Página 1 de 35 - Secretaría de Educación Pública

de 35

www.hgo.sep.gob.mx Blvd. Felipe Ángeles s/n, Col. Venta Prieta, Pachuca de Soto, Hgo., C.P. 42083

Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

PROFR. JOEL GUERERO JUÁREZ, SECRETARIO DE EDUCACIÓN PÚBLICA DEL ESTADO DE HIDALGO, CON FUNDAMENTO EN EL ARTÍCULOS 34 FRACCIÓN XXXI DE LA LEY ORGÁNICA DE LA ADMINISTRACIÓN PÚBLICA PARA EL ESTADO DE HIDALGO; EN EL ARTICULO 5 FRACCIÓN II, ARTÍCULO 7 FRACCIÓN XI, ARTÍCULO 15 FRACCIÓN VI DE LA LEY DE EDUCACIÓN PARA EL ESTADO DE HIDALGO; EN EL ARTÍCULOS 1, 4, 5, 11 Y 41 DEL REGLAMENTO INTERIOR DE LA SECRETARÍA EDUCACÍON PÚBLICA DE HIDALGO; Y

EXPOSICIÓN DE MOTIVOS

Que derivado del Reglamento para el Uso y Aprovechamiento de Tecnologías de Información y Comunicaciones para las Dependencias y Entidades Paraestatales del Poder Ejecutivo del Estado de Hidalgo, publicado en el Periódico Oficial del Estado el día 5 de Febrero del 2009 y que uno de los objetivos de la Secretaría de Educación Pública de Hidalgo (S.E.P.H.), es contribuir a la transformación de la administración pública, a través del mejor aprovechamiento de dichas tecnologías.

Que es responsabilidad de la S.E.P.H. como parte integral de un gobierno moderno y eficiente, dotar de una normatividad, elevar la eficiencia de la función pública sobre el uso y aprovechamiento de tecnologías de información y comunicaciones.

Que la creación del presente Manual es consecuencia de una acción coordinada con el fin de implementar políticas públicas como una obligación del titular de la Secretaría de Educación para el Estado de Hidalgo, en virtud a ello, resulta indispensable que la acción pública sea permanentemente evaluada y sometida a un escrupuloso seguimiento técnico que permita fijar los nuevos parámetros que se deben de adoptar para ser más eficientes y optimizar el ejercicio de los recursos públicos, en función a que éstos se rigen por el principio de la escasez y la oportunidad, motivo central para que los programas públicos perfeccionen sus métodos es necesario resguardar las herramientas con las que cuenta el servidor público con la finalidad de cumplir los compromisos para que se posible la realización de la función publica

En mérito de lo expuesto, ha tenido a bien expedir el siguiente:

MANUAL DE POLÍTICAS Y ESTÁNDARES DEL USO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES DE LA S.E.P.H.

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

MANUAL DE POLÍTICAS Y

ESTÁNDARES DEL USO

DE LAS TECNOLOGÍAS DE LA

INFORMACIÓN Y

COMUNICACIONES DE LA

S.E.P.H.

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

INDICE

Introducción………………………………………………………………………………………………….6

1. POLÍTICAS Y ESTÁNDARES DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA

INFORMACIÓN Y COMUNICACIONES ........................................................................................... 7

1.1 Disposiciones Generales .................................................................................................. 7

1.2 Propósito ............................................................................................................................ 8

1.3 Preceptos Legales Aplicables .......................................................................................... 8

1.4 Objetivo .............................................................................................................................. 9

1.5 Alcance ............................................................................................................................... 9

1.6 Justificación ..................................................................................................................... 10

1.7 Sanciones por Incumplimiento ....................................................................................... 10

1.8 Beneficios ......................................................................................................................... 10

2. POLÍTICAS Y ESTÁNDARES DE SEGURIDAD DEL PERSONAL ....................................... 11

2.1 Política .............................................................................................................................. 11

2.2 Obligaciones de los Servidores Públicos ...................................................................... 11

2.3 Acuerdos de Uso y Confidencialidad ............................................................................. 11

2.4 Conocimiento de la Normatividad .................................................................................. 11

2.5 Medidas Disciplinarias .................................................................................................... 11

3. POLÍTICAS Y ESTÁNDARES DE SEGURIDAD FÍSICA Y AMBIENTAL DE LA

INFRAESTRUCTURA .................................................................................................................... 12

3.1 Política .............................................................................................................................. 12

3.2 Resguardo y Protección de la Información ................................................................... 12

3.3 Controles de Acceso Físico ............................................................................................ 12

3.4 Seguridad en áreas de trabajo ........................................................................................ 12

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

3.5 Protección y Ubicación de los Equipos ......................................................................... 13

3.6 Mantenimiento de equipo ................................................................................................ 13

3.7 Pérdida de Equipo ........................................................................................................... 14

3.8 Uso de Dispositivos Especiales ..................................................................................... 14

3.9 Daño del Equipo ............................................................................................................... 15

4. POLÍTICAS DE ACCESO AL SITIO WEB INSTITUCIONAL .................................................. 15

4.1 Objetivos del Portal ......................................................................................................... 15

4.2 Solicitud de Publicación de Información Emitida por las Áreas ................................. 15

5. POLÍTICAS Y ESTÁNDARES DE SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES

DE CÓMPUTO ................................................................................................................................ 17

5.1 Política .............................................................................................................................. 17

5.2 Uso de Medios de Almacenamiento ............................................................................... 17

5.3 Instalación de Software ................................................................................................... 17

5.4 Desarrollo de Sistemas de Información ......................................................................... 18

5.5 Proyectos de Desarrollo de Sistemas de Información ................................................. 18

5.6 Identificación del Incidente ............................................................................................. 19

5.7 Administración de la Configuración .............................................................................. 19

5.8 Seguridad de la Red Institucional .................................................................................. 19

5.9 Uso del Correo Electrónico Institucional ....................................................................... 20

5.10 Uso del Antivirus Institucional ....................................................................................... 21

5.11 Controles Contra Código Malicioso ............................................................................... 22

5.12 Acceso a Internet ............................................................................................................. 22

6. POLÍTICAS Y ESTÁNDARES DE CONTROLES DE ACCESO LÓGICO ............................... 23

6.1 Política .............................................................................................................................. 23

6.2 Controles de Acceso Lógico .......................................................................................... 23

6.3 Administración de Privilegios......................................................................................... 24

6.4 Administración y Uso de Contraseñas .......................................................................... 24

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

6.5 Control de Accesos Remotos ......................................................................................... 25

6.6 Violaciones de Seguridad de las TIC´s .......................................................................... 25

7. POLÍTICA DE ANÁLISIS Y EVALUACIÓN DE ADQUISICIÓN DE BIENES Y SUMINISTROS

DE TECNOLOGÍAS DE INFORMACIÓN ....................................................................................... 25

7.1 Política .............................................................................................................................. 25

7.2 Solicitud de Bienes y Suministros Emitida por las Diferentes Áreas ......................... 25

7.3 Elaboración de Anexo Técnico ....................................................................................... 25

7.4 Requerimientos Mínimos ................................................................................................ 26

7.5 Evaluación y Emisión de Análisis Técnico .................................................................... 26

7.6 Altas, Bajas y Modificaciones en el Catálogo ............................................................... 26

7.7 Valoración y Diagnóstico de Equipos ............................................................................ 26

8. POLÍTICAS Y ESTÁNDARES DE CUMPLIMIENTO DE SEGURIDAD INFORMÁTICA ........ 27

8.1 Política .............................................................................................................................. 27

8.2 Derechos de Propiedad Intelectual ................................................................................ 27

8.3 Revisiones del Cumplimiento ......................................................................................... 27

9. MEJORA CONTÍNUA .............................................................................................................. 28

10. Glosario de términos .............................................................................................................. 29

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

Introducción

La base para que una organización pueda operar de forma confiable en materia de Seguridad de Infraestructura de Tecnologías de la Información y Comunicaciones (TIC´s), comienza con la definición de las políticas y estándares. La seguridad en éste ámbito, es una función en la que se deben evaluar y administrar los riesgos, basándose en políticas y estándares que cubran las necesidades de la S.E.P.H.

