DESCRIPCIÓN:
Es el proceso de administrar la infraestructura de Tecnologías de la Información y Comunicaciones, de acuerdo a la Normatividad establecida, para regular su uso y mantener la integridad y confidencialidad de la información Institucional.
OBJETIVO DE APRENDIZAJE:
Al finalizar el módulo el participante conocerá y aplicará la normatividad y procedimientos establecidos en materia de seguridad informática en el uso de los equipos.
TEMARIO:
- Norma 5000-001-001 de Seguridad Informática
- Procedimientos de Instalación, configuración y actualización de elementos de seguridad
DURACIÓN:
4 horas
REQUISITOS:
Curso de Introducción a las Microcomputadoras
Norma 5000-001-001 de Seguridad Informática.
1. ¿Que es una Norma?
“Es un documento establecido por consenso y aprobado por un organismo reconocido que establece, para usos comunes y repetidos, reglas, criterios o características para las actividades o sus resultados, que procura la obtención de un nivel optimo de ordenamiento en un contexto determinado”.
Derivado de esta definición entenderemos a la Norma 5000-001-001 como el documento que establece las disposiciones mínimas a las que deberán ajustarse los usuarios y administradores en el uso de los servicios informáticos dentro del Instituto Mexicano del Seguro Social.
2. Disposiciones de Carácter General.
Están obligados a acatar las disposiciones generales de la Norma:
- Todo el personal del Instituto Mexicano del Seguro Social
- Personal Externo que administre o desarrolle sobre infraestructura del IMSS
Los responsables de la difusión y vigilancia de la Norma:
- En el ámbito Delegacional será a través del Coordinador Delegacional de Informática.
- En el ámbito de Nivel Central será a través de la Dirección de Innovación y Desarrollo Tecnológico mediante su Coordinaciones y respectivas Divisiones.
INDICE
| No. | Capítulo | Pág. |
| 1.- | Objetivo____________________________________________________ | 6 |
| 2.- | Ámbito de aplicación_________________________________________ | 6 |
| 3.- | Sujetos de la norma__________________________________________ | 6 |
| 4.- | Responsables de la aplicación de la norma________________________ | 6 |
| 5.- | Definiciones_________________________________________________ | 7 |
| 6.- | Documentos de referencia_____________________________________ | 12 |
| 7.- | Disposiciones_______________________________________________ | 13 |
| 7.1 De carácter general__________________________________ | 13 | |
| 7.2 Para el uso de la infraestructura y servicios informáticos_____ | 15 | |
| 7.3 Para la información que se almacena, procesa y transmite por medios electrónicos__________________________________ | 20 | |
| 7.4 De la administración de infraestructura y servicios informáticos________________________________________ | 23 |
Con fundamento en lo dispuesto en los artículos 5 y 74, fracción II, del Reglamento Interior del Instituto Mexicano del Seguro Social, publicado en el Diario Oficial de la Federación el 18 de septiembre de 2006, así como el numeral 7.6.1 de la Norma que Establece las Disposiciones para la Elaboración, Autorización e Implantación de Normas en el Instituto Mexicano del Seguro Social, aprobada mediante Acuerdo 54/2003 por el Consejo Técnico del propio Instituto en sesión celebrada el 19 de febrero de 2003, se expide la siguiente:
NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE SEGURIDAD INFORMATICA EN EL INSTITUTO MEXICANO DEL SEGURO SOCIAL
1 Objetivo
Esta Norma define las disposiciones mínimas a las que deberán ajustarse los usuarios y administradores en el uso, administración, desarrollo y mantenimiento de la Infraestructura y servicios informáticos del Instituto Mexicano del Seguro Social.
2 Ámbito de aplicación
La presente norma es de observancia obligatoria para la Secretaría General, Órganos Superiores, Normativos, Colegiados, de Operación Administrativa Desconcentrada y Operativos del Instituto Mexicano del Seguro Social, definidas en el artículo 2 del Reglamento Interior del Instituto.
3 Sujetos de la norma
Los usuarios, administradores y desarrolladores a nivel central y delegacional que hagan uso, administren o desarrollen sistemas, infraestructura o servicios informáticos para el Instituto Mexicano del Seguro Social.
4 Responsables de la aplicación de la norma
Las Coordinaciones de la Dirección de Innovación y Desarrollo Tecnológico a nivel central y las Coordinaciones Delegacionales de Informática a nivel delegacional del Instituto Mexicano del Seguro Social.
5 Definiciones
Para efectos de la presente norma se entenderá por:
5.1 administrador: son todas aquellas personas responsables de mantener la disponibilidad y la funcionalidad de la infraestructura y servicios Institucionales de acuerdo a las necesidades de operación del Instituto Mexicano del Seguro Social.
5.2 ambiente de trabajo: se refiere al conjunto de herramientas, utilerías, programas, aplicaciones e información que un usuario tiene disponible para el desempeño de sus funciones de manera controlada, en relación con los privilegios de su cuenta.
5.3 amenazas: es una condición causada por una mala configuración o instalaciones realizadas con opciones por omisión, que permite explotar vulnerabilidades de una entidad atentando contra las propiedades de confidencialidad, disponibilidad e integridad de la información.
5.4 análisis de protocolos: software que permite conocer los paquetes que conforman la información durante los procesos de comunicación, procesamiento o manipulación de datos, mediante la separación de estas partes.
5.5 antivirus: software especializado diseñado para detectar, eliminar y prevenir virus informáticos en los dispositivos de la red Institucional.
5.6 aplicaciones institucionales: son todos los sistemas desarrollados por personal interno y externo para automatizar los procesos operativos del Instituto Mexicano del Seguro Social.
5.7 bases de datos: es un conjunto estructurado de datos, gestionado bajo el control de un Manejador de Bases de Datos, el cual se encarga de controlar el acceso concurrente, evitar redundancia, cumplimiento de las restricciones y reglas de integridad, usar elementos que aceleren el acceso físico a los datos (índices, agrupamientos, funciones de dispersión, …), distribuir los bloques del disco del modo más adecuado para el crecimiento y uso de los datos, controlar el acceso y los privilegios de los usuarios, recuperar ante fallos, entre otros.
5.8 biblioteca de programas: es una colección o conjunto de archivos que contienen código, desarrollados por un mismo fabricante bajo ciertos criterios, mismo que suelen ser compatibles e interoperables entre sí.
5.9 cadenas: son mensajes enviados a través del servicio de correo electrónico que se caracterizan por solicitar dentro del cuerpo del mismo ser enviados a cierta cantidad de personas, con el fin de obtener algo a cambio.
5.10 cifrar: es el proceso de transformar un mensaje para ocultar su contenido, de tal manera que el receptor sea la única persona que pueda recuperar el mensaje original.
5.11 configuración de red: son los valores asignados y las opciones habilitadas para la operación de la tarjeta de red de un equipo de cómputo dentro de la red del Instituto Mexicano del Seguro Social.
5.12 contraseña de encendido: es la contraseña asignada por el usuario, necesaria para que un equipo de cómputo inicie el proceso normal de encendido, y por lo tanto, la inicialización del Sistema Operativo.
5.13 correo electrónico: son el grupo de tecnologías encaminadas a dar un servicio que agiliza y facilita el intercambio de mensajes, documentos e información.
5.14 cuenta: es el identificador único y personal que está asociado a un usuario, mismo que en conjunto con una contraseña permite el acceso a recursos o servicios institucionales.
