HQGD´9,*(17(µ - Gob · 2018-07-11 · MAAGTICSI, expedido por la Secretaría de la Función...
Transcript of HQGD´9,*(17(µ - Gob · 2018-07-11 · MAAGTICSI, expedido por la Secretaría de la Función...
Este Manual contiene información PÚBLICA y está integrado por:
•Carátula
•Hoja de Validación, en la que firman las áreas involucradas en su elaboración, revisión y autorización.
•Índice
•Hojas numeradas de las páginas 1-14 (ME-SDSYPA-A3)
•Todas las hojas se encuentran selladas por la unidad resguardante con la leyenda “VIGENTE”
MANUAL ESPECIAL DE POLÍTICAS DE
OPERACIÓN DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIONES (TIC)
Centros de Integración Juvenil, A.C.
JUNIO 2018
DEPARTAMENTO DE DESARROLLO ORGANIZACIONALDIRECCIÓN DE PLANEACIÓN
Centros de Integración Juvenil, A.C.
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
CODIGO: ME-SDSYPA-A3
ÍNDICE PAG.
INTRODUCCIÓN 1
POLÍTICAS DE OPERACIÓN 2
A.5 POLÍTICAS DE SEGURIDAD 2
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 2
A.7 ADMINISTRACIÓN DE ACTIVOS 2
A.8 SEGURIDAD DE LOS RECURSOS HUMANOS 3
A.9 SEGURIDAD FÍSICA Y AMBIENTAL 4
A.10 GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES 5
A.11 CONTROL DE ACCESO 8
A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE INFORMACIÓN
12
A.13 GESTIÓN DE SOLICITUDES DE SERVICIO 12
A.14 GESTIÓN DE INCIDENCIAS EN LA SEGURIDAD DE LA INFORMACIÓN
12
A.15 CUMPLIMIENTO 13
NOTACIONES 14
DEFINICIONES 14
PARA SER LLENADO ÚNICAMENTE POR LA DIRECCIÓN DEL ÁREA EMISORA
Fecha de Revisión/Aprobación Fecha de Emisión Ubicación del archivo
Junio 2018 Junio 2018 U:/ METIC
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
1/14
INTRODUCCIÓN
El presente documento es un instrumento administrativo que contiene información
específica en materia de Tecnologías de la Información y Comunicaciones (TIC), con
respecto a las políticas mínimas que deberán ser observadas de manera obligatoria por el
personal que labora en la Institución y se encuentran relacionadas con la seguridad de la
información. Es importante señalar que estas políticas se encuentran ordenadas por objetivo
de control según el marco ISO 27001.
Lo anterior en apego al Manual Administrativo de Aplicación General en Materia de
Tecnologías de la Información, Comunicaciones y Seguridad de la Información
MAAGTICSI, expedido por la Secretaría de la Función Pública el 29 de noviembre de
2011, así como la actualización publicada en el D.O.F. del 8 de mayo de 2014.
Este Manual Especial se elabora con el objeto de ser utilizado como un medio de
orientación para el personal de la Institución que hace uso de las Tecnologías de la
Información y Comunicaciones (TIC), en el desarrollo de sus funciones.
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
2/14
POLÍTICAS DE OPERACIÓN
A.5 POLÍTICA DE SEGURIDAD
- Todo el personal de la Institución, estará obligado a operar en un ambiente de trabajo que
garantice la confidencialidad, integridad y disponibilidad de la información, de acuerdo a las
disposiciones de las presentes políticas.
- Las reglas de operación de los procedimientos de seguridad de la información, deberán
revisarse y actualizarse cuando cambien las condiciones de las soluciones tecnológicas o
cuando cambie la legislación aplicable.
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos será
responsable de la seguridad de los recursos de TIC y deberá certificar que el personal
externo, que tenga cualquier tipo de contacto con recursos de TIC institucionales, cumpla
con las disposiciones de estas políticas.
- La Institución no otorgará el derecho de intercambio de información con entidades externas
en caso de que los controles identificados por la Subdirección de Desarrollo de Sistemas y
Procesos Administrativos no cumplan satisfactoriamente con la prevención de los riesgos de
integridad y confidencialidad de la información.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos será la encargada de
autorizar los accesos a la red, a través de la Mesa de Servicios a las áreas usuarias.
A.7 ADMINISTRACIÓN DE ACTIVOS
- Los/las propietarios/as de la información serán los/las responsables de la custodia y buen uso
de la información que se almacena, procesa y transmite dentro de la Institución.