Este documento se encuentra estructurado con las siguientes políticas generales de seguridad para servidores públicos que hagan uso de servicios tecnológicos con sus respectivos estándares que consideran los siguientes puntos:

Seguridad de Personal

Seguridad Física y Ambiental

Análisis y Evaluación de Adquisición de Bienes y Suministros de Tecnologías deInformación

Administración de Operaciones de Cómputo

Controles de Acceso Lógico

Análisis y evaluación de adquisición de bienes y suministros de tecnologías de información

Cumplimiento

Estas políticas en seguridad tecnológica se encuentran alineadas con las normas del Estándar ISO 27001.

1.1 Disposiciones Generales

El presente documento da a conocer el Manual de Políticas y Estándares del Uso de las Tecnologías de Información y Comunicaciones que deberán observar y aceptar los servidores públicos que hagan uso de servicios de tecnologías de información, para proteger adecuadamente los activos tecnológicos y la información de la Secretaría de Educación Pública de Hidalgo (S.E.P.H.), contribuyendo con la mejora y cumplimiento de metas institucionales.

De igual forma es un Manual que difunde las Políticas y Estándares del Uso de las Tecnologías de la Información y Comunicaciones a todo el personal de la Secretaría de Educación Pública de Hidalgo (S.E.P.H.), asegurando mayor integridad, confidencialidad y confiabilidad de la

1. POLÍTICAS Y ESTÁNDARESDE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y

COMUNICACIONES

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

información generada por la Secretaría de Educación Pública de Hidalgo (S.E.P.H.), al personal, los datos y el hardware y software disponibles, minimiza los riesgos en el uso de las tecnologías de información S.E.P.H.

1.2 Propósito

El presente documento da a conocer las políticas y estándares del uso de las tecnologías de información y comunicaciones que deberán observar y aceptar los servidores públicos que hagan uso de servicios de tecnologías de información, para proteger adecuadamente los activos tecnológicos y la información de la Secretaría de Educación Pública de Hidalgo (S.E.P.H.).

1.3 Preceptos Legales Aplicables

La “Ley Estatal de Responsabilidades Administrativas de los Servidores Públicos”, en el Artículo 8, Fracción III y V, señalan las siguientes obligaciones: “Utilizar los recursos que tenga asignados y las facultades que les haya sido atribuidas para el desempeño de su empleo, cargo o comisión, exclusivamente para los fines a que están afectos”; y “Custodiar y cuidar la documentación e información que por razón de su empleo, cargo o comisión, tenga bajo su responsabilidad e impedir o evitar su uso, sustracción, destrucción, ocultamiento o inutilización indebidos”.

La “Ley Federal de Derechos de Autor”, que tipifica como delito el que reproduzca, distribuya, venda o arriende un programa de computación sin autorización del titular de los derechos de autor; así como lo que establece el texto del artículo 103 “Salvo pacto en contrario, los derechos patrimoniales sobre un programa de computación y su documentación, cuando hayan sido creados por uno o varios empleados en el ejercicio de sus funciones o siguiendo las instrucciones del empleador, corresponden a éste”, así como lo establecido en el Artículo 105 “El usuario legítimo de un programa de computación podrá realizar el número de copias que le autorice la licencia concedida por el titular de los derechos de autor, o una sola copia de dicho programa siempre y cuando: I. Sea indispensable para la utilización del programa, o II. Sea destinada exclusivamente como resguardo para sustituir la copia legítimamente adquirida, cuando ésta no pueda utilizarse por daño o pérdida. La copia de respaldo deberá ser destruida cuando cese el derecho del usuario para utilizar el programa de computación”.

Y en caso de incumplir las presentes disposiciones, el responsable o responsables se podrán hacer acreedores a una sanción, de acuerdo a lo establecido en el Articulo 231 “Constituyen infracciones en materia de comercio las siguientes conductas cuando sean realizadas con fines de lucro directo o indirecto: VII. Usar, reproducir o explotar una reserva de derechos protegida o un programa de cómputo sin el consentimiento del titular” y en el Artículo 232 del Título XII, Capítulo II.”

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

De las infracciones en materia de comercio de la mencionada Ley y en materia de comercio previstas en la presente Ley, serán sancionadas por el Instituto Mexicano de la Propiedad Industrial con multa: I. De cinco mil hasta diez mil días de salario mínimo, en los casos previstos en las fracciones I, III, IV, V, VII (Usar, reproducir o explotar una reserva de derechos protegidos o un programa de cómputo sin el consentimiento del titular); VIII y IX del Articulo anterior.

La “Ley Estatal de Transparencia y Acceso a la Información Pública Gubernamental”, Artículo 63, Frac. I, que señala la responsabilidad administrativa de los servidores públicos por “Usar, sustraer, destruir, ocultar, inutilizar, divulgar o alterar, total o parcialmente y de manera indebida información que se encuentre bajo su custodia, a la cual tengan acceso o conocimiento con motivo de su empleo, cargo o comisión”.

El “Código Penal vigentes para el Estado de Hidalgo,” Articulo 302, que a la letra dice “El servidor público que por sí o por interpósita persona sustraiga, destruya u oculte información o documentación que se encuentre bajo custodia o a la cual tenga acceso o de la que tenga conocimiento en virtud de su empleo, cargo o comisión, sufrirá la pena de uno a cinco años de prisión y multa de 20 a 250 días”. En virtud de que señala los delitos en los que incurre las personas y servidores públicos, por la revelación de secreto y la infidelidad de la custodia de documentos y violación de secretos en perjuicio de la administración pública estatal.

1.4 Objetivo

Difundir las Políticas y Estándares del Uso de las Tecnologías de la Información y Comunicaciones a través de la Dirección General de Tecnologías de la Información, a todo el personal de la S.E.P.H., para que sea de su conocimiento y se de cumplimiento a lo estipulado en lo referente a los recursos tecnológicos utilizados o asignados.

1.5 Alcance

El Manual describe las políticas y los estándares de seguridad, que deberán observar de manera obligatoria, todos los servidores públicos para el buen uso del equipo de cómputo, aplicaciones y servicios tecnológicos de la S.E.P.H.

El presente manual, es de observancia obligatoria para todos los Servidores Públicos de la S.E.P.H. que hagan uso de los recursos tecnológicos, que abarcan tanto el uso de bienes, como el uso de servicios de la Red Institucional (equipo de cómputo, antivirus, correo electrónico, acceso a Internet, sistemas tecnológicos, etc).

Los servidores públicos de la S.E.P.H. deberán leer e informarse sobre lo estipulado en el presente ordenamiento que estará disponible en la página institucional. Así mismo, se establece que el desconocimiento, de los mismos no exime de las responsabilidades y sanciones a las que

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

se hiciere acreedor.

1.6 Justificación

Derivado del papel estratégico que juegan hoy en día las TIC´s en toda organización moderna y que son una herramienta fundamental para la instrumentación de estrategias que permitan realizar acciones de mayor calidad con menores recursos, es necesario implementar la normatividad de la S.E.P.H. en materia de tecnología, mediante la expedición de un ordenamiento de políticas y estándares de seguridad tecnológica, por lo que la D.G.T.I. está facultada para definir políticas y estándares en materia de tecnología.

1.7 Sanciones por Incumplimiento

Los servidores públicos que incumplan las disposiciones establecidas en el presente Manual, estarán sujetos a las sanciones establecidas por la Ley de Responsabilidades de los Servidores Públicos del Estado de Hidalgo, sin perjuicio de las sanciones de índole civil o penal en las que pudieran incurrir.

El servidor público que tenga conocimiento del incumplimiento de estas disposiciones debe notificarlo inmediatamente a la autoridad correspondiente.

1.8 Beneficios

Las políticas y estándares de seguridad de las tecnologias de la información y comunicaciones, establecidas dentro de este documento, son la base para la protección de los activos tecnológicos e información de la S.E.P.H.

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

2.1 Política

Todo servidor público que haga uso de la información, así como de la infraestructura tecnológica, acepta las condiciones de confidencialidad, de uso adecuado de los recursos tecnológicos y de información de la S.E.P.H., así como el estricto apego al Manual de Políticas y Estándares del Uso de las Tecnologías de la Información y Comunicaciones de la S.E.P.H.

2.2 Obligaciones de los Servidores Públicos

Es responsabilidad de los servidores públicos de bienes y servicios tecnológicos cumplir con las Políticas y estandares del uso de las TIC´s, del presente Manual.

