras, de acuerdo con la guía AOP-F3.GAO.CI-083 Auditoría de Usuarios con Altos Privilegios o Administradores de Bases de Datos Oracle.

6.8.5. La Subgerencia de Cómputo Institucional realizará una depuración mensual de la información que recolecte la herramienta de auditoría, con el propósito de no saturar los recursos de los servidores.

6.9. De la operación del servicio de monitoreo.

6.9.1. La infraestructura que soporta el servicio de monitoreo está sujeto a los procesos operativos de la Dirección de Tecnologías de Información y Comunicaciones:


Vigente a partir de

Día Mes Año

01 07 2016


Página 24 de 56




Revisó: RMC, IRL

a) Administración de la Operación (AOP).

b) Administración de Solicitudes.

c) Administración de Incidentes.

d) Administración de Cambios.

6.9.2. La operación del servicio de monitoreo se apegará al Procedimiento de atención de eventos descrito en el Anexo 9. Procedimiento de Atención de Eventos.

6.9.3. Todos los operadores del servicio de monitoreo registrarán sus actividades en una Bitácora o reporte de tickets atendidos mensuales.

6.9.4. Todos los operadores del servicio de monitoreo tomarán evidencia de la disponibilidad del servicio y el status de los dispositivos monitoreados al inicio de su turno de operación de acuerdo con la Guía de Administración y Operación Correspondiente.

6.10. De la administración de bitácoras e información de seguridad.

6.10.1. Las bitácoras de los equipos y sistemas serán de uso exclusivo de sus administradores y de la Subgerencia de Cómputo Institucional.

6.10.2. Los respaldos de Bitácoras de Información de Seguridad deben llevarse a cabo en horarios que no afecten la operación o a los procesos de producción de la Institución.

6.10.3. Debe evitarse que los medios utilizados para el almacenamiento de las bitácoras se vuelvan obsoletos en cuanto a la tecnología utilizada.

6.10.4. Los respaldos de bitácoras, deben almacenarse en un sitio alterno con controles de acceso y protegido contra el medio ambiente.

6.10.5. Debe definirse un periodo de vida para cada una de las bitácoras.

6.10.6. Después de transcurrido el periodo de vida de una bitácora, deberá establecerse un proceso de destrucción que asegure la eliminación o destrucción total de la información contenida en las mismas.

6.10.7. Se debe habilitar la auditoria, al menos se deben auditar los siguientes eventos:

a) Eventos de logeo de cuentas con privilegios.

b) Acceso y modificación a objetos.

c) Cambio de políticas.

d) Uso de privilegios.

e) Eventos de sistema.

f) Eventos de seguridad.

6.10.8. Se deben establecer permisos en el log de eventos únicamente para las cuentas administrativas y de sistema.

a) Sistema.

b) Seguridad.

c) Aplicaciones.


Vigente a partir de

Día Mes Año

01 07 2016


Página 25 de 56




Revisó: RMC, IRL

7. Correo electrónico

7.1. Del servicio de correo electrónico para usuarios finales.

7.1.1. El envío y recepción de correo electrónico tanto interno como externo, estará limitado a 5MB; en caso de que se requiera incrementar dicha cuota, la solicitud deberá ser realizada por el jefe inmediato del usuario, y está exclusión sólo será temporal, pasado 1 mes de la solicitud, ésta se regresará al estado normal.

7.1.2. El tamaño del buzón de los usuarios, dependerá de las políticas configuradas en cada una de las Bases de Datos que contienen los buzones; los cuales se encuentran definidos como a continuación se menciona:

a) Para Usuarios VIPS (Directores y Subdirectores): 1.5GB.

b) Para Usuarios Especiales (Gerentes y Subgerentes): 1.1GB.

c) Para Usuarios Normales (Especialistas Técnicos, Expertos Técnicos, Externos, Servicio Social y cualquier otro no considerado): 850MB.

7.1.3. La recepción de correo electrónico externo será restringida, por lo que para habilitarla, deberá ser solicitada a través de la Mesa de Ayuda con la autorización de un funcionario con nivel mínimo de Gerente.

7.1.4. La liberación de correo electrónico externo detenido por el filtrado de correo electrónico externo, deberá ser solicitado mediante la Mesa de Servicios.

7.2. De la configuración de servidores y/o aplicaciones que requieran realizar el envío de correo electrónico (relay).

7.2.1. El envío de correo deberá ser a través de una cuenta SMTP autenticada.

7.2.2. La cuenta a través de la cual se realice el envío de correo, deberá ser una cuenta de servicio, configurada exclusivamente para el servicio y/o aplicación requeridos. No se permiten cuentas de usuario final como cuentas de servicio.

7.2.3. En caso de que el sistema no soporte envío con autenticación SMTP, se deberá entregar a la Subgerencia de Computo Institucional una carta del Fabricante de la solución a realizar el Relay, que contenga información técnica al respecto donde se indique, demuestre y/o justifique que el sistema en cuestión no soporta envío autenticado. Sólo de esta manera se podrá permitir configurar el Relay anónimo quedando la responsabilidad total en el aplicativo de no transmitir virus o spam mediante correo electrónico.

7.2.4. La cuenta deberá tener configurada una contraseña robusta que cumpla con los niveles de seguridad establecidos para usuarios con altos privilegios si el sistema lo requiere podrá configurarse con la no expiración del password, reforzando siempre el password robusto. Previa justificación del proveedor o del área encargada de solicitar dicha configuración.

7.2.5. Se deberán especificar las direcciones IP´s asociadas al servidor de Relay a configurar.

7.2.6. Se deberá indicar el nombre completo del aplicativo que realizará el Relay (FQDN).

7.2.7. Todos y cada uno de los parámetros arriba mencionados deberán ser configurables en el servidor y/o aplicación a realizar el Relay, o bien a través de un archivo de configuración para facilitar su edición.


Vigente a partir de

Día Mes Año

01 07 2016


Página 26 de 56




Revisó: RMC, IRL

8. Protección Antimalware

8.1. De la Administración de Protección de Equipos de Cómputo.

8.1.1. Los servidores de la Institución deben contar con los siguientes mecanismos de protección:

a) Contra malware e intrusión.

b) De monitoreo de su disponibilidad.

c) De control de acceso.

8.1.2. La Gerencia de Computo deberá asegurar y evidenciar a la Gerencia de Seguridad de la Información que todos los servidores cubren los lineamientos antes descritos.

8.2. De la protección de archivos y software.

8.2.1. Los archivos de nueva procedencia deben ser revisados por el software antivirus, los cuales pueden ser:

a) Archivos de correo electrónico.

b) Archivos provenientes de medios de almacenamiento (DVD, CD y USB).

c) Archivos de otras computadoras personales.

8.2.2. El contenido de Internet, los medios de almacenamiento, los archivos provenientes de entidades externas y de uso colectivo, deben ser revisados por el software antivirus utilizado oficialmente.

8.2.3. Queda prohibido instalar y ejecutar en los servidores tanto del ambiente de desarrollo como en el de producción cualquier software no autorizado para la operación de la Institución.