- Los/las usuarios/as de TIC y en particular los/las propietarios/as de la información
almacenada en medios electrónicos, definirán los requerimientos de seguridad de su
información y de sus sistemas de información.
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
3/14
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos, a solicitud de los
usuarios/as responsables de la información clasificada como confidencial o reservada,
determinarán los esquemas de seguridad que se aplicarán para mantener su
confidencialidad, disponibilidad e integridad.
- La información clasificada según la LFTAIP como confidencial o reservada deberá residir
en territorio nacional. Los servicios de almacenamiento y administración de la misma
deberán realizarse de igual manera dentro del territorio nacional.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos y sus usuarios/as
deberán apegarse al esquema de la APF para la clasificación de la información, a fin de
definir sus niveles de protección.
- La información que se genera, almacena, procesa y transmite por medios electrónicos será
resguardada y administrada por los/las usuarios/as involucrados/as, mismos/as que deberán
proteger cada medio de almacenamiento desmontable o removible, con información
clasificada como confidencial, reservada o pública, la cual será etiquetada por el/la
responsable del mismo, de acuerdo con la normatividad vigente.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos, a solicitud de los/las
usuarios/as de la información almacenada en los medios electrónicos clasificada como
confidencial o reservada, determinarán los esquemas de seguridad necesarios para mantener
su confidencialidad, disponibilidad e integridad.
A.8 SEGURIDAD DE LOS RECURSOS HUMANOS
- El/la usuario/a dará cumplimiento a todas las disposiciones que le sean comunicadas por la
Subdirección de Desarrollo de Sistemas y Procesos Administrativos, tanto relacionadas con
el uso de las soluciones tecnológicas, los servicios de tecnologías de la información, como
los equipos PC; también conocerán sus responsabilidades, por lo que firmarán bajo protesta
de decir la verdad, que conoce las disposiciones, el inventario de hardware y software
instalado en su equipo.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos deberá fijar los
mecanismos de seguridad de la información para el personal que maneje información
confidencial, a través de políticas de seguridad y derechos de usuario.
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
4/14
A.9 SEGURIDAD FÍSICA Y AMBIENTAL
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos implementará
mecanismos de control de acceso al centro de datos y a todas aquellas instalaciones en las
que se encuentre equipo de almacenamiento, procesamiento y/o transmisión de información,
así mismo, contará con mecanismos de control que permitan asegurar que el personal que
ingrese a dichas instalaciones cuente con la autorización correspondiente.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos que
administre la infraestructura de TIC llevará un registro del personal y justificará el motivo
de acceso a las áreas en las que se encuentran estos componentes. El registro de acceso
incluirá datos que permitan la fácil localización del personal que ingresó a las áreas citadas.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos que
administre la infraestructura de TIC deberá mantener actualizadas las listas de autorización
de acceso a personal de proveedores de Servicios de terceros y llevar el control de accesos
presenciales y remotos indicados en el punto anterior.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos
permitirá a los/las proveedores/as de Servicios el acceso a los puntos de red, incluyendo el
acceso a los nodos de la red de la Institución, sólo bajo la supervisión del/la responsable de
las instalaciones físicas de TIC. Estos/as proveedores/as de Servicios presentarán
identificación oficial y de la empresa al momento de solicitar el acceso.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos
instalará la infraestructura de TIC en ambientes físicos adecuados para su operación,
administración, monitoreo y control de acceso, para minimizar los riesgos, amenazas y
condiciones de operación fuera de las especificaciones normadas.
- Los/las usuarios/as de equipos de cómputo de escritorio serán responsables de que los
equipos bajo su resguardo se encuentren en el lugar asignado.
- Los/las usuarios/as de equipos portátiles deberán asegurarse de colocar el cable y candado de
seguridad correspondientes.
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
5/14
- Los/las usuarios/as que requieran sacar de la Institución el equipo portátil (laptop) que tengan
asignado, deberán registrar la salida del mismo en el control del personal de seguridad. En caso
de que tengan el equipo portátil en calidad de préstamo, deberán contar con la autorización de
salida del Departamento de Soporte, Mantenimiento y Telecomunicaciones. Los/las
usuarios/as serán responsables de los equipos y de la información que estos contengan.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos
responsable de la seguridad de los recursos de TIC, se asegurará de que a través de la Mesa
de Servicios el equipo de escritorio o portátil, o de cualquier otro tipo, que utilizará la
conexión a la red institucional se encuentre libre de virus informático, instalando el software
actualizado para detección y protección contra programas para vulnerar la seguridad de los
dispositivos de TIC, así como su información y los servicios que proveen.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos, siguiendo el proceso
de Administración de la Infraestructura física de TIC, evaluará y verificará que exista
seguridad en las instalaciones eléctricas, de comunicaciones, de sistemas contra incendios,
de aire acondicionado y de otros recursos, que garanticen las condiciones adecuadas de
seguridad para la operación de la infraestructura física de TIC de la Institución.