2.3 Acuerdos de Uso y Confidencialidad

Todos los servidores públicos de bienes y servicios tecnológicos de la S.E.P.H., aceptan el acuerdo de confidencialidad y uso adecuado de la Infraestructura de las TIC´s, así como el compromiso a efectuar con lo establecido en el Manual de Políticas y Estándares del Uso de las Tecnologías de la Información y Comunicaciones de la S.E.P.H.

2.4 Conocimiento de la Normatividad

Todo empleado de la S.E.P.H., de nuevo ingreso deberá conocer el presente Manual, a través del área administrativa de adscripción, en donde conocerá las obligaciones para los servidores públicos y las sanciones que pueden existir en caso de incumplimiento.

2.5 Medidas Disciplinarias

2.5.1 Cuando la D.G.T.I., identifique el incumplimiento de la presente Normatividad, remitirá el reporte o denuncia correspondiente al Organo Interno de Control de la S.E.P.H., para los efectos de su competencia y atribuciones.

2.5.2 Se consideran violaciones graves el robo, daño, divulgación de información reservada o confidencial de la S.E.P.H., o de que se le declare culpable de un delito informático.

2. POLÍTICAS Y ESTÁNDARESDE SEGURIDAD DEL PERSONAL

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

3.1 Política

Los mecanismos de control de acceso físico para el personal y terceros, deben permitir el acceso a las instalaciones y áreas restringidas de la S.E.P.H., así como al centro de datos de la S.E.P.H. sólo a personas autorizadas para la salvaguarda de los equipos de cómputo y de comunicaciones.

3.2 Resguardo y Protección de la Información

3.2.1 El servidor público deberá reportar de forma inmediata a la D.G.T.I., cuando detecte que existan riesgos reales o potenciales para equipos de cómputo o comunicaciones, como pueden ser fugas de agua, contactos de incendio y otros.

3.2.2 El servidor público tiene la obligación de proteger la infraestructura de la tecnología de la información y comunicaciones, y demás dispositivos que se encuentren bajo su administración y resguardo, aún cuando no se utilicen y contengan información reservada o confidencial.

3.2.3 Es responsabilidad del servidor público evitar en todo momento la fuga de información de la S.E.P.H., que se encuentre almacenada en los equipos de cómputo personal que tenga asignados.

3.3 Controles de Acceso Físico

3.3.1 Cualquier persona que tenga acceso a las instalaciones de la S.E.P.H., deberá registrar al momento de su entrada, el equipo de cómputo, equipo de comunicaciones, medios de almacenamiento y herramientas que no sean propiedad de la S.E.P.H. ante la D.G.T.I.

3.3.2 La Infraestructura de las TIC´s, que sea propiedad de la S.E.P.H. y se encuentre bajo resguardo del servidor público, no podrá salir de las instalaciones de la S.E.P.H., sin la autorización de salida del titular del área administrativa correspondiente.

3.4 Seguridad en áreas de trabajo

El centro de datos de la S.E.P.H., es área restringida, por lo que sólo el personal autorizado por la D.G.T.I. puede acceder a él.

3. POLÍTICAS Y ESTÁNDARES DESEGURIDAD FÍSICA Y AMBIENTAL DE LA INFRAESTRUCTURA

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

3.5 Protección y Ubicación de los Equipos

3.5.1 Los servidores públicos no deben mover o reubicar los equipos de cómputo o de telecomunicaciones, instalar o desinstalar dispositivos, sin la autorización de la D.G.T.I.

3.5.2 Cada unidad administrativa de la S.E.P.H. será la encargada de generar sus propios resguardos y recabar la firma del servidor público, siendo éste último el responsable de los activos tecnológicos que se le asignen y de conservarlos en la ubicación autorizada por la D.G.T.I.

3.5.3 La infraestructura tecnológica asignada, deberá ser para uso exclusivo de las funciones de la S.E.P.H.

3.5.4 Será responsabilidad del servidor público solicitar la capacitación necesaria para el manejo de las herramientas tecnológicas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y de aprovechar al máximo el uso de las mismas.

3.5.5 Mientras se opera la infraestructura de las TIC´s, no se deberán consumir alimentos o ingerir líquidos, para evitar daños en el funcionamiento de la misma.

3.5.6 Se debe evitar colocar objetos encima de la infraestructura de las TIC´s, o cubrir los orificios de ventilación.

3.5.7 Se debe mantener el equipo informático, en un entorno limpio y sin humedad. 3.5.8 El servidor público debe asegurarse que los cables de conexión no sean pisados o

maltratados al colocar otros objetos encima o contra ellos. 3.5.9 Cuando se requiera realizar cambios múltiples del equipo de cómputo, derivado de

reubicación de lugares físicos de trabajo o de obra civil, éstos deberán ser notificados con la mayor anticipación a la D.G.T.I. para su análisis a través de un plan detallado de movimientos debidamente autorizados por el Director General del área que corresponda.

3.5.10 Queda prohibido que el servidor público abra o desarme los equipos de cómputo.

3.6 Mantenimiento de equipo

3.6.1 Únicamente personal autorizado por la D.G.T.I. podrá llevar a cabo los servicios de mantenimiento preventivo y correctivo, de la infraestructura de tecnologías de la Información.

3.6.2 Todo equipo que requiera el servicio de mantenimiento preventivo o correctivo, deberá ser entregado personalmente en la D.G.T.I. con el oficio de solicitud del servicio, conteniendo la información de identificación del equipo (Marca, Serie, Modelo, N° de Inventario), la firma, sello y autorización del titular del área solicitante. El personal de la D.G.T.I. no está autorizado para retirar, mover, trasladar equipo que se encuentre inventariado y resguardado en otras áreas.

3.6.3 Los servidores públicos deberán asegurarse de respaldar toda la información que se encuentre almacenada en el disco duro previendo la perdida involuntaria de la misma en el proceso de restauración o reparación del equipo.

3.6.4 En caso de no contar con una unidad de almacenamiento con la capacidad requerida la

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

D.G.T.I. proporcionara una unidad provisional al usuario para que realice su respaldo. 3.6.5 La D.G.T.I. no se responsabiliza de la pérdida de información debido a circunstancias

ajenas, como son: variaciones de voltaje, daño lógico o físico en la unidad de respaldo provisional, impericia o desconocimiento del usuario que realizó el respaldo.

3.6.6 Una vez reparado el equipo, el usuario tiene la obligación de verificar que el contenido del su información se encuentre integra, ya que posteriormente será borrada del medio de almacenamiento provisional en un lapso de un mes.

3.6.7 Solo el servidor público D.G.T.I. estará autorizado para cambiar, quitar o instalar software o hardware de la infraestructura tecnológica.

3.7 Pérdida de Equipo

3.7.1 El servidor público que tenga bajo su resguardo algún bien de la infraestructura de las TIC´s, será responsable de su uso y custodia; en consecuencia, responderá por dicho bien de acuerdo a la normatividad vigente en los casos de robo, extravío o pérdida del mismo.

3.7.2 El resguardo para las laptops, tiene el carácter de personal y será intransferible. 3.7.3 El servidor público deberá dar aviso inmediato a la D.G.T.I., Organo Interno de Control y a

la Dirección General de Asuntos Jurídicos de la S.E.P.H. de la desaparición, robo o extravío del equipo de cómputo o accesorios bajo su resguardo.

3.8 Uso de Dispositivos Especiales

3.8.1 El uso de los grabadores de discos compactos es exclusivo para copias de seguridad de software y para respaldos de información que por su volumen así lo justifiquen.

3.8.2 El servidor público que tenga bajo su resguardo cualquier tipo de dispositivo especial será responsable del buen uso que se le dé.

3.8.3 Queda prohibido el uso de módems externos (Banda ancha) en las computadoras de escritorio y equipos portátiles para conectarse a algún servicio de información externo (otras redes o internet).

3.8.4 Si algún área por requerimientos muy específicos del tipo de aplicación o servicio de información, tiene la necesidad de contar con uno de ellos, deberá ser justificado y autorizado por la D.G.T.I.

3.8.5 Las tarjetas inalámbricas u otros dispositivos no se deberán utilizar dentro de las instalaciones de la D.G.T.I. para conectarse a algún servicio de información externo (otras redes o internet).