5.15 contraseña: son una serie de caracteres que en conjunto con una cuenta (nombre de usuario) permiten el acceso a los recursos o servicios institucionales, misma que debe ser difícil de generar por todas las personas a excepción del dueño de la cuenta.
5.16 confidencialidad: es uno de los servicios de seguridad en la información, el cual está encaminado a revelar el nivel y el tipo de información únicamente a las entidades autorizadas para acceder a la misma.
5.17 cintas: es un dispositivo de almacenamiento basado en una bobina magnética que requiere de un lector/reproductor especial.
5.18 cartucho: sistema de almacenamiento que incluye una cinta magnética sin fin, lo que le permite mayor velocidad que las cintas magnéticas tradicionales y la posibilidad de ser manejado por un sistema automatizado que no requiera la intervención de un operador.
5.19 CD: es un dispositivo de almacenamiento óptico que requiere de un dispositivo de grabado, el cual utiliza un láser para imprimir puntos sobre la superficie brillante, mismas que al ser leídas con un láser de menor intensidad, son transformadas en cadenas de bits.
5.20 compilador: es un programa que genera lenguaje máquina a partir de un lenguaje de programación.
5.21 desarrollador: es aquella persona que tiene acceso a la infraestructura o servicios informáticos institucionales de manera autorizada, misma que cuenta con los conocimientos necesarios para diseñar, construir y probar aplicaciones para automatizar la operación Institucional.
5.22 dial-up: acceso remoto comúnmente usado para Internet utilizando un MODEM y una línea telefónica.
5.23 diskette: dispositivo de almacenamiento basado en un disco magnético de pequeñas dimensiones y baja capacidad. Los disquetes se introducen en un drive para su lectura y grabación mediante el uso de una o varias cabezas lectoras-grabadoras magnéticas.
5.24 disponibilidad: es uno de los servicios de seguridad en la información, encaminado a mantener los servicios habilitados y listos para su uso en el momento en que sean requeridos por los usuarios.
5.25 extensión: es el sufijo, o nombre adicional que se le da a un archivo tal como “.XXX”, el cual caracteriza el formato por el que se genera, donde “.XXX” representa un número limitado de caracteres alfanuméricos dependiendo del sistema operativo, normalmente tiene tres caracteres pero esto es susceptible de variación.
5.26 firmware: parte del software de una computadora que no puede modificarse por encontrarse en la ROM o memoria de sólo lectura, «Read Only Memory», es una mezcla o híbrido entre el hardware y el software, es decir tiene parte física y una parte de programación consistente en programas internos implementados en memorias no volátiles.
5.27 firewall: es el dispositivo físico que permite crear una barrera entre la red interna y red externa, permitiendo el acceso entre las redes de acuerdo a las políticas de seguridad definidas en su configuración.
5.28 generador de contraseñas: es un dispositivo físico que permite fabricar códigos (contraseñas) de referencia secretos en función de parámetros o características deseables en periodos de tiempo definidos.
5.29 hardware: son los componentes físicos que conforman un equipo de cómputo.
5.30 infraestructura: son todos los componentes que soportan los servicios informáticos institucionales.
5.31 Instituto: Instituto Mexicano del Seguro Social
5.32 internet: conjunto de redes de computadoras y equipos físicamente unidos a través de medios alámbricos o inalámbricos que unen redes o equipos en todo el mundo.
5.33 integridad: es uno de los servicios de seguridad que establece, que la información durante su procesamiento, manipulación o transmisión, no sea modificada en contenido, de manera que conserve su originalidad.
5.34 lista de control de acceso: es una lista donde se asignan permisos de acceso a los archivos y directorios por usuario.
5.35 mesa de ayuda: es el único punto de contacto encargado de recibir todas aquellas incidencias de usuarios relacionados con problemas recurrentes, el objetivo de esta mesa de ayuda es darle lo más pronto posible solución a los usuarios, mediante la escalación del problema a el área correspondiente.
5.36 mensajería instantánea: son aplicaciones o software que permite comunicarse, o enviar mensajes al instante, así como, intercambio de archivos.
5.37 macros: son todos aquellos programas que se ejecutan dentro de otros programas como word o excel para automatizar tareas, su uso elimina la realización de tareas repetitivas, automatizándolas, básicamente, se trata de un grupo de comandos de una aplicación, organizados según un determinado juego de instrucciones y cuya ejecución puede ser solicitada una sola vez para realizar la función que se desea.
5.38 periféricos: son todos los dispositivos que están conectados físicamente a la computadora.
5.39 Plan de Contingencias Institucional: se trata del documento en el que se plantea la estrategia, el personal y el conjunto de actividades que se requieren realizar para recuperar por completo o parte de un servicio, localidad o proceso Institucional crítico en caso de que se presente un desastre. Dentro de este documento se establecen de igual manera las actividades, roles y responsabilidades para regresar a la normalidad una vez resuelto el incidente.
5.40 protector de pantalla: se trata de un programa que se ejecuta automáticamente después de que el ratón y el teclado han estado inactivos por un periodo de tiempo determinado. Las razones principales de la existencia de tales programas son:
– Para evitar que el recubrimiento fosforescente del monitor se marque como consecuencia de dejar una imagen estática por un tiempo prolongado.
– Para proteger información sensible desplegada en la pantalla del monitor en ausencia del operador de la computadora.
5.41 rebobinamiento: se refiere a la acción de regresar una cinta magnética, a un punto físico previo a aquel en el que se ubicaba en el momento de iniciar el procedimiento, pudiendo ser hasta el inicio de la misma.
5.42 seguridad informática: es el conjunto de normas, políticas, procedimientos, estándares mínimos que deben ser considerados en el desarrollo, implementación y operación de los sistemas y servicios informáticos, con la finalidad de garantizar la integridad, confidencialidad, autenticación y disponibilidad de la información institucional.
5.43 servicios: son todas las aplicaciones que están soportadas en la infraestructura institucional y que agilizan y automatizan las actividades diarias de los usuarios.
5.44 software: son todas aquellas aplicaciones o programas instalados en una PC.
5.45 soporte técnico local: se refiere a la ayuda técnica que pueden tener los usuarios dentro de su área de trabajo en relación con la distribución geográfica, central, Delegacional o Subdelegacional.
5.46 sistema operativo: es el software encargado de ejercer el control y coordinar el uso del hardware entre diferentes programas de aplicación y los diferentes usuarios. Es un administrador de los recursos de hardware del sistema.
5.47 software de escaneo: es la aplicación que permite conocer los puertos o servicios
disponibles en los dispositivos de la red.
5.48 tarjeta inteligente: módulo de memoria del tamaño de una tarjeta de crédito en el cual es posible almacenar información para autenticación de usuarios.
5.49 usuarios: son todas aquellas personas que tienen acceso a la infraestructura o servicios Institucionales de manera autorizada.
5.50 usuario interno: es todo usuario que se encuentra adscrito al Instituto Mexicano del
Seguro Social.
5.51 usuario externo: es todo usuario que no se encuentra adscrito al Instituto Mexicano
del Seguro Social.
5.52 virus informático: es un programa informático que se ejecuta en la computadora sin previo aviso y que puede corromper el resto de los programas, directorios de datos e, incluso el mismo sistema operativo.
5.53 web: es la información contenida en páginas y portales de Internet.
5.54 WAN: red de cómputo que se encuentra distribuida en un área geográfica determinada como una ciudad o un estado, su finalidad está encaminada a enlazar los diferentes edificios de una organización.