8.3. Del software Antivirus.

8.3.1. Se debe contar con el antivirus corporativo instalado en cada servidor con sistema operativo Windows.

8.3.2. La versión instalada del software antivirus debe ser la última liberada por el fabricante.

8.3.3. El motor del Antivirus deberá estar siempre actualizado a la última versión liberada por el fabricante.

8.3.4. El Antivirus deberá estar configurado en el servidor conforme a las recomendaciones y mejores prácticas del proveedor del servicio.

9. Seguridad para la administración y uso de Middleware.

9.1. De la plataforma VMware.

9.1.1. El acceso a la infraestructura virtual deberá realizarse a través del Servidor VMware vCenter, y no directamente a los host’s ESXi.

9.1.2. El personal de la Subgerencia de Cómputo Institucional deberá evitar el acceso a la infraestructura virtual de VMware con el usuario root.

9.1.3. El grupo de administradores locales, para el acceso a la infraestructura virtual, deberá encontrarse deshabilitado.


Vigente a partir de

Día Mes Año

01 07 2016


Página 27 de 56




Revisó: RMC, IRL

9.1.4. La conexión a los servidores virtuales existentes, deberá realizarse a través de conexiones seguras autorizada por la Gerencia de Computo. la consola de administración VMware deberá utilizarse sólo en casos especiales debido al ancho de banda que consume la misma.

9.2. De la plataforma Citrix.

9.2.1. El administrador local de los servidores no deberá estar incluido como administrador de la granja Citrix.

9.2.2. Las publicaciones en conexión de cliente deben estar con el nivel de cifrado 128-bit (RC-5).

9.2.3. Los servidores Citrix XenApp deben estar en una OU de dominio configurada exclusivamente para tal finalidad.

9.2.4. La administración de la granja Citrix siempre deberá tener una cuenta administrador de la granja.

9.2.5. Se recomienda tener un grupo de dominio como grupo de administradores de la granja Citrix.

9.2.6. Para la impresión, se deberá utilizar el controlador universal de Citrix.

9.2.7. Todos los servidores deberán pertenecer al mismo dominio del Directorio Activo (banobras.gob.mx).

9.2.8. Todos los usuarios deberán permanecer al mismo dominio del Directorio Activo del cual son miembros los servidores de la granja Citrix (Banobras.gob.mx).

9.2.9. La Subgerencia de Cómputo Institucional evitará crear recursos compartidos en los servidores miembros de la granja Citrix.

9.2.10. La Subgerencia de Cómputo Institucional programará reinicios automáticos de los servidores de la granja Citrix desde la consola de Citrix.

9.2.11. La Subgerencia de Cómputo Institucional eliminará sesiones de usuario con más de 2 horas de inactividad (de no estar documentado o solicitado).

9.3. De los Servidores Web.

9.3.1. Del servicio IIS.

9.3.1.1. La Subgerencia de Cómputo Institucional realizará la instalación del servidor Web con los mínimos privilegios.

9.3.1.2. La Subgerencia de Cómputo Institucional se asegurará de que el servicio de IIS cuente con los últimos parches y actualizaciones de seguridad.

9.3.1.3. La Subgerencia de Cómputo Institucional Realizará la configuración del servidor Web de tal forma que se muestre la mínima información sobre el servidor y el sistema.

9.3.2. Del servicio Apache Tomcat.

9.3.2.1. La Subgerencia de Cómputo Institucional Realizará la configuración del servidor Web de tal forma que se muestre la mínima información sobre el servidor y el sistema.

9.3.2.2. Configurar el servidor, para que únicamente se acepten conexiones por los protocolos SSH/TLS (https).

9.3.2.3. Establecer una contraseña robusta para el usuario Admin que cumpla con los requisitos establecidos en las Políticas Generales de Seguridad de la Información.


Vigente a partir de

Día Mes Año

01 07 2016


Página 28 de 56




Revisó: RMC, IRL

10. Seguridad En Redes.

10.1. Del uso de redes.

10.1.1. Se crearán diversas redes virtuales para separar las capas web, de la aplicativa y la de datos.

10.1.2. Los accesos desde fuera de la red deberán ser a través de VPN y ser previamente autorizados por la Subgerencia de Cómputo Institucional.

11. Procesos de Recuperación (DRP)

11.1. Replicación de aplicativos al Centro de Datos Secundario (B).

11.1.1. La Subgerencia de Cómputo Institucional realizará la replicación automatizada de las Aplicaciones Críticas Medulares AAA por medio de la herramienta VMware Site Recovery Manager cada 30 minutos, del Centro de Datos Primario (A) al Centro de Datos Secundario (B).

11.1.2. La movilidad de las aplicaciones deberá ser sin tiempo fuera de servicio, través de VMware vMotion, lo que evitará cortes de servicio de la operación Institucional.

11.1.3. La protección de máquinas virtuales estará basada en políticas y planes de recuperación centralizados y administrados desde VMware vSphere Web Client, su automatización se encontrará regida por políticas y arquitectura del SDDC lo que simplificará su administración continua.

11.1.4. Se podrán realizar pruebas de recuperación no disruptivas, realizando pruebas automatizadas de conmutación de recuperación en una red aislada, esto mitigará impactos en ambientes productivos.

11.1.5. Se cuenta con flujos de trabajo automatizados, lo que permite regresar la operación al Centro de Datos Primario (A) con el mínimo de cortes y afectación en la operación Institucional.

11.1.6. La Subgerencia de Cómputo Institucional podrá recuperar de forma automática la Red y la Configuración de seguridad.

11.1.7. Las aplicaciones replicadas están definidas como criticas medulares AAA para BANOBRAS, las cuales son indispensables para la continuidad del negocio, (Servidores Aplicativos y Servidores de Bases de Datos).

11.1.8. El enlace o medio para la replicación cuenta con la capacidad de 100 MB.

11.1.9. Se cuenta con un orden de reinicio de cada uno de los servidores, así como con el direccionamiento con el que contarán los servidores en el sitio de recuperación.

12. Lineamientos de vulnerabilidades.

12.1. Del diagnóstico de vulnerabilidades.

12.1.1. La Subgerencia de Cómputo Institucional realizará anualmente un diagnóstico de vulnerabilidades, el cual ayudará a comprobar la seguridad de la Infraestructura Tecnológica de BANOBRAS. Los servicios de seguridad requeridos por BANOBRAS deberán contemplar como mínimo los siguientes puntos:


Vigente a partir de

Día Mes Año

01 07 2016


Página 29 de 56




Revisó: RMC, IRL

12.1.1.1. Prueba de Seguridad Caja Negra, sobre la presencia en Internet (www.banobras.gob.mx), y 3 aplicativos.

12.1.1.2. Pruebas de Seguridad Caja Gris, y 3 aplicativos.

a) Servidores (Muestra de Elementos).

b) Equipos de Seguridad (Muestra Elementos).

c) Equipos de Telefonía IP y comunicaciones (Muestra Elementos).

d) Computadoras Personales (Muestra elementos).