A.10 GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES
- Los/las usuarios/as podrán solicitar al Departamento de Soporte Técnico, Mantenimiento y
Telecomunicaciones de forma periódica (semestral, mensual, quincenal) se realicen las
copias de seguridad de la información crítica que almacenen en su equipo, previa solicitud,
a través de la Mesa de Servicios.
- Los/las usuarios/as responsables de los Servicios, solicitarán a través de la Mesa de
Servicios el respaldo de sus datos, especificando las necesidades de los mismos (Completo,
Incremental o Diferencial). Éstos deberán tomar en cuenta el tipo de información y las
necesidades de operación de los propios Servicios, en apego a la normatividad aplicable.
- El Departamento de Soporte Técnico, Mantenimiento y Telecomunicaciones será el
responsable de la ejecución de los respaldos, quien deberá efectuarlos en estricto apego a los
requerimientos indicados por los/las usuarios/as y de acuerdo a las facilidades de la
infraestructura disponible.
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
6/14
- El Departamento de Soporte Técnico, Mantenimiento y Telecomunicaciones elaborará el
calendario de respaldos y lo comunicará a la Subdirección de Desarrollo de Sistemas y
Procesos Administrativos, considerando las necesidades de los/las usuarios/as responsables
de los Servicios, así como las necesidades de las soluciones tecnológicas y centro de datos
de la Institución.
- El Departamento de Soporte Técnico, Mantenimiento y Telecomunicaciones elaborará el
calendario de respaldos y conservará el respaldo efectuado.
- El Departamento de Soporte Técnico, Mantenimiento y Telecomunicaciones deberá
mantener los controles necesarios para conocer el estado de cada copia de respaldo y su
ubicación.
- El Departamento de Soporte Técnico, Mantenimiento y Telecomunicaciones implementará
procedimientos para preparar y almacenar la información y probará periódicamente la
integridad de los respaldos.
- El Departamento de Soporte Técnico, Mantenimiento y Telecomunicaciones deberá
mantener una copia de software, soluciones tecnológicas, aplicativos, parámetros de
configuración de ambientes, estructuras de datos y datos; anterior a la versión en operación.
- El Departamento de Soporte Técnico, Mantenimiento y Telecomunicaciones generará las
copias necesarias de los respaldos y las almacenará en inmuebles diferentes, a fin de
garantizar la recuperación de la operación, en caso de ejecutarse algún plan de contingencia.
- El Departamento de Soporte Técnico, Mantenimiento y Telecomunicaciones registrará la
evidencia de las recuperaciones realizadas, dentro de la solicitud correspondiente registrada
en la Mesa de Servicios.
- El Departamento de Soporte Técnico, Mantenimiento y Telecomunicaciones atenderá
solamente las solicitudes de restauración efectuadas a través de la Mesa de Servicios,
mismas que deberán contener al menos: nombre del sistema del cual se desea recuperar la
información y especificaciones de la información que se desea recuperar.
- El Departamento de Soporte Técnico, Mantenimiento y Telecomunicaciones a petición de
las áreas propietarias de la información y/o las soluciones tecnológicas determinarán la
permanencia y la vigencia de la información respaldada, así mismo definirán el mecanismo
de eliminación de los respaldos en concordancia con la legislación aplicable.
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
7/14
- Los/las usuarios/as que requieran conectarse a la red institucional utilizando equipo de
cómputo de escritorio o portátil, propio o institucional, solicitarán a través de la Mesa de
Servicios, autorización a la Subdirección de Desarrollo de Sistemas y Procesos
Administrativos y el Departamento de Soporte Técnico, Mantenimiento y
Telecomunicaciones, será responsable de habilitar su conexión.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos garantizará la
eliminación física total de la información confidencial y/o reservada que vaya a dejar de
usarse y se encuentre contenida en medios de almacenamiento bajo su responsabilidad, y
también se aplicará en caso de que vaya a ser reutilizada o entregada a un tercero para
recuperación o en préstamo; así mismo obtendrán una evidencia de la eliminación.