6 Documentos de referencia
6.1 Constitución Política de los Estados Unidos Mexicanos, vigente aplicable.
6.2 Ley Federal de Procedimiento Administrativo, vigente aplicable.
6.3 Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, vigente aplicable.
6.4 Ley del Seguro Social, vigente aplicable.
6.5 Ley Federal de Derechos de Autor, vigente aplicable.
6.6 Ley Federal de Responsabilidades Administrativas de los Servidores Públicos, vigente aplicable.
6.7 Ley de Planeación, vigente aplicable.
6.8 Nuevo Código Penal para el Distrito Federal en materia de Fuero Común y para toda la República en materia de Fuero Federal, vigente aplicable.
6.9 Código Federal de Procedimientos Penales, vigente aplicable.
6.10 Código Penal Federal, vigente aplicable.
6.11 Código de Procedimientos Penales para el Distrito Federal, vigente aplicable.
6.12 Código Civil Federal, vigente aplicable.
6.13 Código Federal de Procedimientos Civiles, vigente aplicable.
6.14 Reglamento Interior del IMSS, vigente aplicable.
6.15 Código de Comercio, vigente aplicable.
6.16 Lineamientos Generales para la clasificación y desclasificación de la información de las dependencias y entidades de la Administración Publica Federal, vigentes aplicables. 6.17 Lineamientos de Protección de Datos Personales, vigente aplicable.
6.18 Ley Federal de Responsabilidad Patrimonial del Estado, vigente aplicable.
6.19 Ley Federal de Presupuesto y Responsabilidad Hacendaria, vigente aplicable.
7 Disposiciones
7.1 De carácter general
7.1.1 Las disposiciones contenidas en la presente norma son de observancia general y obligatoria para todo el personal del Instituto Mexicano del Seguro Social (IMSS), asimismo, el personal del Instituto asegurará que el personal externo que utilice, administre o desarrolle sobre infraestructura y servicios informáticos al prestar sus servicios de manera permanente o temporal cumplan las disposiciones mencionadas y hagan buen uso de la misma.
7.1.2 La autorización, difusión e implantación y actualización del presente documento será responsabilidad de la Dirección de Innovación y Desarrollo Tecnológico a través de sus Coordinaciones y sus respectivas Divisiones, mediante diferentes medios incluyendo los electrónicos.
7.1.3 La División de Coordinaciones Delegaciones de Informática será la encargada de la difusión y la vigilancia del cumplimiento de las disposiciones de la presente norma en el ámbito Delegacional.
7.1.4 El Instituto Mexicano del Seguro Social a través de las Direcciones Normativas, Coordinaciones Generales y Unidades es el propietario, y por tanto, responsable de la custodia y buen uso de la información que se almacena, procesa y transmite dentro del Instituto.
7.1.5 El Instituto Mexicano del Seguro Social definirá los requerimientos de seguridad de la información cuando requiera compartir información con entidades externas.
7.1.6 El Instituto Mexicano del Seguro Social se reserva el derecho de intercambio de información con entidades externas en caso de que los controles identificados por la División de Soporte Técnico y Seguridad Informática no mitiguen satisfactoriamente los riesgos de disponibilidad, integridad y confidencialidad.
7.1.7 Todos los Órganos Superiores, Normativos, Colegiados, de Operación Administrativa Desconcentrada, Operativos y la Secretaría General del Instituto Mexicano del Seguro Social, definidas en el artículo 2 del Reglamento de Organización Interna del Instituto, deberán nombrar un representante de seguridad ante la Dirección de Innovación y Desarrollo Tecnológico, con la finalidad de tener un punto de contacto para una oportuna distribución de actualizaciones de seguridad en la infraestructura o reacción ante eventos de seguridad.
7.1.8 El representante de seguridad designado por cada una de las coordinaciones de nivel central, y las jefaturas de oficina a nivel delegacional del Instituto Mexicano del Seguro Social, tendrá la función de verificar que cada uno de los integrantes de su área de trabajo instalen las actualizaciones de seguridad, así como la ejecución de las actividades notificadas, en caso de un evento de seguridad.
7.1.9 Los intentos (exitosos o fallidos) para ganar acceso no autorizado a los sistemas e infraestructura, servicios o datos del Instituto Mexicano del Seguro Social, revelación no autorizada de su información, interrupción o denegación no autorizada de sus servicios, el uso no autorizado de los sistemas e infraestructura para procesar, almacenar o transmitir datos, cambios a las características de sus sistemas de hardware, firmware o software sin conocimiento y respectiva autorización por parte de los administradores del mismo o cualquier otra actividad que afecte a los intereses del Instituto, será sancionada con la aplicación de la reglamentación vigente dentro del Instituto Mexicano del Seguro Social y la legislación vigente aplicable, como lo es la Ley Federal de Responsabilidades de los Servidores Públicos y en su caso, la Ley Federal de Responsabilidad Patrimonial del Estado; sin que ello implique limitación alguna de la aplicación de cualquier ordenamiento que sancione tales conductas y conllevará a la aplicación de las sanciones disciplinarias respectivas, además de las consecuencias de índole legal aplicables.
7.1.10 Las violaciones a estas disposiciones podrán ser causa de la revocación de los privilegios de uso del acceso a los servicios e infraestructura de cómputo del Instituto Mexicano del Seguro Social, según lo determine la Dirección de Innovación y Desarrollo Tecnológico conforme a sus atribuciones y de las acciones disciplinarias que establezcan los órganos responsables. El uso inapropiado del servicio conllevará a la aplicación de las sanciones disciplinarias respectivas, además de las consecuencias de índole legal aplicables.
7.1.11 La División de Soporte Técnico y Seguridad Informática en conjunto con las Divisiones dependientes de las Coordinaciones de la Dirección de Innovación y Desarrollo Tecnológico deberán revisar y actualizar por lo menos cada 2 años las disposiciones descritas en la presente norma en el ámbito de su competencia o en cualquier momento que requiera un ajuste por avances en la tecnología o cambios en las necesidades de operación del Instituto Mexicano del Seguro Social, según lo determine la Dirección de Innovación y Desarrollo Tecnológico en ejercicio de sus atribuciones.
7.2 Para el uso de la infraestructura y servicios informáticos
7.2.1 Uso y cuidado de la infraestructura informática institucional
7.2.1.1 Los usuarios deben utilizar los equipos de cómputo, periféricos y el software que tengan instalado, sólo para el desarrollo de las actividades institucionales que le fueron conferidas, relacionadas con el desempeño de su empleo, cargo o comisión, de acuerdo a ésta norma.
7.2.1.2 Los usuarios no deben fumar, tomar bebidas o ingerir alimentos en las áreas donde se encuentren instalados los equipos de cómputo y/o periféricos de acuerdo a la norma de seguridad e higiene en el trabajo.
7.2.1.3 Los usuarios no deben causar daños o destrucción a los equipos de cómputo y/o sus periféricos, aquellos que sean sorprendidos en un hecho de éste tipo serán sancionados conforme a la legislación vigente aplicable.
7.2.1.4 Los usuarios deben apagar los equipos de cómputo y/o periféricos, cuando éstos no se encuentren en operación, excepto aquellos de los cuales se justifique su operación continua.
7.2.1.5 Los usuarios no deben alterar o dañar los identificadores de los equipos de cómputo y/o sus periféricos. Por lo tanto es su responsabilidad preservar su buen estado.