12.1.2. La Subgerencia de Cómputo Institucional generará un informe anual, el cual contendrá el detalle de las actividades analizadas por la herramienta, riesgos de seguridad identificados y clasificados, así como un plan de acción de implementación para la mitigación de vulnerabilidades, para mayor información consultar el Documento Reporte de Vulnerabilidades.

12.1.3. Una Vez identificadas las Vulnerabilidades y la posible remediación, la Gerencia de Cómputo y la Gerencia de Sistemas Administrativos y de Riesgos deberán realizar un plan de trabajo para atender o dar solución a las mismas.

12.1.4. La Subgerencia de Cómputo Institucional generará un informe anual con la revisión de la Infraestructura Interna, en el cual se documentará la situación de la seguridad, mismo que deberá contener las recomendaciones, esta revisión deberá comprender los siguientes puntos:

a) Número de Hosts/Servidores Activos.

b) Número de equipos de Telecomunicaciones y Telefonía.

c) Número de PC´s.

12.1.5. Antes de realizar cualquier tipo de prueba o análisis, la Subgerencia de Cómputo Institucional notificará al Gerente de Computo sobre las actividades a realizar.

12.1.6. La Gerencia de Seguridad de la Información dará seguimiento a la remediación de vulnerabilidades reportadas en el Informe Anual de Vulnerabilidades por la Subgerencia de Cómputo Institucional.

12.2. De las pruebas de penetración (Pent-test).

12.2.1. La Subgerencia de Cómputo Institucional realiza cada cuatrimestre un Pent-test de forma Interna y Externa de los Centros de Datos de BANOBRAS; esta actividad se realizará sobre 8 Objetivos o Puntos, los cuales serán definidos cada cuatrimestre por la Gerencia de Seguridad de la Información. El resultado de estas pruebas se podrá verificar en el documento Vulnerabilidades Detectadas en el Pent-test de los Equipos de los Centros de Datos Primario (A) y Secundario (B).

12.2.2. Las remediaciones derivadas del Pent-test se realizarán de forma inmediata y conforme a la operación de manera que no se tengan impactos en la misma.

Sección III Referencias a Documentos de Operación

AOP-F3.GAO.CC-081 Uso de Cuentas con Altos Privilegios

http://www.banobras.gob.mx/


Vigente a partir de

Día Mes Año

01 07 2016


Página 30 de 56




Revisó: RMC, IRL

AOP-F3.GAO.CI-083 Auditoría de Usuarios con Altos Privilegios o Administradores de Bases de datos Oracle

AOP-F3.GAO.CI.082 Guía de Administración y Operación Proceso de Administración de Respaldos

AOP-F3.GAO.CI-084 Borrado Seguro

Sección IV Anexos

Anexo 1. Glosario.

Anexo 2. Control para el acceso de equipo al Centro de Datos Secundario (B).

Anexo 3. Línea Base de Servidores.

Anexo 4. Alta de dispositivos.

Anexo 5. Baja de dispositivos.

Anexo 6. Reporte trimestral de acciones para la mejora del desempeño de los equipos o Bases de datos. (FORMATO).

Anexo 7. Solicitud ABC – Comunicaciones y Procesamiento.

Anexo 8. Solicitud ABC – Bases de datos.

Anexo 9. Procedimiento de Atención de Eventos.


Vigente a partir de

Día Mes Año

01 07 2016


Página 31 de 56




Revisó: RMC, IRL

Anexo 1. Glosario

Acceso Tipo específico de interacción entre un sujeto y un objeto que resulta en el flujo de información de uno a otro. Es el privilegio de un sujeto para utilizar un objeto.

Activo de información Toda aquella información y medio que la contiene, que por su importancia y el valor que representa para la Institución, deben ser protegidos para mantener su confidencialidad, disponibilidad e integridad, acorde al valor que se le otorgue.

Activo tecnológico Software y hardware que almacena, transporta, transmite y/o procesa activos de información de la institución.

Administración

Es el conjunto de tareas y responsabilidades que son necesarias con respecto a un recurso informático para mantenerlo en condiciones apropiadas de funcionamiento y de prestación de servicio considerando aspectos que incluyen pero no se limitan a: rendimiento, seguimiento, seguridad, control de usuarios, definición de niveles de uso y de acceso.

Administrador Persona que tiene bajo su responsabilidad, individual o en conjunto con otros administradores, la administración de uno o varios servicios y/o recursos informáticos.

Ambiente de Desarrollo Conjunto de condiciones y/o variables bajo las cuales se encuentran un conjunto de servidores, con la finalidad de determinar si el requisito de una aplicación es parcial o completamente satisfactorio.

Ambiente de Producción Conjunto de condiciones y/o variables bajo las cuales se encuentran todos y cada uno de los servidores que hacen posible el día a día de la operación de la Institución.

Antivirus Programas cuyo objetivo es detectar y/o eliminar virus informáticos.

Aplicación o Sistema El conjunto de componentes o programas construidos con herramientas de software que habilitan una funcionalidad o automatizan un proceso, de acuerdo a requerimientos previamente definidos.

Audit Vault Herramienta de seguridad que permite realizar un monitoreo seguro de las actividades realizadas por los Administradores.

Autenticación

Es el acto de establecimiento o confirmación de algo (o alguien) como auténtico. La autenticación de un objeto puede significar la confirmación de su procedencia, mientras que la autenticación de una persona a menudo consiste en verificar su identidad. La autenticación depende de uno o varios factores.

Autorización Es el proceso de asignar a los usuarios permisos para realizar actividades de acuerdo a su perfil o puesto.

Base de datos (BD’s) Colección almacenada de datos relacionados, requeridos por las organizaciones e individuos para que cumplan con los requerimientos de proceso de información y recuperación de datos.

Bitácora Registro que recauda la información de los eventos relacionados con el sistema que la genera.


Vigente a partir de

Día Mes Año

01 07 2016


Página 32 de 56




Revisó: RMC, IRL

Borrado Seguro El borrado seguro se ejecuta cuando al borrar un archivo, alguna utilidad de borrado escribe ceros sobre el archivo, no permitiendo que éste se pueda recuperar posteriormente.

Cambio La adición, modificación o retiro de cualquier Elemento de Configuración de un servicio TIC al ambiente productivo de la Dirección de Tecnologías de información y Comunicaciones.

Cinta Magnética Medio de almacenamiento de datos que se graba en pistas sobre una banda plástica con un material magnetizado, generalmente óxido de hierro o algún cromato.

Clave del usuario (login) Datos de un usuario que son verificados por la computadora cuando se quiere acceder a ella. Por lo general, el login incluye el nombre del usuario, una contraseña -password- del usuario.

Código Fuente El código fuente de un programa informático (o software) es un conjunto de líneas de texto que son las instrucciones que debe seguir la computadora para ejecutar dicho programa. Por tanto, en el código fuente de un programa está descrito por completo su funcionamiento.