- Si los medios de almacenamiento de los equipos y accesorios están bajo el resguardo de
los/las usuarios/as, estas acciones serán su responsabilidad. En caso de requerirlo podrán
solicitar apoyo a la Subdirección de Desarrollo de Sistemas y Procesos Administrativos vía
la Mesa de Servicios y apegarse a la normatividad aplicable.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos
vigilará el acceso a los respaldos en los medios físicos de información, por personal ajeno a
la Institución.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos deberá asegurarse de
implementar una bitácora de seguridad en la que queden registrados todos los eventos
realizados por cuentas con permisos especiales, al menos las del administrador/a, visitante,
raíz y de sistema.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos implementará un
mecanismo para que la bitácora sólo pueda ser consultada por el/la administrador/a
responsable de la seguridad del elemento de TIC considerado.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos definirá e
instrumentará en conjunto con el Departamento de Soporte Técnico, Mantenimiento y
Telecomunicaciones, un mecanismo de seguridad para evitar intrusiones a la infraestructura
de TIC, incluyendo ataques externos vía internet, (Firewall, Antivirus) e inclusive Intranet.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos
implementará un mecanismo para informar a los/las usuarios/as sobre las actualizaciones de
seguridad del software, de la aparición de nuevos virus informáticos que puedan atacar las
soluciones tecnológicas y los equipos de cómputo de la Institución.
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
8/14
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos, al
identificar la existencia de virus informático no cubierto por los antivirus institucionales, en
servidores y en equipos, difundirá las medidas necesarias para que los/las usuarios/as
protejan los equipos hasta que se corrija la intrusión del virus o la elimine.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos y el Departamento
de Soporte Técnico, Mantenimiento y Telecomunicaciones, instrumentará mecanismos de
administración de los equipos de proceso y de comunicaciones, que incluyan revisiones
periódicas de las bitácoras de los elementos de la infraestructura de TIC, para identificar si
se han presentado intentos de ataques o de explotación de vulnerabilidades.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos y el
Departamento de Soporte Técnico, Mantenimiento y Telecomunicaciones, habilitará el
registro de los incidentes de seguridad relacionados con los accesos a las soluciones
tecnológicas y a las actividades realizadas por los/las usuarios/as.
A.11 CONTROL DE ACCESO
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos que
administra la infraestructura de TIC controlará el acceso presencial y remoto a los
componentes de cada uno de los elementos de la infraestructura de TIC de la institución.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos,
implantará mecanismos de seguridad para acceder a los datos almacenados, que respeten los
principios de identidad, responsabilidad y rastreabilidad de los/las usuarios/as que los
acceden, en función del nivel de exposición y revelación de los mismos.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos
deberán asegurar que las capacidades de los/las usuarios/as para acceder a los datos están
limitadas de acuerdo al perfil que corresponda a sus funciones, previa identificación de las
Unidades responsables propietarias de los datos y de las soluciones tecnológicas que hacen
uso de ellos.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos será la encargada de
implementar los mecanismos de seguridad necesarios para la asignación de los permisos de
acceso a los/las usuarios/as determinados por las Unidades responsables de la información.
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
9/14
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos y el Departamento
de Soporte Técnico, Mantenimiento y Telecomunicaciones, a petición de los/las
responsables de área o unidad operativa tendrá la facultad de realizar un análisis de los
accesos a los diversos servicios que se proporcionan a través de la red institucional (internet,
unidades de red, carpetas compartidas, correo electrónico, etc.), así también tendrá la
facultad de accesar a los equipos de cómputo y realizar un análisis de la información
almacenada y el software instalado.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos
instrumentará el registro de los/las usuarios/as y la administración de la seguridad de las
soluciones tecnológicas de información que son accedidos en forma local y/o remota a
través de la red de comunicaciones.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos
instrumentará mecanismos para que se efectúe la personalización de las cuentas para las
actividades de administración de servidores, bases de datos, Servicios o sistemas
institucionales, así como para el monitoreo de las actividades realizadas por los/las
usuarios/as.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos
instrumentará un mecanismo de seguridad para que, desde su creación todo usuario tenga
definido el ambiente de trabajo acorde a sus funciones; éste no podrá ser modificado por
el/la usuario/a, sino a través de una solicitud a la Mesa de Servicios realizada por el
responsable del área.
- El Departamento de Sistemas y el Departamento de Soporte Técnico, Mantenimiento y
Telecomunicaciones nombrará un/una responsable de la asignación de cuentas de usuario y
contraseñas para cualquiera de los Servicios y/o sistemas que operan dentro de la
Institución.