7.2.1.6 Los usuarios deben verificar que su equipo de cómputo se encuentra instalado al menos con las siguientes condiciones:
– Estar conectado a la corriente regulada, cuando se cuente con este servicio.
– Estar soportado en una superficie sólida y firme.
– Los cables de energía o datos no estén siendo presionados por objetos pesados.
7.2.1.7 Los usuarios deben utilizar la infraestructura de comunicaciones asociada a su equipo de cómputo, para acceder solamente a equipos locales o remotos a los que tenga autorización explícita.
7.2.1.8 Los usuarios que realicen actividades de robo de información, violación de la seguridad, análisis de protocolos o generación de ataques a la infraestructura informática y servicios informáticos con los que cuenta el Instituto Mexicano del Seguro Social, serán sancionados por la reglamentación vigente aplicable. Asimismo, los usuarios que presencien o sospechen de este tipo de hechos deberán notificarlo a la Mesa de Servicio.
7.2.1.9 Los usuarios no deben alterar la configuración de red que les fue asignada al momento de la instalación de su equipo.
7.2.1.10 Los usuarios deben verificar que su equipo de cómputo tenga configurada la contraseña de encendido.
7.2.1.11 Los usuarios deben verificar que su equipo de cómputo tenga configurado el protector de pantalla con contraseña, con la finalidad de evitar el acceso no autorizado a su información en caso de retiro temporal.
7.2.1.12 Los usuarios deben asegurase de utilizar y mantener cerradas las chapas de seguridad de los equipos de cómputo que cuenten con las mismas.
7.2.1.13 Los usuarios deben asignar contraseñas personalizadas estableciendo los permisos de lectura o escritura, o utilizar la lista de control de acceso personalizado cuando requieran compartir archivos a través de la red con otros usuarios del Instituto Mexicano del Seguro Social.
7.2.1.14 Los usuarios de forma periódica (semestral, mensual, quincenal) deben realizar copias de seguridad de la información crítica que almacenen en su equipo.
7.2.1.15 El extravío o robo de equipo de cómputo y/o periféricos deben ser reportados de forma inmediata al área administrativa correspondiente, para que se realicen las gestiones pertinentes.
7.2.1.16 Los usuarios que requieran conectarse a la red Institucional utilizando equipo de cómputo de escritorio o portátil propio o Institucional, deberán asegurarse de que éste se encuentre libre de virus informáticos y con la totalidad y más recientes actualizaciones recomendados por el fabricante, antes de integrarse a la red del Instituto Mexicano del Seguro Social.
7.2.1.17 Los usuarios que acceden a la red a través de medios inalámbricos deberán asegurarse de que la comunicación establecida esté cifrada de acuerdo a los estándares de seguridad definidos por el Instituto Mexicano del Seguro Social.
7.2.2 Solicitud y uso de servicios informáticos institucionales
7.2.2.1 Los usuarios deben acudir a la Mesa de Servicio o al personal de soporte técnico local cuando:
– Se presenten problemas en los equipos de cómputo y/o periféricos asignados, software instalado o en los servicios que le son proporcionados.
– Requieran capacitación o tengan inquietudes sobre el correcto uso de los recursos y/o servicios autorizados.
– Requieran capacitación o apoyo en la implementación de las disposiciones para el aseguramiento de su entorno de trabajo.
-Sospechen que su equipo se encuentra infectado por algún virus informático.
– Requieran la instalación de un nuevo software o hardware institucional.
– Requieran trasladar o dar de baja un equipo de cómputo y/o sus periféricos.
– Requieran del alta, baja y/o cambio de cuentas de usuario para acceso a la red, sistemas operativos, bases de datos o aplicaciones institucionales.
– Requieran del acceso al servicio de Internet a través de un enlace dial-up.
– O cualquier otra causa que a juicio de éste, amerite el acudir a la mesa de servicio.
7.2.2.2 Los servicios de correo electrónico y mensajería instantánea sólo debe ser utilizado para los propósitos de comunicación de asuntos relativos al Instituto Mexicano del
Seguro Social.
7.2.2.3 Los usuarios no deben utilizar el servicio de correo electrónico o mensajería instantánea para:
– Enviar todo tipo de cadenas o archivos cuyo contenido pueda considerarse ofensivo, discriminatorio o difamatorio, así como archivos personales de gran tamaño que congestionen la red Institucional.
– Enviar mensajes en forma anónima o ficticia.
– Enviar información clasificada como Confidencial o Reservada a terceros sin la debida autorización.
7.2.2.4 Los usuarios deben tener las siguientes precauciones al enviar archivos adjuntos a través del servicio de correo electrónico o mensajería instantánea:
– Evitar el envío de archivos que excedan en su tamaño a los 2 megabytes.
– Evitar el envío de archivos que contengan las extensiones “.exe”, “.bat”, “.vbs”, “.pif”, “.reg”, “.scr” y “.com”.
– Evitar el envío de archivos que en su nombre contengan mas de un punto “.”.
7.2.2.5 Todos los mensajes distribuidos a través de la infraestructura de correo del Instituto Mexicano del Seguro Social, aún los mensajes personales, son propiedad de Instituto, quien podrá llevar a cabo el monitoreo de los servicios de correo electrónico o mensajería instantánea, archivos anexos y cualquier otra información electrónica transmitida a través de sus equipos de cómputo.
7.2.2.6 El correo electrónico de dudosa procedencia debe ser manejado por los usuarios con precaución, es necesaria su eliminación sin ser leído y no debe ser respondido.
7.2.2.7 No se deberá usar la infraestructura de correo electrónico o mensajería instantánea para enviar información cuyo contenido difiera con las funciones asignadas al usuario, enviar o reenviar mensajes de contenido difamatorio, ofensivo, racista u obsceno, incluyendo, pero no limitándose a contenidos ofensivos sobre origen étnico, género, edad, orientación sexual, pornografía, creencias políticas o religiosas o discapacidades o potencialmente ilegal.
7.2.2.8 No se deberá usar la infraestructura de correo electrónico o mensajería instantánea para cualquier práctica tendiente a utilizar, distribuir y/o duplicar información o programas que no sean consistentes con las licencias de uso correspondiente o no esté expresamente aprobada por su autor.
7.2.2.9 La información clasificada como de uso interno o pública puede enviarse a través el servicio de correo electrónico. La información Confidencial o Reservada debe cifrarse para su envío.
7.2.2.10 La información clasificada como Confidencial o Reservada deberá residir en territorio nacional. Los servicios de depósito y administración de la misma deberán realizarse de igual manera dentro del territorio nacional.
7.2.2.11 El servicio Web sólo debe ser usado con el propósito de comunicación o consulta de asuntos relativos al Instituto Mexicano del Seguro Social.
7.2.2.12 Los usuarios del servicio Web deben adoptar absoluta seriedad en el manejo de información Confidencial o Reservada, por lo que no deberán publicar o distribuir algún tipo de software con licencia o cualquier tipo de información clasificada como Confidencial
Reservada propiedad del Instituto Mexicano del Seguro Social.
7.2.2.13 El servicio Web debe ser usado sin interferir con el rendimiento laboral del personal y sin degradar el rendimiento o desempeño de los recursos de acceso al servicio.
7.2.2.14 El usuario debe dar cumplimiento a todas las recomendaciones que le sean proporcionadas por el Instituto Mexicano del Seguro Social a través de la Dirección de Innovación y Desarrollo Tecnológico para elevar el nivel de seguridad en el uso del servicio Web.