Computadora

Máquina que puede ser programada para manipular símbolos. Las computadoras pueden realizar con rapidez, precisión y confiabilidad, tareas complejas y repetitivas, asimismo, pueden almacenar y manejar grandes cantidades de datos. La computadora se basa en componentes físicos hardware, que corresponden a circuitos electrónicos de la unidad central de proceso, dispositivos de entrada y salida de datos y de almacenamiento o memoria. Así como de software, los cuales son programas que indican a la computadora que tiene que hacer. Computadora personal (cp).- microcomputadora de propósito general para ser operada por una sola persona a la vez.

Cómputo Personal Computadoras Personales de Escritorio y/o móviles que proporciona el Banco, para el desempeño de las funciones del personal.

Contingencia Evento de fallas técnicas o de caso fortuito o de fuerza mayor para los servicios informáticos y la operación de los sistemas del negocio.

Contraseña (password) Secuencia de caracteres utilizados para determinar que un usuario especifico requiere acceso a una computadora personal, sistema, aplicación o red en particular. Típicamente está compuesto de 6-10 caracteres alfanuméricos.

Correo electrónico Sistema de transmisión de textos e información de una terminal a otra por medio de internet.

Cuentas de usuario Es un identificador, el cual es asignado a un usuario del sistema para el acceso y uso de la computadora, sistemas, aplicaciones, red, etc.

Direccionamiento IP

Una dirección IP es una etiqueta numérica que identifica, de manera lógica y jerárquica, a una interfaz (elemento de comunicación/conexión) de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red del protocolo TCP/IP.

Directorio Activo

Herramienta brindada por Microsoft para la organización y gestión de los recursos de una red de computadoras y todo lo que ello implica: usuarios, servicios, puestos, impresoras, permisos, servidores, es decir es el directorio en el que se almacena toda la información de los objetos que componen una red.


Vigente a partir de

Día Mes Año

01 07 2016


Página 33 de 56




Revisó: RMC, IRL

Disco Duro Dispositivo de almacenamiento de datos no volátil que emplea un sistema de grabación magnética para almacenar datos digitales.

Disponibilidad La característica de la información de permanecer accesible para su uso cuando así lo requieran individuos o procesos autorizados.

DMZ

Una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna.

Dominio Tecnológico

Las agrupaciones lógicas de TIC denominadas dominios, que conforman la arquitectura tecnológica de la Institución, los cuales podrán ser, entre otros, los grupos de seguridad, cómputo central y distribuido, cómputo de usuario final, telecomunicaciones, colaboración y correo electrónico, internet, intranet y aplicativos de cómputo

Evento El suceso que puede ser observado, verificado y documentado, en forma manual o automatizada, que puede llevar al registro de incidentes.

Firewall Dispositivo que forma parte de una red, que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Hardware Se refiere a las características técnicas y físicas de los equipos.

Herramientas de seguridad Son mecanismos de seguridad automatizados que sirven para proteger o salvaguardar a la infraestructura tecnológica de BANOBRAS.

Hotfix Paquete que puede incluir varios archivos y que sirve para resolver un bug específico dentro de una aplicación informática.

Identificación de usuario Conjunto de programas que permiten el desarrollo de una actividad en una computadora.

IIS Internet Information Services es un servidor web y un conjunto de servicios para el sistema operativo Microsoft Windows.

Incidente

Cualquier evento que no forma parte del desarrollo habitual del servicio y que causa, o puede causar una interrupción del mismo o una reducción de la calidad de dicho servicio. Un incidente puede coincidir con un “Problema conocido” (fallo sin un origen conocido) o con un “Error conocido” (fallo con origen conocido) bajo el control de la gestión de problemas y registrado en la base de datos de errores conocidos.

Incidente de seguridad Cualquier evento que represente un riesgo para la adecuada conservación de la confidencialidad, integridad, o disponibilidad de la información utilizada en el desempeño de nuestra función.

Información confidencial Información a la que su acceso es de carácter exclusivo y solo es revelada a quien esté autorizado para su conocimiento.

Infraestructura tecnológica Conjunto de activos para los servicios de comunicación, procesamiento, almacenamiento, respaldo de los datos de la Institución y operación del personal, así como de los diversos aplicativos.

Integridad Mantener la exactitud y corrección de la información y sus métodos de proceso.


Vigente a partir de

Día Mes Año

01 07 2016


Página 34 de 56




Revisó: RMC, IRL

Interfaz Es un medio físico de conectividad de los equipos de Telecomunicaciones. Comúnmente se les conoce como puertos y pueden interconectar otros equipos de telecomunicaciones, servidores, PC´s, etc.

Intranet

Red para proveer dentro de una organización de servicios similares a los que se proporcionan por medio de internet. Por ejemplo, una organización puede tener un servidor www En una red interna para distribución de información sin estar conectado necesariamente a internet.

IPS Un Sistema de Prevención de Intrusos (Intrusion prevention systems), es un dispositivo de seguridad perimetral que se encarga del control de acceso en una red informática monitoreando la red y la actividad en los sistemas para protegerlos de ataques y abusos.

IPtables Herramienta de cortafuegos (comúnmente en Sistemas Operativos Unix) que permite no solamente filtrar paquetes, sino también realizar traducción de direcciones de red (NAT) para IPv4 o mantener registros de log.

MAAGTIC-SI

Manual Administrativo de Aplicación General en TIC y en la Seguridad de la Información (MAAGTIC-SI), el cual establece una política para el aseguramiento de la información gubernamental, que deberá ser aplicado, obligatoriamente, por todas las dependencias de la Administración Pública Federal.

Malware Es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o Sistema de información sin el consentimiento de su propietario. El término es muy utilizado para referirse a una variedad de software hostil, intrusivo o molesto.

Medio de Almacenamiento Dispositivo o periférico del sistema, que actúa como medio de soporte para la grabación de los programas de usuario y de los datos que son manejados por las aplicaciones que se ejecutan en estos sistemas.

Mensajería Instantánea Es una forma de comunicación en tiempo real entre dos o más personas basada en texto. El texto es enviado a través de dispositivos conectados a una red como Internet.

Mesa de Servicios Conjunto de servicios que ofrece la posibilidad de gestionar y solucionar todas las posibles incidencias de manera integral, junto con la atención de requerimientos relacionados con las TICs.

Middleware Middleware es un software que asiste a una aplicación para interactuar o comunicarse con otras aplicaciones, software, redes, hardware y/o sistemas operativos.

Monitoreo Uso de un sistema que constantemente monitoriza un objeto perteneciente a una red de computadoras en busca de componentes defectuosos o lentos, para luego informar a los administradores de los mismos mediante correo electrónico, pager u otras alarmas.

Propietario de la Información

Es el responsable de clasificar la información de acuerdo con el grado de sensibilidad y criticidad de la misma, de documentar y mantener actualizada la clasificación efectuada, y de definir que usuarios deben tener permisos de acceso a la información de acuerdo a sus funciones y competencia, entendiéndose por “propietario” a cualquier área de Banobras que posea la responsabilidad respecto de su manejo y preservación, conforme a sus funciones y competencias.

Proveedor Persona física o moral que abastece lo necesario o conveniente para un fin determinado.

Puesta en Producción de sistemas

Los procesos a realizar una vez que un sistema desarrollado o modificado, después de pasar una serie de controles y validaciones, se pone a disposición del usuario para el desempeño de sus funciones.