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

3.9 Daño del Equipo

3.9.1 El valor del daño que sufra un bien de la infraestructura de las TIC´s, por maltrato, descuido o negligencia, deberá ser cubierto por el servidor público que tiene a su resguardo dichobien, quien deberá cubrir el costo total de la reparación o reposición del equipo o accesorio afectado, para tal caso la D.G.T.I. determinará la causa y consecuencia de dicha falla.

4.1 Objetivos del Portal

4.1.1 El sitio institucional de la S.E.P.H. es un espacio que ofrece servicios a los miembros de la comunidad educativa (profesores, personal de apoyo y asistencia a la educación, alumnos y padres de familia) y público en general, los objetivos principales son:

A. Atención digital a la población, con respecto a los trámites y servicios que se ofrecen, así como proporcionar orientación referente a las áreas donde puedan consultar información y los requisitos solicitados.

B. Participación Ciudadana mediante encuestas, Blogs, Foros, salas de charla y el uso de las redes sociales.

4.2 Solicitud de Publicación de Información Emitida por las Áreas

Publicación de la información institucional como convocatorias, programas, temas de interés, información de actividades de las diferentes áreas.

4.2.1 El sitio web de la S.E.P.H. posibilita, a través de Internet, la entrada al uso del blog y foro para la publicación y moderación de la información, el enlace interno de cada área asume la responsabilidad del uso del sitio, Dicha actividad se extiende al registro que fuese necesario para acceder a determinados servicios o contenidos. En dicho registro el enlace será responsable de aportar información veraz y lícita. Como consecuencia de este registro, se le proporcionará una contraseña sobre la que será responsable, comprometiéndose y hacer un uso diligente y confidencial de la misma.

4.2.2 La asignación del servicio de un espacio en el sitio web institucional deberá solicitarse por escrito a la D.G.T.I., con el visto bueno del titular del área.

4.2.3 Una vez autorizado el espacio el titular del área y el responsable de crear la información deberán de firmar el formato de responsabilidad de información en caso de no firmarlo no se realizara dicha publicación.

4.2.4 El enlace interno deberá hacer uso adecuado de los contenidos y servicios (como por ejemplo servicios de foros de discusión o grupos de noticias, galerías) que la S.E.P.H.

4. POLÍTICAS DE ACCESO AL SITIO WEB INSTITUCIONAL

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

ofrece a través de su sitio web. Con carácter enunciativo pero no limitativo, el enlace se compromete a:

A. No emplearlos para incurrir en actividades ilícitas, ilegales o contrarias al orden público o que impliquen mala fe.

B. No difundir contenidos o propaganda de carácter racista, xenófobo, pornográfico, de apología del terrorismo o atentatorio contra los derechos de autor.

C. No usar el espacio otorgado para beneficio propio, lucro, carácter religioso y político. 4.2.5 Al finalizar la publicación del artículo, el enlace considera que dicha información es de

relevancia para la ciudadanía y desea que se muestre en la página principal para que esta sea de fácil acceso, deberá de:

A. Solicitar por escrito dicha petición en la cual deberá especificar en qué parte de la página principal desee que se muestre.

B. Al momento de la recepción del documento la publicación será evaluada por la D.G.T.I. para verificar su importancia, tomando en cuenta la relevancia con respecto a las que se muestren en ese momento y que no interfiera con ninguna de las mismas.

C. Una vez evaluada dicha petición si no existe inconveniente, el acceso a la información (banners, links) será publicado, en caso contrario se les notificaran las alternativas que existen para poder aparecer en la página principal o la negación de la petición.

4.2.6 La D.G.T.I. se reserva el derecho de retirar todos aquellos comentarios y aportaciones que vulneren el respeto a la dignidad de las personas, que sean discriminatorios, xenófobos, racistas, pornográficos, que atenten contra la juventud o la infancia, el orden o la seguridad pública o que, a su juicio, no resultaran adecuados para su publicación. En cualquier caso, la D.G.T.I. no será responsable de las opiniones vertidas por los usuarios a través de los foros, blogs, u otras herramientas de participación.

4.2.7 La D.G.T.I. tiene el derecho de decidir los tiempos de respuesta de las publicaciones que sean solicitadas, siempre manteniendo el contacto con los solicitantes para cualquier inconveniente o retraso que pueda existir.

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

5.1 Política

Los servidores públicos deberán utilizar los mecanismos institucionales para proteger la información que reside y utilizar en la red institucional de la S.E.P.H. De igual forma, deberán proteger la información reservada o confidencial que por necesidades institucionales deba ser almacenada o transmitida, ya sea dentro de la red interna de la S.E.P.H. o hacía redes externas como Internet.

5.2 Uso de Medios de Almacenamiento

5.2.1 Toda solicitud para utilizar un medio de almacenamiento de información compartido (File Share), deberá contar con la autorización del área dueña de la información. El personal que requiera estos medios debe justificar su utilización. Dicha justificación deberá de presentarla a la D.G.T.I., firmada por su Director General de adscripción.

5.2.2 Los servidores públicos deberán respaldar periódicamente la información sensitiva y crítica que se encuentre en sus computadoras personales o estaciones de trabajo.

5.2.3 Los servidores públicos deben conservar los registros o información que se encuentra activa y aquella que ha sido clasificada como reserva o confidencial, en términos de la Ley Estatal de Transparencia y Acceso a la Información Pública Gubernamental.

5.2.4 Las actividades que realicen los servidores públicos en la infraestructura de Tecnología de información de la S.E.P.H., podrán ser registradas y susceptibles de auditoría.

5.3 Instalación de Software

5.3.1 Los servidores públicos que requieran la instalación de software que no sea propiedad de la S.E.P.H., deberán justificar su uso, contar con licencia original y solicitar su autorización a la D.G.T.I., a través de un oficio firmado por su Dirección General de adscripción, indicando el equipo de cómputo donde se instalará el software.

5.3.2 Se considera una falta grave el que los servidores públicos instalen cualquier tipo de programa (software), en sus computadoras, estaciones de trabajo, servidores o cualquier equipo conectado a la red de la S.E.P.H., que no sea original y que no esté autorizado por la D.G.T.I., por lo tanto, la S.E.P.H. no es responsable de dicho acto.

5. POLÍTICAS Y ESTÁNDARES DE SEGURIDAD Y ADMINISTRACIÓNDE OPERACIONES DE CÓMPUTO

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

5.4 Desarrollo de Sistemas de Información

5.4.1 Los sistemas de información desarrollados para la S.E.P.H. serán de su propiedad y tendrán que ser registrados ante la D.G.T.I. en el Inventario de Sistemas de Información como activo de obras de software de la S.E.P.H.

5.4.2 El servidor público que tenga bajo su resguardo o responsabilidad el desarrollo, administración u operación de sistemas de información automatizados, y que deje de prestar sus servicios a la S.E.P.H., debe realizar de manera formal la entrega al jefe inmediato, de la documentación del proyecto, manuales, archivos de código fuente, respaldos, base de datos, cuentas, contraseñas y todo archivo almacenado en medios digitales e impresos que contengan información del sistema.

5.4.3 Los proyectos de desarrollo de sistemas de información deben ser dictaminados por la D.G.T.I.

5.4.4 Las dependencias o áreas de la S.E.P.H. que requieran desarrollar cualquier Sistema de Información se obligan a presentar su justificación ante la D.G.T.I. para su autorización, bajo una visión integral, buscando la sinergia con los sistemas que operan en la S.E.P.H., con la finalidad de lograr su interoperabilidad, así como haber verificado que no exista otro con una funcionalidad similar.

5.4.5 Todas las unidades administrativas de la S.E.P.H. tiene la obligación de informar a la D.G.T.I. la contratación o adquisición del desarrollo de un sistema de información de un proveedor externo y debe apegarse a la normatividad establecida por la D.G.T.I., toda la información compartida, estará sujeta a la firma de una carta de confidencialidad de la información.