- El Departamento de Sistemas y el Departamento de Soporte Técnico, Mantenimiento y
Telecomunicaciones, indicará a los/las usuarios/as las características de las contraseñas.
- El Departamento de Sistemas y el Departamento de Soporte Técnico, Mantenimiento y
Telecomunicaciones identificará y autenticará claramente al/la usuario/a antes de asignarle
una cuenta.
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
10/14
- El Departamento de Sistemas y el Departamento de Soporte Técnico, Mantenimiento y
Telecomunicaciones eliminará cualquier cuenta de usuario/a que haya cambiado de
situación laboral o no labore más en la Institución, previa notificación del departamento
implicado y/o del departamento de Nóminas e Impuestos.
- La Mesa de Servicios, facilitará a los/las usuarios/as del correo electrónico, el cambio de
contraseña cuando éstos lo estimen conveniente o de acuerdo a lo establecido en el
lineamiento de cambio de contraseña por caducidad o renovación.
- Los/las usuarios/as verificarán que su equipo de cómputo tenga configurado inicio de sesión
y bloqueo de pantalla con contraseña, con la finalidad de evitar el acceso no autorizado a su
información en caso de que el usuario no esté trabajando en el equipo.
- Los/las usuarios/as estarán obligados a considerar que las cuentas y contraseñas asignadas
son personales e intransferibles. Las consecuencias jurídicas y/o administrativas de los actos
ejecutados con las mismas son responsabilidad exclusiva del/la usuario/a dueño/a de la
cuenta.
- Los/las usuarios/as deberán cambiar su contraseña en caso de sospechar que alguien más la
conoce.
- El Departamento de Soporte Técnico, Mantenimiento y Telecomunicaciones deberá asegurar
que todos los equipos de cómputo de escritorio y portátiles que sean conectados a la red
institucional cumplan con los siguientes controles de acceso: nombre del equipo que
identifique al/la responsable del equipo y su ubicación; integración a un dominio; tener
instalado el software de antivirus institucional; contar con la última versión y parche del
sistema operativo liberado por el proveedor.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos y el Departamento
de Sistemas, implementarán un mecanismo de seguridad en los elementos de
comunicaciones para que los intentos de conexión hacia la infraestructura de TIC que
soporta las aplicaciones o Servicios institucionales pasen a través de un “firewall”.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos y el Departamento
de Sistemas, implementarán un mecanismo de control para proveer el servicio de acceso
remoto a la red de la Institución, a las soluciones tecnológicas, a los Servicios de red y
colaboración, así como a la información. El acceso será otorgado únicamente para el área
que lo solicite y los/las proveedores/as que lo requieran, previa justificación.
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
11/14
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos y el Departamento
de Sistemas, definirán e implementarán las herramientas de detección de intrusos y
protección a vulnerabilidad alineadas a la infraestructura de TIC, sistemas de información,
necesidades de servicio de red y colaboración de la Institución.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos y el Departamento
de Soporte Técnico, Mantenimiento y Telecomunicaciones, implementarán mecanismos de
TIC para impedir la conexión a redes inalámbricas externas que se encuentren al alcance de
los dispositivos electrónicos institucionales y que puedan representar un riesgo de seguridad
de la información.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos y el
Departamento de Sistemas, limitarán el acceso a los servidores, a sus sistemas operativos, a
las soluciones tecnológicas institucionales y a las bases de datos, mediante la identificación
del/la usuario/a, a través de su cuenta única y contraseña; así mismo llevará un control de
perfil y privilegios de acceso por usuario/a.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos y el Departamento
de Soporte Técnico, Mantenimiento y Telecomunicaciones, implementarán en las
soluciones tecnológicas y Servicios a los/las usuarios/as, mensajes de ingreso en los cuales
se les advierta que: el sistema y/o el servicio solo podrá ser utilizado por personal
autorizado, que las actividades realizadas son monitoreadas y rastreables y que cualquier
intento de ingreso no autorizado será sancionado, conforme a la normatividad aplicable.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos
bloqueará el acceso a toda cuenta de usuario después de 3 intentos consecutivos fallidos de
acceso a las soluciones tecnológicas o red.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos y el Departamento
de Sistemas, serán responsables de la asignación de cuentas de usuario y contraseñas, o en
su defecto las soluciones tecnológicas y aplicaciones designadas como sensibles o críticas,
deberán restringir el número de sesiones por usuario/a.
- El personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos
bloqueará cualquier cuenta de usuario que no se haya firmado en la red después de 30 días.