Vigente a partir de

Día Mes Año

01 07 2016


Página 35 de 56




Revisó: RMC, IRL

Red de almacenamiento de datos (Storage Área Network, SAN)

Es un componente de hardware para el almacenamiento de datos que integra información de diferentes fuentes, proporcionado condiciones de seguridad y confidencialidad de la información en un solo dispositivo. En una SAN, cierto número de servidores tienen acceso compartido al almacenamiento. Los servidores están conectados vía un conmutador (switch) de "fibro-canal" al (los) sistema(s) de almacenamiento. Los servidores y almacenamiento se comunican vía el conjunto de protocolos de fibro-canal, que permiten que comandos de scsi sean transmitidos vía conexiones en serie.

Respaldo Copia de seguridad cuya finalidad es poder restaurar un equipo de cómputo después de una eventual pérdida de datos.

Responsable de la seguridad de la información

Establecer y encabezar el Grupo de Trabajo Estratégico de Seguridad de la Información, que estará integrado por servidores públicos que conozcan los procesos institucionales y que cuenten con conocimientos en materia de seguridad de la información.

Root En un sistema operativo del tipo Unix, root es el nombre convencional de la cuenta de usuario que posee todos los derechos en todos los modos (mono o multi usuario). Root es también llamado SuperUsuario. Normalmente esta es la cuenta de administrador.

Seguridad de la información

La capacidad de preservar la confidencialidad, integridad y disponibilidad de la información, así como la autenticidad, confiabilidad, trazabilidad y no repudio de la misma.

Service Pack Conjunto de parches que actualizan, corrigen y mejoran aplicaciones y sistemas operativos.

Servicio de Monitoreo Los servicios de monitoreo a cargo de la Subgerencia de Cómputo Institucional

Servicio de Red Servicio compuesto por diferentes componentes de la infraestructura de telecomunicaciones.

Servidor Equipo de cómputo que formando parte de una red, provee servicios a otras computadoras denominadas clientes.

Servidor de archivos (file server)

Repositorio centralizado de datos.

Servidor Web

Un servidor web o servidor HTTP es un programa informático que procesa una aplicación del lado del servidor realizando conexiones bidireccionales y/o unidireccionales y síncronas o asíncronas con el cliente generando o cediendo una respuesta en cualquier lenguaje o Aplicación del lado del cliente.

Servidor WSUS

Windows Server Update Services provee actualizaciones de seguridad para los sistemas operativos Microsoft. Mediante Windows Server Update Services, los administradores pueden manejar centralmente la distribución de parches a través de Actualizaciones automáticas a todas las computadoras de la red corporativa.

Sistema operativo Software que actúa de interfaz entre los dispositivos de hardware, y los programas usados por el usuario para manejar un equipo de cómputo. Ejemplos: Windows, UNIX, OS, etc.

Sistemas de información Conjunto de reglas y procedimientos aplicados a un grupo de datos con el fin de archivar, ordenar, clasificar y obtener la información de acuerdo a los objetivos del sistema.


Vigente a partir de

Día Mes Año

01 07 2016


Página 36 de 56




Revisó: RMC, IRL

Sistemas institucionales. Software disponible dentro del banco para el desempeño y apoyo en las funciones del mismo, que son administradas por la UTIC, cuya información soporta la operación del negocio, por lo que se debe garantizar su almacenamiento, confidencialidad y recuperación.

Software Conjunto de programas que permiten el desarrollo de una actividad en una computadora.

SSH Secure SHell, (en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red de manera segura.

Switch Es un dispositivo de telecomunicaciones, en el cual se conectan diferentes nodos que componen una red. Funcionan en la capa 2 del modelo OSI a través del mapeo de direcciones MAC.

TCP/IP (Transport Control Protocol / Internet Protocol) Protocolo utilizado para la capa 3 del modelo OSI para comunicación vía red de los dispositivos.

Umbral Los parámetros de operación considerada regular para la infraestructura en el alcance del monitoreo expresadas en Máximos y Mínimos.

User-ID (identificación de usuario)

Se denomina al nombre de usuario con el cual accedemos a una página o sistema en el que previamente nos hemos registrado. Este nombre puede estar compuesto de letras, números o signos.

Usuario Cualquier persona autorizada para hacer uso de los servicios brindados por la UTIC.

Usuarios con Privilegios Cualquier usuario que cuenta con exención de acceso.

Virus

Malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este; pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos.

VPN

Una red privada virtual (Virtual Private Network), es una red segura que utiliza la infraestructura de telecomunicaciones principalmente pública, como Internet, para proporcionar a las oficinas remotas o usuarios que viajan un acceso a una red de la organización central.

Vulnerabilidad Es una debilidad de seguridad o hueco de seguridad, el cual indica que el activo es susceptible a recibir un daño a través de un ataque, ya sea intencionado o accidental.


Vigente a partir de

Día Mes Año

01 07 2016


Página 37 de 56




Revisó: RMC, IRL

Anexo 2. Control para el acceso de equipo al Centro de Datos Secundario (B) Para ingresar un equipo al Centro de Datos Secundario (B) del Edificio Santa Fe, el interesado deberá apegarse al Control Interno definido por la Subgerencia de Cómputo Institucional, mismo que se detalla a continuación: INGRESO Para realizar el ingreso de equipo de TIC al Centro de Datos Secundario (B) del edificio Santa Fe se deberá seguir el siguiente procedimiento:

a) Haber registrado el equipo a ingresar al Centro de Datos Secundario (B) del Edificio Santa Fe en la recepción de la Institución.

b) El responsable de realizar el ingreso del equipo al Centro de Datos Secundario (B), deberá realizar el

llenado de los formatos AOP-F12 y AOP-F13, en los cuales deberán estar especificadas las actividades a realizar y las características de los equipos a ingresar.

c) Los formatos AOP-F12 y AOP-F13 deberá ser entregados correctamente llenados y firmados al

Encargado del Centro de Datos Secundario (B), para su documentación y almacenamiento.

d) El responsable del ingreso del equipo deberá ajustarse a las actividades descritas en el formato AOP-F12 y únicamente deberá ingresar los equipos especificados en el formato AOP-F13.

EGRESO Para el retiro de equipo de TIC del Centro de Datos Secundario (B) del edificio Santa Fe se deberá seguir el siguiente procedimiento:

a) El responsable de realizar el retiro del equipo del Centro de Datos Secundario (B), deberá realizar el llenado de los formatos AOP-F12, AOP-F13 y ORDEN DE ENTRADA O SALIDA DE MOBILIARIO Y EQUIPO, en los cuales deberán estar especificadas las actividades a realizar y las características de los equipos a retirar.

b) Los formatos AOP-F12 y AOP-F13 deberán ser entregados correctamente llenados y firmados al

Encargado del Centro de Datos Secundario (B) para su documentación y almacenamiento, así como el formato ORDEN DE ENTRADA O SALIDA DE MOBILIARIO Y EQUIPO deberá ser entregado en la recepción de la Institución a la salida del equipo.

c) El responsable del retiro del equipo deberá ajustarse a las actividades descritas en el formato AOP-

F12 y únicamente deberá retirar los equipos especificados en los formatos AOP-F13 y ORDEN DE ENTRADA O SALIDA DE MOBILIARIO Y EQUIPO.