5.5 Proyectos de Desarrollo de Sistemas de Información

5.5.1 Los proyectos de desarrollo de sistemas de información deben de considerar lo siguiente: I. Apegarse a la metodología de desarrollo y estándares establecidos por la D.G.T.I.; II. Hacer uso de los catálogos institucionales establecidos y formalizados;

III. Aplicar los lineamientos de imagen institucional establecida;IV. Impulsar la estrategia de oficinas sin papel y enfocar el desarrollo de sistemas de

información preferentemente a la WEB.5.5.2 Todo proyecto de desarrollo de sistemas de información interno o contratado a un

proveedor externo; debe contemplar las etapas de planeación del proyecto, análisis de requerimientos, diseño, codificación, pruebas, implantación, capacitación y generar los siguientes documentos y productos:

I. Documentación; a) Manual técnico;b) Manual de usuario;c) Manual de operación;d) Manual de instalación, configuración y puesta a punto;

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

II. Código fuente desarrollado;III. Código ejecutable;IV. Modelo de base de datos;V. Plan de respaldos;

VI. Plan de pruebas;VII. Programa de capacitación yVIII. Cesión de derechos de autor del sistema a la S.E.P.H.

5.5.3 La D.G.T.I. o unidades administrativas de la S.E.P.H. responsable del desarrollo del sistema de información será la encargada de darle mantenimiento y soporte técnico.

5.6 Identificación del Incidente

5.6.1 El servidor público que sospeche o tenga conocimiento de la ocurrencia de un incidente de seguridad informática, deberá reportarlo a la D.G.T.I., lo antes posible, indicando claramente los datos por los cuales lo considera un incidente de seguridad informática.

5.6.2 Cuando exista la sospecha o el conocimiento de que información confidencial o reservada ha sido revelada, modificada, alterada o borrada sin la autorización, el servidor público deberá notificar por escrito a la D.G.T.I.

5.6.3 Cualquier incidente generado durante la utilización u operación de los activos de las TIC’s, debe ser reportado a la D.G.T.I.

5.7 Administración de la Configuración

5.7.1 Los servidores públicos de las unidades administrativas de la S.E.P.H., no deben establecer redes de área local, conexiones remotas a redes internas o externas, intercambio de información con otros equipos de cómputo utilizando el protocolo de transferencia de archivos (FTP), u otro tipo de protocolo para la transferencia de información empleando la infraestructura de red de la S.E.P.H., sin la autorización de la D.G.T.I.

5.8 Seguridad de la Red Institucional

5.8.1 Será considerado como un ataque a la seguridad tecnológica y una falta grave, cualquier actividad no autorizada por la D.G.T.I., en la cual los servidores públicos realicen la exploración de los recursos tecnológicos en la Red Institucional (RI) de la S.E.P.H., así como de las aplicaciones que sobre dicha red operan, con fines de detectar y explotar una posible vulnerabilidad.

5.8.2 La Red Institucional estará integrada por todos los equipos de comunicaciones de transmisión de voz, datos y video propios de las unidades administrativas.

5.8.3 La unidad administrativa que requiera la conectividad de voz/datos o la incorporación de

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

dispositivos de comunicaciones a la Red Institucional, deberá formular la solicitud correspondiente a la D.G.T.I. quien la validará y dará el visto bueno correspondiente.

5.8.4 Los servidores públicos no podrán modificar ni tener acceso a los distribuidores de cableado de voz/datos para conectar o desconectar nodos, dispositivos o usuarios adicionales.

5.8.5 Cuando se requiera realizar cambios múltiples de conexiones de voz/datos, derivado de reubicación de lugares físicos de trabajo, éstos deberán ser notificados con anticipación a la D.G.T.I. para su análisis a través de un plan detallado de movimientos debidamente autorizados por el Director General del área solicitante.

5.8.6 Es responsabilidad de la D.G.T.I. la asignación de rangos de subredes de IP, de su mapeo y enrutamiento.

5.8.7 La D.G.T.I. es la única autorizada para la asignación y administración de frecuencias en equipos del tipo Access Point y similares en redes locales inalámbricas, ninguna unidad administrativa de la S.E.P.H. podrá hacer uso de estas frecuencias sin autorización correspondiente.

5.8.8 La Administración Operativa de los medios de comunicación convergentes es responsabilidad de la D.G.T.I.

5.8.9 La D.G.T.I. es la única autorizada para la asignación de puertos en los equipos de comunicaciones para aplicaciones convergentes como telefonía IP, Video IP.

5.8.10 No está permitida la conexión a la Red Institucional de sistemas o aparatos de comunicación para servicio de telefonía IP, que no sean autorizados y supervisados por la D.G.T.I.

5.8.11 La D.G.T.I. administrará todos los equipos de tipo firewall o similares que sirvan para establecer el perímetro de seguridad para la Red Institucional. Así mismo, la D.G.T.I. validará y autorizará la incorporación de los equipos de esta naturaleza que se conecten en cualquier segmento de la Red Institucional.

5.8.12 Es atribución de la D.G.T.I. la apertura y cierre de puertos TCP y UDP hacia Internet, a reserva de ser solicitado por escrito para su respectiva evaluación y autorización por parte de la D.G.T.I.

5.8.13 No está permitida la conexión a la Red Institucional de sistemas de acceso a Internet no autorizados por la D.G.T.I.

5.9 Uso del Correo Electrónico Institucional

La apertura de la cuenta de correo electrónico se establece en el presente manual, los términos y condiciones así como la capacidad de la infraestructura tecnológica con la que se cuenta para este servicio, deberá establecerse en los Lineamientos para el Uso del Correo Electrónico Institucional.

5.9.1 Cada dirección evaluará la asignación de una cuenta de correo electrónico institucional a los servidores públicos de la S.E.P.H., en virtud de las funciones que se realicen por parte

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

del mismo. 5.9.2 El correo electrónico institucional es la herramienta de comunicación e intercambio de

información oficial entre servidores públicos, es una herramienta de difusión de información, será usado solamente para el envío/recepción de documentos relacionados con la actividad que se realiza en la Institución.

5.9.3 No deberán utilizarse cuentas de correo electrónico externos para la comunicación e intercambio de información oficial.

5.9.4 Los servidores públicos no deben usar cuentas de correo electrónico asignadas a otras personas, ni recibir mensajes en cuentas de otros. La cuenta de correo asignada a un servidor público es personal e intransferible.

5.9.5 Queda prohibido el uso del correo electrónico institucional proporcionado para la transmisión de información cuyo contenido sea ilegal, peligroso, invasor del derecho a la privacidad, ofensivo a terceros o violatorio de derechos de autor, marcas o patentes.

5.9.6 Los servidores públicos deben tratar los mensajes de correo electrónico y archivos adjuntos como información confidencial de la S.E.P.H. Los mensajes de correo electrónico deben ser manejados como una comunicación privada y directa entre emisor y receptor.

5.9.7 La D.G.T.I se reserva el derecho de revisar las comunicaciones vía correo electrónico de personal que ha comprometido la seguridad, violado políticas de Seguridad Informática de la S.E.P.H. o realizado acciones no autorizadas.

5.9.8 El servidor público debe de utilizar el correo electrónico de la S.E.P.H., única y exclusivamente a los recursos que tenga asignados y las facultades que les hayan sido atribuidas para el desempeño de sus funciones, cargo o comisión, quedando prohibido cualquier otro uso.

5.9.9 Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un servidor público de correo electrónico.

5.9.10 Queda prohibido revelar o ayudar a terceros a interceptar o revelar las comunicaciones electrónicas.

5.10 Uso del Antivirus Institucional

5.10.1 La S.E.P.H. cuenta con licencia institucional de programa antivirus, que deberán tener obligatoriamente instalado y habilitado en todos los equipos de cómputo, principalmente los conectados a la Red Institucional.

5.10.2 Los servidores públicos de la S.E.P.H. no deberán desinstalar, deshabilitar, alterar o eliminar las configuraciones de seguridad del programa antivirus institucional de sus equipos de cómputo, pues esto ocasiona un riesgo de seguridad ante el peligro de virus.

5.10.3 El servidor público deberá comunicarse con la D.G.T.I. en caso de problemas de virus, alertas o detección para buscar la solución y tomar las medidas necesarias.

5.10.4 La administración y soporte técnico para el programa antivirus es responsabilidad de la D.G.T.I. Lo cual contempla actualización automática a través de la Red Institucional, ayuda

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

en limpieza de equipos contaminados, información sobre virus y otras amenazas de tecnologías de la información.

5.11 Controles Contra Código Malicioso

5.11.1 Para prevenir infecciones por virus informático, los servidores públicos de la S.E.P.H., no deben hacer uso de cualquier clase de software que no haya sido proporcionado y validado por la D.G.T.I.