7.2.3 Uso de cuentas y contraseñas
7.2.3.1 Las cuentas y contraseñas asignadas son personales e intransferibles, las consecuencias jurídicas y/o administrativas de los actos ejecutados con las mismas son responsabilidad exclusiva del usuario dueño de la cuenta.
7.2.3.2 Los usuarios deben cambiar su contraseña por una nueva en el primer acceso después de ser otorgada.
7.2.3.3 Los usuarios deben generar su contraseña de acuerdo al siguiente estándar; seleccionar dos palabras, unirlas y aplicar cualquiera de las siguientes operaciones para generarla:
– Seleccionar únicamente las consonantes
– Seleccionar únicamente las vocales
– Seleccionar caracteres intercalados (uno sí otro no)
NOTA: A la contraseña obtenida, agregar al menos dos números, hasta obtener una combinación de letras y números de longitud mínima de 6 y máxima de 8 caracteres.
7.2.3.4 Los usuarios deben evitar la repetición de contraseñas al efectuar los cambios periódicos de las mismas.
7.2.3.5 Los usuarios deben cambiar su contraseña en caso de sospechar que alguien más la conoce.
7.2.3.6 Los usuarios deben evitar exponer o difundir su contraseña independientemente del medio en el cual sea almacenada.
7.2.3.7 En caso de utilizar hardware de seguridad, tales como generadores de contraseñas o tarjeta inteligente, los usuarios deben traerlos siempre consigo.
7.2.4 Uso de software y antivirus
7.2.4.1 Los usuarios deben utilizar únicamente el software para el cual tengan autorización del Instituto Mexicano del Seguro Social y le sea asignado para el desarrollo de sus funciones.
7.2.4.2 Los usuarios no deben prestar el software propiedad del Instituto Mexicano del Seguro Social para que éste sea copiado, o copiar software que sea pedido en calidad de préstamo.
7.2.4.3 Los usuarios deben utilizar el software con conciencia y conocimiento de lo establecido en la Ley Federal de Derechos de Autor.
7.2.4.4 Los usuarios deben verificar que su equipo de cómputo tenga instalado el antivirus institucional, mismo que debe estar habilitado permanentemente, en caso contrario lo deberán notificar a la Mesa de Servicio.
7.2.4.5 Los usuarios deben verificar que los archivos obtenidos de manera externa a través de cualquier medio, así fuera de una fuente confiable, estén libres de virus informáticos antes de ser almacenados o procesados en su equipo de cómputo.
7.2.4.6 Los usuarios deben informar a la brevedad al área emisora, a la Mesa de Servicio o al personal de soporte técnico local para que se tomen las medidas pertinentes, en los casos en los cuales se determine que un archivo recibido se encuentra infectado por virus informáticos.
7.2.4.7 Los usuarios no deben abrir archivos que contengan macros, doble extensión o extensiones poco convencionales, aún cuando sean de fuentes confiables, con excepción de aquellos archivos con macroinstrucciones que hayan sido desarrollados por los administradores, usuarios o desarrolladores, para la adecuada ejecución de sus funciones.
7.2.4.8 Los usuarios deben informar vía telefónica a la Mesa de Servicio, en caso de notar que se están recibiendo archivos no convencionales o de fuentes desconocidas para determinar si se trata de un virus informático.
7.3 Para la información que se almacena, procesa y transmite por medios electrónicos.
7.3.1 Clasificación de la información que se almacena, procesa y transmite por medios electrónicos.
7.3.1.1 La información que se genera almacena, procesa y transmite por medios electrónicos será administrada en función de la clasificación otorgada por el área responsable de la misma.
7.3.1.2 Las figuras que intervendrán en la generación, almacenamiento, manejo y procesamiento de la información en el IMSS son: responsables, depositarios y usuarios finales.
– Los responsables de la información, son todas las áreas usuarias operativas de los sistemas del Instituto Mexicano del Seguro Social las cuales son dueñas de la información, mismas que responden por la integridad de la información capturada y procesada en la infraestructura de cómputo propiedad del Instituto.
– Los depositarios de la información, son todas las áreas técnicas de administración y soporte de la tecnología y servicios informáticos del Instituto Mexicano del Seguro Social y son las encargadas de mantener la integridad, disponibilidad y confidencialidad de la información que se almacena en la infraestructura de cómputo propiedad del Instituto.
-Los usuarios finales son todos aquellos que se encargan de la captura y explotación de la información, sin que sean dueños de la misma.
7.3.1.3 Las actividades de los usuarios finales están limitadas de acuerdo al perfil y el nivel de consulta que le sea autorizada por el responsable.
– El perfil es la serie de actividades que un tipo de usuario final podrá realizar dentro de un sistema de información.
– El nivel de consulta es la cantidad y el tipo de información a la cual el usuario final tendrá acceso.
7.3.1.4 Los responsables de la información deben determinar los perfiles y los niveles de consulta sobre la información que serán asignados a los usuarios finales.
7.3.1.5 Los depositarios son los encargados de implementar los mecanismos de seguridad necesarios para implementar la asignación de los roles y el nivel de consulta a los usuarios finales, determinados por los responsables de la información.
7.3.1.6 La definición de los mecanismos de seguridad a implementar para mantener la integridad, disponibilidad y confidencialidad de la información estará a cargo de los depositarios en conjunto con la División de Soporte Técnico y Seguridad Informática.
7.3.1.7 La División de Soporte Técnico y Seguridad Informática conjuntamente con las Coordinaciones de la Dirección de Innovación y Desarrollo Tecnológico, revisarán periódicamente los mecanismos de seguridad implementados, para garantizar la integridad, disponibilidad y confidencialidad de la información Institucional.
7.3.1.8 Cada área responsable deberá definir en qué clasificación se encuadra su información de acuerdo a la normatividad vigente aplicable.
7.3.1.9 Cada área responsable deberá reevaluar la clasificación de su información periódicamente a la luz de las directrices institucionales de acuerdo a la normatividad vigente aplicable.
7.3.2 Administración y uso de la información que se almacena, procesa y transmite por medios electrónicos.
7.3.2.1 El nivel de clasificación de los documentos impresos que contengan información clasificada (Confidencial o Reservada), tiene que estar marcado de acuerdo a la normatividad vigente aplicable.
7.3.2.2 Cada Medio de Almacenamiento desmontable (cintas, cartuchos, diskette o CD), que contenga información clasificada como Confidencial, Reservada o Pública, tiene que ser etiquetado de acuerdo a la normatividad vigente aplicable.
7.3.2.3 Todos los administradores de tecnología informática deben:
– Implantar los mecanismos de control para el acceso a los datos en función del nivel de exposición y revelación de los mismos, de acuerdo al grado de criticidad.
– Verificar la integridad de los sistemas en producción
– Cumplir con todas las políticas, normas, procedimientos y estándares de seguridad aplicables.
7.3.2.4 Las áreas responsables de la Información pueden asignar o cambiar el nivel de clasificación, previo a la asignación de una fecha de efectividad y difundirlo a los usuarios finales involucrados.
7.3.2.5 Los responsables o poseedores de manuales, procedimientos, guías e instructivos de operación (en cualquier tipo de medio bien sea electrónico o físico) de los equipos de cómputo, telecomunicaciones y sistemas, controlarán el acceso y uso de los mismos, bajo su estricta responsabilidad.
7.3.2.6 En conjunto con las áreas responsables de la información y las áreas depositarias, La División de Soporte Técnico y Seguridad Informática determinará el algoritmo descifrado y el tamaño de llaves que se implementará en cada uno de los sistemas de información que operen en el Instituto Mexicano del Seguro Social.