Vigente a partir de

Día Mes Año

01 07 2016


Página 38 de 56




Revisó: RMC, IRL

Anexo 3. Línea Base De Servidores Todos los servidores entregados por la Subgerencia de Cómputo Institucional, deberán cumplir con la siguiente línea base:

1. Deberán solicitarse las características particulares en la Solicitud de Infraestructura, parte de éste anexo.

2. El Sistema Operativo con el que se entregarán los servidores deberá ser la última versión estable

liberada por el fabricante1 (Windows Server 2008 / Windows Server 2008 R2 / LRHE 6).

3. Todos los servidores deberán tener una contraseña establecida en los parámetros de BIOS para evitar

cambios en las configuraciones del BIOS que permitan instalar programas dañinos en el sistema o copiar

datos confidenciales.

4. Todos los servidores liberados por la Subgerencia de Cómputo Institucional deberán pertenecer al

dominio Banobras.gob.mx.

5. Todos los servidores con plataforma Windows deberán tener instalado el siguiente Software Institucional

de acuerdo al ambiente en el que estos se encuentren.

AMBIENTE DE DESARROLLO

AntiVirus Institucional.

Agentes de monitoreo.

Todos los parches de seguridad del fabricante liberados a la fecha de entrega del

servidor.

AMBIENTE DE PRODUCCIÓN

AntiVirus Institucional.

Todos los parches de seguridad del fabricante liberados a la fecha de entrega del

servidor.

Agentes de monitoreo.

Agentes de respaldo.

6. El tamaño de los registros de eventos deberá ser configurado a 2GB para los eventos de Aplicación y

Sistema y de 4GB para los eventos de Seguridad.

7. La cuenta de Administrador local, deberá ser renombrada, contar con una contraseña robusta que

cumpla con los requisitos del punto 5.1.5, y deberá estar deshabilitado.

1 Cualquier excepción a este lineamiento, será autorizado por la Gerencia de Cómputo a través de la solicitud de Infraestructura.


Vigente a partir de

Día Mes Año

01 07 2016


Página 39 de 56




Revisó: RMC, IRL

8. Las cuentas por default, deberán ser deshabilitadas, asignar una contraseña robusta que cumpla con

los requisitos del punto 5.1.5, así como restringir su acceso.

9. El grupo Local Admin, deberá ser agregado al grupo de Administrador Local.

10. La nomenclatura de los nuevos servidores deberá apegarse a la siguiente figura:

BNO + X + ZZZZZZ + ## + ‘-’ + A o B Donde:

X Opciones

P -> Producción

D -> Desarrollo

T -> Pruebas (Test)

QA – Calidad (QA)

Z Rol, aplicación o Servicio al que pertenece.

Ésta sección del nombre no será mayor a 8 caracteres.

Se sugiere que el nombre sea representativo para mejorar la identificación del servicio.

## Número consecutivo para el caso de servidores que tenga el mismo rol o nombre.

A o B Dependerá en que Centro de Datos se encuentre el servidor.

11. La nomenclatura establecida en la Consola de VMware deberá coincidir con el hostname del servidor

sin excepción alguna.


Vigente a partir de

Día Mes Año

01 07 2016


Página 40 de 56




Revisó: RMC, IRL

Solicitud de Infraestructura


Vigente a partir de

Día Mes Año

01 07 2016


Página 41 de 56




Revisó: RMC, IRL

Anexo 4. Alta de dispositivos

Diagrama de Flujo del Procedimiento para alta de dispositivos

Alta de Dispositivos

Resp

on

sa

ble

de

l D

om

inio

Te

cn

oló

gic

oS

olic

ita

nte

Con

su

lto

r d

e M

on

ito

reo

Ad

min

istr

ado

r d

e la

infr

ae

str

uctu

ra

Resp

on

sib

le

de

l se

rvic

io d

e

mo

nito

reo

ConfiguraciónSolicitud Instalación

Inicio

Lllena la solicitud de alta en el monitoreo

Revisa la solicitud de alta en el monitoreo

Es correcta

Autoriza el inicio alta en el monitoreo

Envía el documento con

los prerrequisitos para la instalación

de agentes

Configura los prerrequisitos en la infraestructura

Genera el KM para la instalación

del agente

Instala el agente de monitoreo

Verifica la instalación del

agente

Es correcta la instalación

Verifica los prerrequisitos


Indica los prerrequisitos

faltantes

Sigue las instrucciones

indicadas por el consultor de monitoreo

Envía instrucciones para

corregir la instalación al

Administrador de la infraestructura

Configura Umbrales y

Notificaciones

Valida con apoyo del responsable del servicio de

monitoreo que se hayan configurado

los umbrales y notificaciones solicitadas.

Envía la evidencia de configuración de umbrales y

alertas solicitadas

Son correctos los umbrales y

notificaciones

No

Sí

No Sí

Sí

No

Sí

Autoriza el fin del alta en el monitoreo

FIn

No

1

2

3

4

6

7 8

5

9

10

11

12

13

14

15

16


Vigente a partir de

Día Mes Año

01 07 2016


Página 42 de 56




Revisó: RMC, IRL

Procedimiento de alta de dispositivos

Responsable No. Actividad Documento de

Trabajo Entregable Tiempo

Solicitante

1 Llena la solicitud de alta en el monitoreo.

Solicitud ABC Solicitud ABC

Llena 1hrs

1.1 Identifica los componentes que se van a monitorear.

Solicitud ABC Solicitud ABC parcialmente

llena 20’

1.2 Define los umbrales que se configurarán en la herramienta de monitoreo.


llena 20’

1.3 Define la matriz de notificaciones para eventos de monitoreo


llena 20’

1.4 Define la categorización de incidentes.


llena 20’

1.5 Lista los dispositivos que se darán de alta en el monitoreo.


llena 20’

Responsable del Dominio

Tecnológico

2 Revisa la solicitud de Alta en el monitoreo


revisada 20’

2.1

Si la información definida en la Solicitud ABC es correcta pasa a la actividad 3, de lo contrario regresa a la actividad 1


revisada 20’

Responsable del servicio de monitoreo

3 Autoriza el inicio de alta en el monitoreo


Autorizada 20’

3.1 Entrega solicitud ABC autorizada al consultor de monitoreo para el inicio del alta


Autorizada 20’

Consultor de monitoreo

4 Envía el documento con los prerrequisitos para la instalación de agentes.

Solicitud ABC Documento de Prerrequisitos

1d

4.1

De acuerdo con la información de la Solicitud ABC determina los prerrequisitos necesarios para instalar el agente.