5.11.2 Los servidores públicos de la S.E.P.H., deben ejecutar el programa antivirus autorizado por la D.G.T.I. antes de accesar a la información y los medios de almacenamiento, considerando memorias USB´s, CD´s, DVD´s, etc., para verificar que estén libres de cualquier tipo de código malicioso.

5.11.3 Ningún servidor público de la S.E.P.H., debe intencionalmente escribir, generar, compilar, copiar, propagar, ejecutar o tratar de introducir, código de computadora diseñado para auto replicarse, dañar, o en otros casos, impedir el buen funcionamiento de las TIC´s.

5.11.4 Ningún servidor público o personal externo, podrá bajar o descargar software de sistemas, mensajería instantánea y redes de comunicaciones externas, sin la debida autorización de la Dirección General correspondiente, con conocimiento de la D.G.T.I.

5.12 Acceso a Internet

5.12.1 El acceso a internet proveído a los servidores públicos de la S.E.P.H., es exclusivamente para las actividades relacionadas con las necesidades del puesto y función que desempeña.

5.12.2 La asignación del servicio de internet, deberá solicitarse por escrito a la D.G.T.I., justificando los sitios o dominios para su uso estrictamente oficial, con el visto bueno del titular de la Subsecretaria o Dirección General.

5.12.3 Todos los accesos a Internet tienen que ser realizados a través de los canales de acceso provistos por la S.E.P.H., en caso de necesitar una conexión a Internet especial externa, esta tiene que ser solicitada, justificada y aprobada por la D.G.T.I.

5.12.4 El acceso y uso de módems externos en la S.E.P.H., tiene que ser previamente autorizado por la D.G.T.I.

5.12.5 Los servidores públicos que cuentan con el servicio de navegación en Internet, al aceptar el servicio están aceptando que: I. Serán sujetos de monitoreo de las actividades que realizan en Internet.

II. Saben que existe la prohibición al acceso de páginas no autorizadas (páginas de tipopornográfico, de descarga no autorizada, radio, blogs, videos, redes sociales, serviciosde chat’s o mensajeros, juegos, humor, viajes, compras, etc.), por lo que, la D.G.T.I.se encuentra facultada para bloquear todos aquellos sitios de Internet que considereque no son compatibles con las labores de los servidores públicos, en caso de existir

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

excepciones por causas debidamente justificadas, este deberá presentar la solicitud por oficio exponiendo y justificando las causas de la excepción ante la D.G.T.I.

III. Saben que existe la prohibición de transmisión de archivos reservados oconfidenciales.

IV. Saben que existe la prohibición de descarga de software sin la autorización de laD.G.T.I.

V. La utilización de Internet, es para el desempeño de su función y puesto en la S.E.P.H. y no para propósitos personales.

VI. La D.G.T.I. autorizará el uso del servicio de FTP solamente a aquellos servidorespúblicos que lo justifiquen, siempre y cuando los sitios a acceder sean seguros.

VII. El uso y acceso al servicio de mensajería instantánea, video, descargas y redessociales, estará sujeto a la autorización de la D.G.T.I.

VIII. La D.G.T.I. sólo autorizará el acceso al servicio de internet (vía alambrica oinalámbrica) de equipos de cómputo que son propiedad de la S.E.P.H.

IX. La D.G.T.I. se encuentra facultada para bloquear el acceso a internet temporal opermanente al servidor público que por mal uso, genere una amenaza para laseguridad e integridad de la Red Institucional.

6.1 Política

Cada servidor público es responsable del mecanismo de control de acceso que le sea proporcionado, esto es, de su nombre de usuario y contraseña necesarios para acceder a la información y a la Red Institucional de la S.E.P.H., por lo cual deberá mantenerlo de forma confidencial.

El permiso de acceso a la información que se encuentra en la infraestructura tecnológica de la S.E.P.H., debe ser proporcionado por el dueño de la información, con base en el principio de la “necesidad de saber”, el cual establece que únicamente se deberán otorgar los permisos mínimos necesarios para el desempeño de sus funciones.

6.2 Controles de Acceso Lógico

6.2.1 El acceso a la red institucional de la S.E.P.H., para personal externo debe ser autorizado por la D.G.T.I.

6.2.2 Está prohibido que los servidores públicos utilicen la red institucional, para obtener acceso

6. POLÍTICAS Y ESTÁNDARES DECONTROLES DE ACCESO LÓGICO

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

no autorizado a la información u otros sistemas de información de la S.E.P.H. 6.2.3 Todos los servidores públicos que hagan uso de servicios tecnológicos son responsables

del nombre de usuario y contraseña que reciben para el uso y acceso a los recursos a través de la red institucional.

6.2.4 Los servidores públicos no deben proporcionar información a personal externo, de los mecanismos de control de acceso a las instalaciones y red institucional de la S.E.P.H., a menos que se tenga la autorización de la unidad administrativa correspondiente y de la D.G.T.I.

6.2.5 Cada servidor público que accede a la red institucional de la S.E.P.H., debe contar con un nombre de usuario (UserID), único y personalizado y una contraseña. Los servidores públicos son responsables de todas las actividades realizadas con su nombre de usuario (UserID) y no deben divulgar ni permitir que otros utilicen su nombre de usuario, al igual que tienen prohibido utilizar el UserID de otros servidores públicos.

6.3 Administración de Privilegios

6.3.1 Cualquier cambio en los roles y responsabilidades de los servidores públicos que modifique sus privilegios de acceso a la Red Institucional de la S.E.P.H., deberán ser notificados a la D.G.T.I. con el visto bueno de su Director General.

6.4 Administración y Uso de Contraseñas

6.4.1 La asignación de contraseñas debe ser realizada de forma individual, por lo que el uso de contraseñas compartidas está prohibido.

6.4.2 Cuando un servidor público olvide, bloquee o extravíe su contraseña, deberá levantar un reporte a la D.G.T.I., para que se le proporcione una nueva contraseña.

6.4.3 La obtención o cambio de contraseñas debe hacerse de forma segura, el servidor público deberá acreditarse ante la D.G.T.I. como empleado de la S.E.P.H.

6.4.4 Está prohibido que las contraseñas se encuentren de forma legible en cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlos.

6.4.5 Sin importar las circunstancias, las contraseñas nunca se deben compartir o revelar, hacer esto responsabiliza al servidor público que prestó su contraseña de todas las acciones que se realicen con la misma.

6.4.6 Todos los servidores públicos deberán observar los siguientes lineamientos para la construcción de sus contraseñas:

I. Deben estar compuestos de al menos ocho (8) caracteres y máximo diez (10), estos caracteres deben ser al menos una mayúscula y al menos un número o carácter especial.

II. Deben ser difíciles de descifrar, esto implica que las contraseñas no debenrelacionarse con el trabajo o la vida personal del servidor público, y no debencontener caracteres que expresen listas secuenciales y caracteres de control.

III. No deben ser idénticos o similares a contraseñas que hayan usado previamente.

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

6.4.7 Todo servidor público que tenga la sospecha de que su contraseña es conocida por otra persona, deberá ser reportada a la D.G.T.I. y se procederá a su cambio inmediato.

6.4.8 Los cambios o desbloqueo de contraseñas deberán ser solicitados a la D.G.T.I.

6.5 Control de Accesos Remotos

6.5.1 Está prohibido el acceso a redes externas usando la infraestructura de red de la S.E.P.H., cualquier excepción deberá ser documentada y contar con el visto bueno de la D.G.T.I.

6.5.2 La administración remota de equipos conectados a internet no está permitida, salvo que se cuente con la autorización y con un mecanismo de control de acceso seguro autorizado por la unidad administrativa correspondiente y de la D.G.T.I.

6.6 Violaciones de Seguridad de las TIC´s

6.6.1 Está prohibido el uso de herramientas de hardware o software para realizar pruebas o violar los controles de seguridad de las TIC´s.

7.1 Política

Regular y fomentar el uso de las TIC´s, que se utilicen en la realización de los programas y actividades así como contribuir a la mejora e implementación de nuevas soluciones que den respuesta a las necesidades y problemáticas de la S.E.P.H.