7.3.2.7 Los datos clasificados como Confidenciales o Reservados deberán tener fechas programadas de eliminación y deberá destruirse la identificación del medio y cualquier marca de uso, esto en estricto apego a la normatividad vigente aplicable.
7.3.2.8 Los medios de almacenamiento que hayan contenido información con clasificación Confidencial o Reservada que vayan a salir de uso, deberán ser borrados mediante un medio que garantice la eliminación física de la información, si van a ser reutilizados o entregados a un tercero (reparación, préstamo) deberán ser borrados con anterioridad, esto en estricto apego a la normatividad vigente aplicable.
7.3.2.9 La información Confidencial o Reservada no necesaria deberá ser destruida (los listados deberán ser triturados y los desechos empacados antes de deshacerse de ellos), esto en estricto apego a la normatividad vigente aplicable.
7.3.2.10 La información clasificada como Confidencial o Reservada deberá estar alojada en territorio nacional y la División de Soporte Técnico y Seguridad Informática en conjunto con el área responsable de dicha información determinarán los esquemas de seguridad que se aplicarán para mantener la confidencialidad, disponibilidad e integridad de la misma.
7.4 De la administración de infraestructura y servicios informáticos
7.4.1 Plan de contingencias
7.4.1.1 El Instituto Mexicano del Seguro Social a través de la Dirección de Innovación y Desarrollo Tecnológico debe contar con un Plan de Contingencias Institucional que describa los procedimientos y planes de acción a desarrollar, así como los responsables de las mismas para la oportuna prevención, disuasión y detección de amenazas y garantizar el restablecimiento y restauración de la operación en caso de desastres.
7.4.1.2 Todas las Coordinaciones dependientes de la Dirección de Innovación y Desarrollo Tecnológico deben conocer el Plan de Contingencias Institucional, las actividades a desarrollar en caso de presentarse alguna eventualidad, además de contar con una copia y apoyar en el desarrollo y mantenimiento del mismo.
7.4.1.3 El Plan de Contingencias definido debe estar actualizado y autorizado por la Dirección de Innovación y Desarrollo Tecnológico y debe existir una copia fuera de las instalaciones.
7.4.1.4 El Plan de Contingencias Institucional debe ser probado y verificado bajo un ambiente controlado de simulación de desastres periódicamente por la Dirección de Innovación y Desarrollo Tecnológico, las diferencias determinadas resultado de las pruebas deben ser reflejadas en dicho Plan.
7.4.1.5 Los cambios en la operación y en la infraestructura tecnológica Institucional deben reflejarse inmediatamente en los procedimientos descritos en el Plan de Contingencias Institucional.
7.4.1.6 Todo el personal involucrado en el Plan de Contingencias Institucional deberá ser entrenado adecuadamente con el fin de minimizar las consecuencias que traen los accidentes generados por descuido o desconocimiento.
7.4.1.7 La Coordinaciones de la Dirección de Innovación y Desarrollo Tecnológico deberán contemplar en el presupuesto anual los recursos necesarios para atender las actividades asociadas con los planes de contingencias.
7.4.1.8 El Plan de Contingencias Institucional debe estar desarrollado de acuerdo a la guía para el desarrollo y mantenimiento de Planes de Contingencia para Sistemas de Información.
7.4.2 Respaldos
7.4.2.1 Los respaldos deben de ser efectuados en estricto apego a las normas, políticas y procedimientos definidos por la División de Operación de Centros Nacionales de Procesamiento de la Coordinación de Administración de Infraestructura.
7.4.2.2 Los respaldos deben garantizar la integridad de la información (programas, datos, documentos, etc.). En los sistemas que lo permitan se deberá dejar registro electrónico del proceso realizado.
7.4.2.3 La División de Operación de Centros Nacionales de Procesamiento debe mantener los controles necesarios para conocer el estado de cada copia de respaldo y su ubicación.
7.4.2.4 La División de Operación de Centros Nacionales de Procesamiento debe implantar procedimientos para preparar, almacenar y probar periódicamente la integridad de las copias de seguridad y de toda la información necesaria para restaurar el sistema a una operación normal.
7.4.2.5 La División de Operación de Centros Nacionales de Procesamiento debe mantener una copia de los sistemas (aplicativo, parámetros de configuración, versiones de software, etc.) anterior a la versión actual.
7.4.2.6 Los administradores de aplicaciones y servicios informáticos Institucionales deben solicitar a la División de Operación de Centros Nacionales de Procesamiento un respaldo total del sistema, antes de efectuar cualquier actualización del mismo.
7.4.2.7 La División de Operación de Centros Nacionales de Procesamiento debe identificar los medios de almacenamiento de los respaldos indicando, número de serie del respaldo, dueño de la información, sistema al que corresponde, cantidad de registros obtenidos, fecha, hora, tipo de respaldo, y responsable de la ejecución del respaldo.
7.4.2.8 La División de Operación de Centros Nacionales de Procesamiento debe generar las copias de los respaldos necesarios y almacenarlos en inmuebles diferentes a fin de garantizar la recuperación de la operación en caso de contingencia.
7.4.2.9 La División de Operación de Centros Nacionales de Procesamiento debe realizar pruebas periódicas para verificar que los medios de almacenamiento no han sido deteriorados, como son lecturas, rebobinamiento y copia a otro medio, cada dos años, de cintas que tienen un ciclo muy largo de retención, verificando la siguiente información:
– El sistema operativo junto con las tablas relacionadas (datos de configuración).
– Software de red.
– Compiladores.
– Software de aplicación.
– Archivos de seguridad.
– Bibliotecas de programas.
– Archivos de datos.
7.4.2.10 La División de Operación de Centros Nacionales de Procesamiento debe registrar en una bitácora las recuperaciones realizadas, indicando al menos, número de solicitud de la restauración, dueño de la información, nombre del sistema, sección solicitada, número de serie del respaldo utilizado.
7.4.2.11 Los administradores deben solicitar a la División de Operación de Centros Nacionales de Procesamiento las políticas de respaldo tomando en cuenta, el tipo de información y las necesidades de operación, de acuerdo al procedimiento establecido.
7.4.2.12 Los administradores deben determinar e informar a la División de Administración Operación de Centros Nacionales de Procesamiento el calendario de respaldos que debe ser tomado en cuenta de acuerdo al procedimiento establecido.
7.4.2.13 Las solicitudes de restauración deben ser por escrito y contener al menos: autorización del dueño de la información, nombre del sistema del cual se desea recuperar la información, ruta de recuperación y sección que desea recuperar.
7.4.2.14 Las áreas depositarias en conjunto con los responsables de la información deben determinar la permanencia y la vigencia de la información respaldada de acuerdo a las necesidades legales, contractuales y operacionales del Instituto Mexicano del Seguro Social.
7.4.2.15 Las áreas depositarias en conjunto con las responsables de la información deben definir el procedimiento de eliminación de respaldos, específico por sistema o por tipo de información de acuerdo a las necesidades legales, contractuales y operacionales del Instituto Mexicano del Seguro Social.
7.4.3 Seguridad física
7.4.3.1 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deben restringir y controlar el acceso a los componentes de cada uno de los elementos de la infraestructura informática de la Institución.
7.4.3.2 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deben proteger los respaldos y datos institucionales del acceso de personal no autorizado para tal fin.