Documento de Prerrequisitos


0.5d

4.2

Genera un documento técnico con los prerrequisitos y procedimientos para configurarlos en la infraestructura específica de la Solicitud ABC



05.d

Administrador de la Infraestructura

5 Configura los prerrequisitos en la infraestructura


Evidencia de la configuración

de prerrequisitos

1d


6 Verifica los prerrequisitos

Evidencia de la configuración

de prerrequisitos

Instrucciones de

prerrequisitos faltantes /

1d


Vigente a partir de

Día Mes Año

01 07 2016


Página 43 de 56




Revisó: RMC, IRL



Confirmación de Prerrequisitos

6.1

Si la evidencia de la configuración de prerrequisitos corresponde al documento de Prerrequisitos pasa a la actividad 8.

Evidencia de la configuración de

prerrequisitos


2h

6.2

Si la evidencia de la configuración de prerrequisitos no corresponde al documento de Prerrequisitos pasa a la actividad 7.

Evidencia de la configuración de

prerrequisitos


2h

7 Indica los prerrequisitos faltantes Confirmación de Prerrequisitos

Instrucciones para la

configuración de

prerrequisitos Faltante

1d

8 Genera el KM para la instalación del agente.

Solicitud ABC, Evidencia de Prerrequisitos

KM Instructivo de

instalación 1d

8.1 Descarga las definiciones correspondientes del sitio del fabricante

Solicitud ABC, Evidencia de Prerrequisitos

KM 0.7d

8.1 Genera un instructivo de instalación. Solicitud ABC, Evidencia de Prerrequisitos

Instructivo de instalación

0.3d


9 Instala el agente de monitoreo. Instructivo de

instalación

Agente de monitoreo instalado

0.5d


10 Verifica la instalación del agente. Agente de monitoreo instalado

Confirmación de agente de monitoreo

2h

10.1 Si la instalación del agente es correcta sigue con la actividad 13.

10.2 Si la instalación del agente no es correcta sigue con la actividad 12.

11 Envía instrucciones para corregir la instalación al Administrador de la infraestructura


Instrucciones para corregir la instalación del

agente

1d

11.1 Solicita al Administrador de la Infraestructura los logs de instalación del agente

Logs de instalación del

agente 0.2d

11.2 Analiza los logs de instalación del agente


agente 0.5d

11.3 Genera las instrucciones necesarias para corregir la instalación del agente.


agente


agente

0.3d


Vigente a partir de

Día Mes Año

01 07 2016


Página 44 de 56




Revisó: RMC, IRL




12 Sigue las instrucciones indicadas por el consultor de monitoreo.


agente


0.2d


13 Configura umbrales y notificaciones.

Solicitud ABC

Evidencia de Umbrales y

Notificaciones configurados

1d

13.1 Configura los umbrales especificados en la solicitud ABC

Solicitud ABC Umbrales

configurados 0.5d

13.2 Configura las notificaciones especificadas en la solicitud ABC

Solicitud ABC Notificaciones configurados

0.5d

14 Envía la evidencia de configuración de umbrales y alertas solicitadas

Solicitud ABC

Evidencia de Umbrales y


1h

Solicitante

15

Valida, con el apoyo del responsable del servicio de Monitoreo que se hayan configurado los umbrales y notificaciones solicitadas

Solicitud ABC, Evidencia de Umbrales y


Confirmación de Umbrales y

Notificaciones 1h

15.1 Si la configuración de Umbrales y notificaciones es correcta sigue con la actividad 16.





1h

15.2 Si la configuración de Umbrales y notificaciones no es correcta regresa a la actividad 13





1h


16 Autoriza el fin del alta en el monitoreo.

Confirmación de Umbrales y

notificaciones.

Autorización de cierre de solicitud

1h

Fin del procedimiento


Vigente a partir de

Día Mes Año

01 07 2016


Página 45 de 56




Revisó: RMC, IRL

Anexo 5. Baja de Dispositivos.

Diagrama de flujo del procedimiento de baja de dispositivos.

Baja de Dispositivos

Resp

on

sa

ble

de

l D

om

inio

Te

cn

oló

gic

oS

olic

ita

nte

Con

su

lto

r d

e M

on

ito

reo

Ad

min

istr

ado

r

de

la

infr

ae

str

uctu

ra

Resp

on

sib

le d

el

se

rvic

io d

e m

on

ito

reo

Solicitud

Inicio

Lllena la solicitud de baja en el

monitoreo

Revisa la solicitud de baja en el

monitoreo

Es correcta

Autoriza el inicio baja en el monitoreo

Desinstala el agente de monitoreo

No

Sí

1

2

3

Da de baja los agentes en la

consola de monitoreo

Solicita la desinstalación del

agente

Verifica la desinstalación del

agente


Envía instrucciones para

corregir la desinstalación al Administrador de la infraestructura

Configura reportes

Envía la evidencia de configuración

de reportes

Sí

No

10

Sigue las instrucciones

indicadas por el consultor de monitoreo

Valida, que se hayan dado de

baja los dispositivos

solicitados de los reportes de monitoreo

Es correcta la configuración de

reportes Sí

Autoriza el fin del alta en el monitoreo

1213

4

5

6

7

8

9

11 No

Fin


Vigente a partir de

Día Mes Año

01 07 2016


Página 46 de 56




Revisó: RMC, IRL

Procedimiento de baja de dispositivos.



Solicitante

1 Llena la solicitud de baja en el monitoreo.


Llena 40’

1.1 Identifica los componentes que se van a retirar del monitoreo.


parcialmente llena 20’

1.2 Lista los dispositivos que se darán de baja en el monitoreo.

Solicitud ABC Solicitud ABC parcialmente llena

20’

Responsable del Dominio

Tecnológico

2 Revisa la solicitud de baja en el monitoreo


revisada 20’

2.1 Si la información definida en la Solicitud ABC es correcta pasa a la actividad 3, de lo contrario regresa a la actividad 1


revisada 20’


3 Autoriza el inicio de baja en el monitoreo


Autorizada 20’

3.1 Entrega solicitud ABC autorizada al consultor de monitoreo para el inicio del baja


Autorizada 20’


4 Da de baja los agentes en la consola de monitoreo

Consola de Monitoreo

NA 1d

5 Solicita la desinstalación del agente. Documento de desinstalación

Documento de desinstalación

0.5d

5.1 Genera el documento de desinstalación de agentes para la Solicitud ABC específica

Solicitud ABC, Documento de desinstalación

Documento de desinstalación

0.5d

Administrador de la Infraestructura

6 Desinstala el agente de monitoreo Documento de Desinstalación

Evidencia de la desinstalación

1d


7 Verifica la desinstalación del agente Evidencia de la desinstalación

Confirmación de desinstalación

1d

7.1 Si la evidencia de la desinstalación corresponde al documento de desinstalación pasa a la actividad 10.



2h

7.2 Si la evidencia de la desinstalación no corresponde al documento de desinstalación pasa a la actividad 8.



2h

8 Envía instrucciones para corregir la desinstalación al administrador de la infraestructura.


Instrucciones para corregir la desinstalación

1d

8.1

Solicita al Administrador de la Infraestructura los logs de desinstalación del agente y/o evidencia de la desinstalación.