7.2 Solicitud de Bienes y Suministros Emitida por las Diferentes Áreas

7.2.1 La solicitud para la adquisición de bienes y/o suministros de tecnologías de información, se realizará mediante la requisición correspondiente emitida por la unidad administrativa, debiendo ser entregada en tiempo y forma solicitando el visto bueno de la D.G.T.I, debiendo estar acompañada del proyecto o justificación que le de sustento, sujeto a los lineamientos establecidos.

7.3 Elaboración de Anexo Técnico

7.3.1 Corresponde a ésta D.G.T.I. emitir las características técnicas del equipo de cómputo que

7. POLÍTICA DE ANÁLISIS Y EVALUACIÓN DE ADQUISICIÓN DEBIENES Y SUMINISTROS DE TECNOLOGÍAS DE INFORMACIÓN

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

las diferentes unidades administrativas de la S.E.P.H. pretenden adquirir, conforme a sus necesidades y a los requerimientos necesarios para soportar los sistemas y la infraestructura con la que cuenta la S.E.P.H., a través de un Anexo Técnico que será entregado y acompañado a la requisición validada.

7.4 Requerimientos Mínimos

7.4.1 Los equipos de cómputo que se adquieran, deberán tener instalado y activado, al menos, el Office y el Sistema Operativo Windows 7 Profesional o versiones posteriores, ambos con licencia original, en español y con discos de restauración e instalación.

7.5 Evaluación y Emisión de Análisis Técnico

7.5.1 Es competencia de la D.G.T.I. analizar, evaluar y emitir un Análisis Técnico, de las propuestas técnicas presentadas por los proveedores en los procesos de adquisición de bienes y suministros tecnológicos implícitos en las partidas del catálogo de artículos correspondientes a: material para bienes tecnológicos, equipo educacional y recreativo, materiales de grabación, material electrónico, refacciones y accesorios menores de equipo de cómputo y tecnologías de la información, bienes tecnológicos, equipos y aparatos de comunicación y telecomunicación, software y licencias informáticas e intelectuales.

7.6 Altas, Bajas y Modificaciones en el Catálogo

7.6.1 Todo artículo que se desee modificar, agregar o eliminar, del catálogo de artículos correspondiente a cualquiera de las partidas descritas en el párrafo anterior, deberá ser con conocimiento y visto bueno de la D.G.T.I.

7.7 Valoración y Diagnóstico de Equipos

7.7.1 Una vez que el proveedor realice la entrega de los bienes adquiridos, a través del formato correspondiente, se llevará a cabo la valoración y diagnóstico físico de la infraestructura de las TIC´s, verificando que correspondan con las características solicitadas.

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

8.1 Política

La D.G.T.I. tiene como una de sus funciones la de proponer y revisar el cumplimiento de normas y políticas de seguridad, que garanticen acciones preventivas y correctivas para la salvaguarda de equipos e instalaciones de cómputo, así como de bancos de datos de información automatizada en general.

8.2 Derechos de Propiedad Intelectual

8.2.1 Está prohibido por las leyes de derechos de autor y por la S.E.P.H., realizar copias no autorizadas de software, ya sea adquirido o desarrollado por la S.E.P.H.

8.2.2 Los sistemas desarrollados por personal interno o externo que controle la D.G.T.I., son propiedad intelectual de la S.E.P.H.

8.3 Revisiones del Cumplimiento

8.3.1 La D.G.T.I., realizará acciones de verificación del cumplimiento del presente Manual de Políticas y Estándares del Uso de las Tecnologías de la Información y Comunicaciones, para servidores públicos de S.E.P.H., de acuerdo a lo establecido en su ámbito de competencia.

8.3.2 La D.G.T.I., podrá implantar mecanismos de control que permitan identificar tendencias en el uso de recursos tecnológicos, y en caso de que sea detectado el mal uso, será considerado como una falta grave.

8.3.3 Las unidades administrativas responsables de los procesos establecidos en la S.E.P.H., deben apoyar las revisiones del cumplimiento de los sistemas con las políticas y estándares del Uso de las Tecnologías de la Información y Comunicaciones.

8.3.4 Con la finalidad de no generar irregularidades en el proceso administrativo en la adquisición de infraestructura de TIC´s, los servidores públicos que incumplan las disposiciones establecidas en el presente, estarán sujetos a las sanciones establecidas por la Ley de Responsabilidades de los Servidores Públicos del Estado de Hidalgo, sin perjuicio de las sanciones de índole civil o penal en las que se pudieran incurrir.

8. POLÍTICAS Y ESTÁNDARES DE CUMPLIMIENTO

DE SEGURIDAD INFORMÁTICA

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

Para construir un marco normativo lo suficientemente robusto que sirva de base para la implantación de esquemas de seguridad presentes y futuros que ayuden a proteger los activos de información existentes dentro de la S.E.P.H., se requiere aplicar un proceso de mejora continua de la seguridad informática.

La D.G.T.I. se encuentra facultada para realizar modificaciones al presente manual y tratar los asuntos relacionados con la gestión de tecnologías de información y comunicaciones no previstas en el mismo, siempre y cuando se tenga la aprobación por parte de el Secretario de Educación Pública del Estado en virtud de las necesidades especiales por una o más áreas de la S.E.P.H., que serán puestos a consideración y resueltos en su caso por la D.G.T.I.

En la Ciudad de Pachuca de Soto, Hgo., a 1° del mes de agosto del año dos mil doce.

EL SECRETARIO DE EDUCACION PÚBLICA DE HIDALGO PROFR. JOEL GUERRERO JUÁREZ.

9. MEJORA CONTÍNUA

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

Es una recopilación de palabras claves que se encuentran en el documento, las cuáles pueden ser términos técnicos, o bien palabras con un significado especial para el proceso definido. Su objetivo es lograr que se maneje un mismo concepto y evitar cualquier tipo de confusión para el correcto entendimiento del documento. Su estructura deberá ser por en orden alfabético y la definición de los términos de forma deberá ser clara y breve.

Se recomienda marcar en el documento con negritas o en cursiva las palabras claves que puedan causar mayor conflicto para el entendimiento general del proceso.

A

TÉRMINO SIGNIFICADO

Acceso Tipo específico de interacción entre un sujeto y un objeto que resulta en el flujo de información de uno a otro. Es el privilegio de un sujeto para utilizar un objeto.

Acceso Físico Es la actividad de ingresar a un área.

Acceso Lógico Es la habilidad de comunicarse y conectarse a un activo tecnológico para utilizarlo, o bien usar su información.

Acceso Remoto Conexión de dos dispositivos de cómputo, ubicados en diferentes lugares físicos por medio de líneas de comunicación, ya sean telefónicas o por medio de redes de área amplia que permiten el acceso de aplicaciones e información de la red. Este tipo de acceso normalmente viene acompañado de un sistema robusto de autenticación.

Aplicación Acción que se realiza a través de un programa de manera directa con el usuario. Navegadores, chat, correo electrónico, etc. Son algunos ejemplos de aplicaciones en el medio de Internet.

Antivirus Programa que busca y eventualmente elimina los virus tecnológicos que pueden haber infectado un disco duro o medio de almacenamiento externo.

Archivo Una colección identificada de registros relacionados.

10. Glosario de términos

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

Autorización Es el proceso de asignar a los usuarios, permisos para realizar actividades de acuerdo a su perfil o puesto.

B

Base de Datos Colección almacenada de datos relacionados, requeridos por las organizaciones e individuos para que se cumplan con los requerimientos de proceso de información y recuperación de datos.

C

CD Medio de almacenamiento de información.

Código Malicioso Software o firmware que es intencionalmente introducido en un sistema con un fin malicioso o no autorizado. Un caballo de Troya es ejemplo de un código malicioso

Comprimir (zip, rar) Reducir el tamaño de los archivos sin que éstos pierdan nada de su información. Zip es el nombre de la extensión que contiene un archivo comprimido.

Computadora Es un conjunto de dispositivos electrónicos que forman una máquina electrónica capaz de procesar información siguiendo instrucciones almacenadas en programas.