7.4.3.3 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deben llevar un registro del personal que accede a las áreas restringidas incluyendo el motivo de la visita.
7.4.3.4 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deben mantener actualizadas las listas de autorización de acceso a personal contratado de proveedores de servicio de terceros.
7.4.3.5 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deben implementar y dar el seguimiento pertinente al programa de mantenimiento a la infraestructura informática.
7.4.3.6 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deben instalar la infraestructura informática en ambientes adecuados para su operación, administración, monitoreo y control de acceso, para minimizar las amenazas a las que se encuentren expuestos.
7.4.3.7 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deben evaluar y aprobar las instalaciones eléctricas, comunicaciones, sistemas contra incendios y de aire acondicionado y demás recursos, que garanticen las condiciones adecuadas para la operación óptima de la infraestructura tecnológica del Instituto.
7.4.4 Administración de la infraestructura informática
7.4.4.1 El personal de soporte técnico local debe asegurar que todos los equipos personales que se encuentran conectados a la red Institucional en el ámbito de su competencia cumplan con los siguientes requisitos:
– Cuenta con un nombre de equipo que identifique de manera rápida al responsable del equipo y su ubicación, de acuerdo a la nomenclatura establecida por la División de Soporte Técnico y Seguridad Informática.
– Está asignado al domino correspondiente (metro, sur, norte, occidente o centro).
– Cuenta con el software de antivirus y su respectivo agente de actualización automática.
– Cuenta con el último parche de seguridad del sistema operativo liberado por el proveedor.
– La cuenta de usuarios asignada no es la del administrador local del equipo.
7.4.4.2 Los administradores de infraestructura informática deben limitar el acceso a los sistemas operativos, sistemas institucionales y/o bases de datos, mediante la identificación del usuario, a través de su cuenta y contraseña, así como, la asignación de un perfil y nivel específico.
7.4.4.3 Los administradores de infraestructura informática deben cifrar programas fuentes y archivos de contraseñas y opcionalmente las bases de datos y canal de comunicaciones, si la información que se almacene o viaje corresponde al nivel de clasificación Confidencial o Reservada.
7.4.4.4 Los administradores de infraestructura informática deben identificar todos los reportes que contienen datos Confidenciales o Reservados y limitar el acceso a los mismos.
7.4.4.5 Los administradores de infraestructura informática deben prohibir la utilización de datos Confidenciales o Reservados para realizar pruebas en los sistemas.
7.4.4.6 Los administradores de infraestructura informática deben destruir datos Confidenciales o Reservados que se consideren no vigentes en estricto apego a la normatividad vigente aplicable.
7.4.4.7 El registro de usuarios y la administración de la seguridad de los sistemas de información que son accedidos en forma local y/o a través de la red de comunicaciones, se realizará únicamente por los responsables de la seguridad de cada sistema o plataforma, de conformidad con los procedimientos establecidos.
7.4.4.8 El registro de las cuentas de usuario para autenticar el acceso a equipos de cómputo y sistemas institucionales, de las diferentes plataformas de cómputo instaladas, debe ser solicitado con apego a los procedimientos establecidos para ello.
7.4.4.9 Las cuentas con privilegios especiales sobre el sistema (por ejemplo: root en Unix, Administrador en Windows 2000 y 2003) serán de uso restringido, sólo para casos de emergencia y para actividades relacionadas con seguridad (administración de normas de seguridad, definición de relaciones de confianza, administración de registros de auditoria y de seguridad, administración de cuentas y grupos de usuarios, actualización del sistema operativo).
7.4.4.10 Los administradores de infraestructura informática deben personalizar las cuentas para las actividades de administración de servidores, bases de datos, servicios o sistemas Institucionales, así como una cuenta de seguridad para el monitoreo de las actividades realizada por cada usuario.
7.4.4.11 Todo usuario debe tener definido desde su creación el ambiente de trabajo y éste no deberá ser modificado por él mismo.
7.4.4.12 El personal Institucional autorizado debe definir y vigilar el acceso que un proveedor o contratista podrá tener a la información, limitando el alcance a información Confidencial o Reservada a no ser que sea autorizado explícitamente por el responsable de la misma, en este caso el proveedor o contratista deberá firmar un acuerdo de no revelación.
7.4.4.13 Los administradores de infraestructura informática deben registrar los procesos ejecutados en el día y el estatus de terminación de los mismos, también deben registrar diariamente los eventos como fallas o inhabilitación de cada servicio y las causas del evento.
7.4.4.14 Los administradores de infraestructura informática deben asegurarse de que la fecha y hora del sistema sólo puede ser alterada por el administrador, misma que requiere de la autorización escrita del jefe responsable.
7.4.4.15 Los administradores de infraestructura informática deben configurar los servidores para que el usuario que realice un acceso reciba un mensaje de ingreso en la cual se le advierte que: el sistema sólo podrá ser utilizado por personal autorizado, las actividades realizadas son monitoreadas y cualquier intento de ingreso no autorizado será sancionado.
7.4.4.16 Los administradores de infraestructura informática deben asegurarse de que en la bitácora de auditoria queden registrados todos los eventos realizados por cuentas con permisos especiales (administrator, guest, root, system, etc.).
7.4.4.17 La bitácora de auditoria sólo podrá ser accedida por la cuenta de administración y por las cuentas que se creen para revisiones por parte de la División de Soporte Técnico y Seguridad Informática.
7.4.4.18 Los nodos de comunicaciones WAN deberán estar ubicados en lugares cerrados y resguardados dentro de los edificios institucionales.
7.4.4.19 El acceso a los puntos de red deberá estar vigilado por la seguridad propia de cada edificio institucional y el acceso a los nodos únicamente se permitirá al personal del proveedor de servicios, quien deberá presentar una identificación oficial de la empresa al momento de realizar el trabajo, previamente autorizado por personal de las Divisiones de Telecomunicaciones y de Soporte Técnico y Seguridad Informática del Instituto Mexicano del Seguro Social encargado de la función.
7.4.4.20 Los administradores de los equipos de comunicaciones deben realizar revisiones periódicas de las bitácoras de los sistemas de comunicación para verificar si se han presentado intentos de ataques o de explotación de vulnerabilidades.
7.4.4.21 Los administradores de los equipos de comunicaciones deben implantar alarmas en los sistemas de control que le notifiquen cualquier anomalía para que haya una respuesta inmediata.
7.4.4.22 Los administradores de los equipos de comunicaciones deben contar con líneas alternas de comunicación como respaldo en caso de caída de las líneas principales.
7.4.4.23 Los administradores de los equipos de comunicaciones deben asegurarse que todos los servicios y protocolos, es decir, todos los intentos de conexión hacia la infraestructura informática que soporta las aplicaciones o servicios institucionales pase a través de un firewall.
7.4.4.24 Los administradores de firewalls deben establecer la configuración que rechace cualquier clase de software de escaneo.
7.4.4.25 Los administradores de la infraestructura informática que se encuentre en la zona de producción realizarán las actividades propias de la administración de los mismos in situ, en caso de hacerlo de manera remota, deberán de realizar esta actividad a través de software de cifrado de canal.
7.4.4.26 Se deberá notificar a los usuarios de equipos PC´s, cuales son sus responsabilidades para lo cual deben firmar, bajo protesta de decir verdad, que conoce las disposiciones, el inventario de software y hardware instalado en su equipo y el conocimiento de la Ley Federal de Derechos de Autor.