Logs de desinstalación del

agente y/o evidencia de la desinstalación

0.2d

8.1 Analiza los logs de desinstalación del agente y/o evidencia de la desinstalación.



0.5d

8.1 Genera las instrucciones necesarias para corregir la desinstalación del agente.



Instrucciones para corregir la

desinstalación del agente

0.3d


9 Sigue las instrucciones indicadas por el consultor de monitoreo.

Instrucciones para corregir la


0.5d


Vigente a partir de

Día Mes Año

01 07 2016


Página 47 de 56




Revisó: RMC, IRL



desinstalación del agente


10 Configura reportes. Reportes

periódicos de monitoreo

Evidencia de configuración de

Reportes 1d

10.1 Modifica la configuración de reportes periódicos de monitoreo

Solicitud ABC, Reportes



Reportes 0.5d

10.2 Documenta los reportes que se ven afectados por la baja del dispositivo

Solicitud ABC, Reportes



Reportes 0.5d

11 Envía la evidencia de configuración de reportes


Reportes


Reportes 1h

11.1

Envía al Responsable del Servicio de Monitoreo la evidencia de configuración y documentación de reportes para su visto bueno


Reportes


Reportes 1hr


12 Valida, que se hayan dado de baja los dispositivos solicitados de los reportes de monitoreo

Solicitud ABC, Evidencia de

configuración de Reportes

Confirmación de configuración de

Reportes 1h

12.1 Si la configuración de reportes es correcta sigue con la actividad 16.

Solicitud ABC, configuración de

Reportes


Reportes 1h

12.2 Si la configuración de Umbrales y notificaciones no es correcta regresa a la actividad 13

Solicitud ABC, Evidencia de

configuración de Reportes


Reportes 1h

13 Autoriza el fin del baja en el monitoreo.

Confirmación de configuración de

Reportes

Autorización de cierre

1h



Vigente a partir de

Día Mes Año

01 07 2016


Página 48 de 56




Revisó: RMC, IRL

Anexo 6. Reporte trimestral de acciones para la mejora del desempeño de los equipos o Bases de datos. (FORMATO)


Vigente a partir de

Día Mes Año

01 07 2016


Página 49 de 56




Revisó: RMC, IRL

Anexo 7. Solicitud ABC – Comunicaciones y Procesamiento.


Vigente a partir de

Día Mes Año

01 07 2016


Página 50 de 56




Revisó: RMC, IRL


Vigente a partir de

Día Mes Año

01 07 2016


Página 51 de 56




Revisó: RMC, IRL


Vigente a partir de

Día Mes Año

01 07 2016


Página 52 de 56




Revisó: RMC, IRL

Anexo 8. Solicitud ABC – Bases de datos.


Vigente a partir de

Día Mes Año

01 07 2016


Página 53 de 56




Revisó: RMC, IRL


Vigente a partir de

Día Mes Año

01 07 2016


Página 54 de 56




Revisó: RMC, IRL

Anexo 9. Procedimiento de Atención de Eventos Diagrama de Flujo del procedimiento de atención de eventos

Atención de Eventos

Notificación Seguimiento

Op

era

do

r/A

dm

inis

tra

do

r d

e la

Infr

ae

str

uctu

raH

err

am

ien

ta d

e M

on

ito

reo

Op

era

do

r d

e M

onito

reo

Me

sa

de

Se

rvic

ios

Inicio

Detecta, clasifica y Notifica el evento

Verifica la alerta notificada por la

Herramienta

Es un evento crítico

Notifica al Operador/

administrador de la Infraestructura

Levanta ticket de acuerdo con los

procesos de Administración de

Incidentes y solicitudes.

Recibe Notificación Automática

Recibe Ticket

Diagnostica el evento

Atiende el ticket de acuerdo con los procesos de

Administración de Incidentes y solicitudes

Detecta el fin del evento

Fin

Da seguimiento a la atención del

ticket

Recibe notificación del Operador de

Monitoreo

Sí

No

1

2

3

4

5 6

7

8

9

10

11


Vigente a partir de

Día Mes Año

01 07 2016


Página 55 de 56




Revisó: RMC, IRL

Procedimiento de atención de eventos



Herramienta de Monitoreo

1 Detecta, clasifica y notifica el evento

N.A. Notificación Automática

Inmediato

1.1

La herramienta de monitoreo detecta automáticamente cualquier evento que se encuentre fuera de los umbrales definidos

N. A. N. A. Inmediato

1.2

La herramienta de monitoreo clasifica automáticamente el evento de acuerdo con los umbrales definidos.


1.3

La herramienta despliega el status del dispositivo de acuerdo con la clasificación del evento (verde, rojo o amarillo)


1.4

La herramienta de monitoreo envía por correo electrónico la alerta correspondiente al evento registrado.

N. A. Notificación automática

Inmediato

Operador de Monitoreo

2 Verifica la herramienta notificada por la herramienta

2.1 Verifica la clasificación del evento de acuerdo con la herramienta

2.2 Si el evento es crítico sigue con la actividad 3

N. A. N. A. N. A.

2.3 Si el evento no es crítico sigue con la actividad 4

N. A. N. A. N. A.

3 Notifica al Operador/ Administrador de la Infraestructura

Solicitud ABC N.A. 3’

3.1

De acuerdo con la matriz de escalación definida en la Solicitud ABC, el operador de monitoreo se comunica con el Operador y/o Administrador de la Infraestructura para notificar telefónicamente el evento crítico

Solicitud ABC Notificación telefónica

3’

Mesa de Servicios 4 Levanta Ticket de acuerdo con los procesos de Administración de Incidentes y solicitudes

Solicitud ABC Número de

Ticket 3’

Operador/


Operador/ Administrador de la

infraestructura

5 Recibe notificación automática N. A. N. A. Inmediato

5.1 Recibe a su correo electrónico la notificación automática proveniente de la herramienta


6 Recibe Ticket N. A. N. A. Inmediato

6.1 Recibe a su correo electrónico la notificación automática de la asignación de Ticket


7 Recibe notificación del operador de monitoreo.

N. A. N. A. 3’

7.1 Recibe la notificación telefónica del evento crítico por parte del Operador de monitoreo

N. A. N. A. 3’

8 Diagnostica el evento N. A. N. A. 10’


Vigente a partir de

Día Mes Año

01 07 2016


Página 56 de 56




Revisó: RMC, IRL



8.1

Con base en la información recibida en las notificaciones diagnostica de primera instancia el evento-

Notificaciones recibidas

N. A. 10’

9 Atiende el ticket de acuerdo con los procesos de Administración de Incidentes y Solicitudes

Procedimientos de Operación

Atención del Ticket

De acuerdo con los

procedimientos

Operador de Monitoreo

10 Da seguimiento a la atención del ticket

Ticket Registra

seguimiento

De acuerdo con la atención del

ticket

Herramienta de monitoreo

11 Detecta el fin del evento. N. A Notificación de fin del evento

Inmediato

11.1 La herramienta de monitoreo detecta automáticamente el fin del evento.

N. A. Notificación de fin

del evento Inmediato


Directriz de Seguridad Operacional de Cómputo...

Documents

Transcript of Directriz de Seguridad Operacional de Cómputo...