Confidencialidad Se refiere a que la información no sea divulgada a personal no autorizado para su conocimiento

Control de Acceso Es un mecanismo de seguridad diseñado para prevenir, salvaguardar y detectar acceso no autorizado y permitir acceso autorizado a un activo tecnológico

Copyright Derecho que tiene un autor, incluido el autor de un programa informático, sobre todas y cada una de sus obras y que le permite decidir en qué condiciones han de ser reproducidas y distribuidas. Aunque este derecho es legalmente irrenunciable puede ser ejercido de forma tan restrictiva o tan generosa como el autor decida. El símbolo de este derecho es ©

Correo Electrónico o Email La funcionalidad es similar a usar el correo normal, pero ahora el individuo, puede utilizar una computadora y un software para enviar mensajes o paquetes a otro individuo o grupo de personas a una dirección específica a través de la red o internet.

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

Cuentas de Usuario Es un identificador, el cual es asignado a un usuario del sistema para el acceso y uso de la computadora, sistemas, aplicaciones, red, etc.

D

Descargar Acción de bajar información computarizada de una red o internet a un equipo de cómputo.

Descomprimir (unzip) Acción que se lleva a cabo después de haber comprimido un archivo para regresarlo a su estado original.

Discos Ópticos Los discos ópticos son medios de almacenamiento de información que presentan una capa interna protegida, donde se guardan los bits, mediante el uso de un rayo láser, este al ser reflejado, permite detectar variaciones microscópicas de propiedades “óptico-reflectivas”, ocurridas como consecuencia de la grabación realizada en la escritura. Un sistema óptico con lentes encamina el haz luminoso, y lo enfoca como un punto en la capa del disco que almacena los datos.

Disponibilidad Se refiere a que la información esté disponible en el momento que se requiera

Dominio Conjunto de caracteres que identifica y diferencian los diferentes sitios Web.

E

Encriptación Proceso matemático donde los datos de un mensaje, por seguridad, son codificados para protegerlos de accesos no deseados. El término encriptación como tal, no existe en el lenguaje español, el término correcto es cifrado de datos.

Estándar Los estándares son actividades, acciones, reglas o regulaciones obligatorias diseñadas para proveer a las políticas de la estructura y dirección que requieren para ser efectivas y significativas.

F

Falta administrativa Es la consecuencia que resulta del incumplimiento de la normatividad

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

Freeware (Software Libre) Programas que se pueden bajas desde internet sin cargo.

FTP Protocolo de transferencia de Archivos. Es un protocolo estándar de comunicación, que proporciona un camino simple para extraer y colocar archivos compartidos entre computadoras sobre un ambiente de red.

G

Gusano Programa de computadora que puede replicarse a si mismo y enviar copias de una computadora a otra, a través de conexiones de la red, antes de su llegada al nuevo sistema, el gusano debe estar activado para replicarse y propagarse nuevamente, además de la propagación, el gusano desarrolla en los sistemas de cómputo funciones no deseadas.

H

Hardware Se refiere a la características técnicas y físicas de las computadoras

Herramientas de seguridad Son mecanismos de seguridad automatizados, que sirven para proteger o salvaguardar a la infraestructura tecnológica de una D.G.T.I.

I

Impacto Magnitud del daño ocasionado a un activo en caso de que se materialice una amenaza.

Incidente de seguridad Cualquier evento que represente un riesgo para la adecuada conservación de la confidencialidad, integridad o disponibilidad de la información utilizada en el desempeño de nuestra función.

Integridad Se refiere a la pérdida o deficiencia en la autorización, totalidad o exactitud de la información de la organización. Es un principio de seguridad que asegura que la información y los sistemas de información no sean modificados de forma intencional o accidental.

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

Internet o World Wide Web (www)

Es un sistema a nivel mundial de computadoras conectadas a una misma red, conocida como la red de redes, en donde cualquier usuario consulta información de otra computadora conectada a esta red e incluso sin tener permisos necesarios acceder a dichos activos.

Intrusión Es la acción de introducirse o acceder sin autorización a un archivo tecnológico.

L

Lenguaje de Programación Sistema de escritura para la descripción precisa de algoritmos o programas tecnológicos.

M

Maltrato, descuido o negligencia

Son todas aquellas acciones que de manera voluntaria o involuntaria el usuario ejecuta y como consecuenciadaña los recursos tecnológicos propiedad de la S.E.P.H.

Mecanismos de seguridad o de control

Es un control manual o automático para proteger la información, activos tecnológicos, instalaciones, etc. Que se utiliza para disminuir la probabilidad de que una vulnerabilidad exista, sea explotada, o bien ayude a reducir el impacto en caso de que sea explotada.

Mecanismos de seguridad o de control

Es un control manual o automático para proteger la información, activos tecnológicos, instalaciones, etc. Que se utiliza para disminuir la probabilidad de que una vulnerabilidad exista, sea explotada, o bien ayude a reducir el impacto en caso de que sea explotada.

Metodología Es un conjunto de procedimientos ordenados y documentados que son diseñados para alcanzar un objetivo en particular y comúnmente son divididos en fases o etapas de trabajo previamente definidas.

Módem Es un aparato electrónico que se adapta una terminal o computadora y se conecta a una red decomunicaciones (red telefónica). Los módems convierten los pulsos digitales de una computadora en frecuencias dentro de la gama de audio del sistema telefónico. Cuando actúa en calidad de receptor, un módem decodifica las frecuencias entrantes.

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

N

“Necesidad de saber”, principio o base

Es un principio o base de seguridad que declara que los usuarios deben tener exclusivamente acceso a la información, instalaciones o recursos tecnológicos de información entre otros que necesitan para realizar o completar su trabajo, cumpliendo con sus roles y responsabilidades dentro de la D.G.T.I.

Nodo Punto principal en el cual se les da acceso a una red a las terminales o computadoras.

Normatividad Conjunto de lineamientos que deberán seguirse de manera obligatoria para cumplir un fin dentro de una organización.

P

Página Web Ver sitio Web

Parche (patch) Un parche (algunas veces llamado Fix), son piezas de programación que representan una solución rápida al software o sistema, para incrementar la seguridad o incrementar la funcionalidad del mismo.

Password Contraseña. Secuencia de caracteres utilizados para determinar que un usuario específico requiere acceso a un computadora personal, sistema, aplicación o red en particular. Típicamente está compuesto de 6-10 caracteres alfanuméricos.

R

RI Red Institucional

S

Servidor Computadora que responde peticiones o comandos de una computadora cliente. El cliente y el servidor trabajan conjuntamente para llevar a cabo funciones de aplicaciones distribuidas. El servidor es el elemento que cumple con la colaboración en la arquitectura cliente-servidor.

Sitio Web El sitio Web es un lugar virtual en el ambiente de Internet, el cual proporciona información diversa para el interés del público, donde los usuarios deben proporcionar la dirección de dicho lugar para llegar a el.

de 35


Tel(s). (01 771) 717 35 40. Fax.: 771 717 36 50

Software Programas y documentación de respaldo que permite y facilita el uso de la computadora. El software controla la operación del hardware.

Software Antivirus Aplicaciones que detectan, evitan y posiblemente eliminan todos los virus conocidos, de los archivos ubicados en el disco duro y en la memoria de las computadoras.

Switch Dispositivo de red que filtra y direcciona paquetes a las direcciones destinatarias. El switch opera en la capa de enlace de datos del modelo OSI.

T

Tarjeta Es una tarjeta de plástico del tamaño de una tarjeta de crédito. Que incorpora un microchip, en el cual se puede cargar datos como números telefónicos anteriormente llamados, pagos realizados a través de medios electrónicos y otro tipo de aplicaciones, las cuales pueden ser actualizadas para usos adicionales.

TIC´s Tecnologías de la información y comunicaciones digitales.

U

User-ID (Identificación de usuario)

Se denomina al nombre de usuario con el cual accedemos a una página o sistema en el que previamente nos hemos registrado. Este nombre puede estar compuesto de letras, números o signos.

Usuario Este término es utilizado para distinguir a cualquier persona que utiliza algún sistema, computadora personal, o dispositivo (hardware).

V

Virus Programas o códigos maliciosos diseñados para esparcirse y copiarse de una computadora a otra por medio de los enlaces de telecomunicaciones o al compartir archivos o diskettes de computadoras.

Vulnerabilidad Es una debilidad de seguridad o hueso de seguridad, el cual indica que el activo es susceptible a recibir un daño a través de un ataque, ya sea intencionado o accidental.

Página 1 de 35 - Secretaría de Educación Pública

Documents

Transcript of Página 1 de 35 - Secretaría de Educación Pública