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
12/14
A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE INFORMACIÓN
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos implementará un
mecanismo de control para que todo el personal técnico responsable o poseedor de los
manuales, procedimientos, guías e instructivos de operación (en medio electrónico o papel)
de los equipos de cómputo, telecomunicaciones y sistemas, controle y reporte el acceso y
uso de los mismos, bajo su estricta responsabilidad.
A.13 GESTIÓN DE SOLICITUDES DE SERVICIO
- La Mesa de Servicios es el punto de contacto único en el cual se reciben las solicitudes de
servicio de los/las usuarios/as de equipos y servicios de TIC´s.
- Cualquier requerimiento que no se haga a través de este medio, no será responsabilidad de la
Subdirección de Desarrollo de Sistemas y Procesos Administrativos.
- Todas las solicitudes que hayan sido atendidas satisfactoriamente por el personal técnico,
deben ser evaluadas por el área solicitante, para que así efectúe su cierre y finalice su ciclo
de vida.
A.14 GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN
- Los/las usuarios/as que presencien o sospechen actos citados en el rubro A.11 Control de
Acceso de estas políticas, notificarán por escrito a su superior inmediato y a la Subdirección
de Desarrollo de Sistemas y Procesos Administrativos.
- El siniestro, extravío o robo de equipo de cómputo y/o periféricos, será reportado de forma
inmediata por el usuario afectado (aquel que tiene bajo su resguardo el equipo siniestrado)
al Departamento de Inventarios, Almacén y Seguros (área de Seguros), para que se realicen
las gestiones pertinentes con copia, así como la documentación correspondiente.
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
13/14
A.15 CUMPLIMIENTO
- Los datos clasificados como confidenciales o reservados tendrán fechas programadas de
eliminación y deberá destruirse la identificación del medio y cualquier marca de uso, en
estricto apego a la normatividad vigente en la materia y asegurando conservar la evidencia
correspondiente del apego a la regla.
- La información confidencial o reservada no necesaria será destruida, los listados deberán ser
triturados y los desechos empacados antes de deshacerse de ellos, en estricto apego a la
normatividad vigente en la materia y asegurando conservar la evidencia correspondiente del
apego a la regla.
- En caso de inobservancia y, a fin de garantizar la integridad y confiabilidad de la
información de la Institución, el personal de la Subdirección de Desarrollo de Sistemas y
Procesos Administrativos suspenderá de manera inmediata los Servicios de TIC a los/las
usuarios/as que hubieren infringido alguna de las disposiciones de las presentes políticas.
- La Subdirección de Desarrollo de Sistemas y Procesos Administrativos, el Departamento de
Sistemas y el Departamento de Soporte Técnico, Mantenimiento y Sistemas, deberán
asegurarse de que cualquier intento para obtener acceso no autorizado a la infraestructura, a
los Servicios o a los datos, la revelación no autorizada de información, el procesamiento o
transmisión de datos, los cambios a las características de los activos de TIC sin autorización,
o cualquier otra actividad en materia de TIC, que afecte a los intereses de la Institución,
sean informados a las instancias facultadas, para promover las sanciones aplicables de
acuerdo a la reglamentación y la legislación vigente aplicable.
Centros de Integración Juvenil, A.C. Clave del Documento ME-SDSYPA-A3
Vigencia Junio 2018 a Junio 2020
MANUAL ESPECIAL DE POLÍTICAS DE OPERACIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (TIC)
14/14
NOTACIONES:
TIC: Tecnologías de la Información y Comunicaciones.
LFTAIPG: Ley Federal de Transparencia y Acceso a la Información Pública
Gubernamental.
APF: Administración Pública Federal.
SGSI: Sistema de Gestión de Seguridad de la Información.
DEFINICIONES:
Personal de la Subdirección de Desarrollo de Sistemas y Procesos Administrativos: Personal que labora en los Departamentos de Sistemas y en Departamento de Soporte
Técnico, Mantenimiento y Telecomunicaciones.
Usuario: Individuo que utiliza una computadora, sistema operativo, servicio o cualquier
sistema informático.
Cuenta: El identificador único y personal compuesto por el nombre del servidor público de la
Institución y una contraseña con el propósito de acceder a recursos o Servicios de TIC.
Propietario de Información: Son propietarios de la Información todos aquellos usuarios que
en su equipo de cómputo portátil o de escritorio generan información y ahí mismo se
almacena.
Mesa de Servicios: El punto de contacto único, en el cual se reciben las solicitudes de
Servicios de los usuarios de TIC.