7.4.5 Administración de cuentas de usuario
7.4.5.1 La asignación de cuentas de usuario para cualquiera de los servicios y/o sistemas que operan dentro del Instituto Mexicano del Seguro Social deberá identificar a un solo responsable de ésta.
7.4.5.2 Los administradores deben establecer el perfil y nivel del usuario antes de asignarle una cuenta.
7.4.5.3 Los administradores deben bloquear el acceso a toda cuenta de usuario después de 3 intentos consecutivos fallidos de acceso en los sistemas o red.
7.4.5.4 Los administradores deben restringir el número de sesiones por usuario.
7.4.5.5 Los administradores deben habilitar el registro de los eventos (logs de seguridad), relacionado con los accesos a los sistemas y las actividades importantes realizadas por los usuarios.
7.4.5.6 Los administradores deben bloquear cualquier cuenta de usuario la cual no se haya firmado en el sistema o la red después de 30 días.
7.4.5.7 Los administradores deben eliminar cualquier cuenta de usuario que no se utilice por un período de 120 días, si no hay causa justificada.
7.4.5.8 Los administradores deben eliminar cualquier cuenta de usuarios del cual le sea notificado el cambio de situación laboral o baja definitiva del Instituto Mexicano del Seguro Social.
7.4.5.9 Los administradores deben forzar el cambio de la contraseña de la cuenta de usuario en un periodo máximo de 60 días, la cual debe ser distinta, por lo menos, a las últimas 10 usadas por la misma cuenta de usuario.
7.4.5.10 Las contraseñas no deben ser mostradas en pantalla mientras son tecleadas, ni deben viajar por la red sin ser cifradas.
7.4.5.11 Las contraseñas deben tener una longitud mínima de 6 caracteres.
7.4.5.12 Las contraseñas deben contener caracteres alfanuméricos y especiales como signos aritméticos o signos de puntuación.
7.4.6 Administración de servicios informáticos
7.4.6.1 Los administradores del servicio de acceso a Internet deben sugerir la adecuada configuración de los navegadores Web, esto para asegurar un correcto uso y como medida de prevención de ataques, intrusiones o cualquier acto que atente contra las condiciones de seguridad.
7.4.6.2 Los administradores del correo electrónico deben facilitar a los usuarios el cambio de contraseña cuando éstos lo estimen conveniente.
7.4.6.3 Los administradores del correo electrónico deben Implementar herramientas para analizar todos los mensajes de entrada o salida para detectar virus informáticos o contenidos maliciosos.
7.4.6.4 El servicio de acceso remoto a la red Institucional será otorgado previa validación de la División de Soporte Técnico y Seguridad Informática, a los funcionarios que lo soliciten y a los proveedores que lo requieran derivado de los proyectos Institucionales.
7.4.7 Detección de intrusos y vulnerabilidades
7.4.7.1 La División de Soporte Técnico y Seguridad Informática debe revisar diariamente la existencia de actualizaciones de seguridad del software Institucional, aparición de nuevos virus informáticos, con la finalidad de disminuir los huecos de seguridad.
7.4.7.2 La División de Soporte Técnico y Seguridad Informática al encontrar una actualización notificará a través del servicio de correo electrónico Institucional, a las Divisiones de Administración de Bases de Datos, Gestión del Conocimiento, Telecomunicaciones, Administración de Arquitectura Tecnológica, Sistemas de Soporte a
Decisiones, Servicios Electrónicos, y Repositorio Nacional de Transacciones responsable de la administración del software de base o de sistema operativo, para que evalúe y en su caso aplique dicha actualización.
7.4.7.3 La División de Soporte Técnico y Seguridad Informática al encontrar la existencia de un nuevo virus informático, notificará a través del servicio de correo electrónico Institucional, a la Mesa de Servicio con la finalidad de que esta a su vez informe a los usuarios y éstos se encuentren en posibilidades de reconocer el virus informático y no sea propagado hacia el interior.
7.4.7.4 La División de Soporte Técnico y Seguridad Informática se debe coordinar con las Divisiones de Administración de Bases de Datos, Gestión del Conocimiento, Telecomunicaciones, Administración de Arquitectura Tecnológica, Sistemas de Soporte a Decisiones, Servicios Electrónicos, y Repositorio Nacional de Transacciones para determinar la configuración de las herramientas de detección de intrusos y vulnerabilidades, la cual debe ajustarse a las necesidades de la operación.
7.4.7.5 La División de Soporte Técnico y Seguridad Informática se debe coordinar con las Divisiones de Administración de Bases de Datos, Gestión del Conocimiento, Telecomunicaciones, Administración de Arquitectura Tecnológica, Sistemas de Soporte a Decisiones, Servicios Electrónicos, y Repositorio Nacional de Transacciones para definir el procedimiento de reacción ante intentos de intrusión a la infraestructura tecnológica del Instituto Mexicano del Seguro Social.
Procedimientos de Instalación, configuración y actualización de elementos de seguridad.
Dentro de los procedimientos enmarcados para el ámbito de seguridad informática, tenemos los siguientes:
- Manual para Instalación Software Antivirus Institucional.
- Manual para Instalación Software AntiSpyware Institucional.
- Actualización de VirusScan Enterprise 8.5i y McAfee AntiSpyware 8.5
- Manual para Instalación Software VPN Institucional.
Manual para la Instalación de VirusScan Enterprise 8.5i
Antes de Instalar VirusScan Enterprise 8.5i, será necesario desinstalar cualquier otra versión anterior del producto y reiniciar el equipo antes de comenzar.
Como sabemos, en el ftp del Instituto se encuentra la carpeta donde está el software para la instalación del antivirus en su versión 8.5i, la dirección es la siguiente:
ftp://11.254.12.97/Software%20McAfee/VirusScan%208.5%20Con_parche%201/
Sin embargo, la manera más recomendable y dinámica para hacer la instalación, es descargar el software, grabarlo en un CD y ejecutarlo en el equipo. Una vez que se tenga la versión 8.5i del antivirus, se procede a ejecutar el archivo Setup.exe como lo muestra la figura 1.
Figura 1: Seleccionamos el archivo Setup.exe y damos doble clic sobre el archivo.
Una vez ejecutado el Setup.exe se inicia la extracción de los archivos. Como se puede ver en la figura 2.
Figura 2: Se inicia la instalación de VirusScan 8.5i
Cuando termina el proceso del archivo Setup.exe, aparece el asistente para iniciar la instalación del antivirus. Damos clic en Siguiente como se muestra en la figura 3.
Figura 3: Asistente para la instalación del antivirus.
Inmediatamente después, aparecerá el contrato de licencia del producto. En tipo de vencimiento de licencia, debe de quedar con Perpetua; Seleccionamos la ubicación en donde la usaremos, que debe ser México y aceptamos los términos y condiciones del contrato. Como se puede ver en la figura 4. Damos clic en OK.
Figura 4: Aceptación de los términos de la Licencia.
Posteriormente aparece la pantalla, Seleccionar tipo de instalación, en ella activaremos la casilla que tiene por nombre Típica, como se muestra en la figura 5. Damos clic en siguiente.
Figura 5. Seleccionar el tipo de instalación que deseamos.
Aparecerá otra pantalla para seleccionar el nivel de protección de acceso. Se debe tener activada la casilla Protección estándar como lo muestra la siguiente figura. Damos clic en siguiente.
Figura 6: Seleccionar el nivel de protección de acceso.
Lo que se hizo en pantallas anteriores fue configurar las propiedades del antivirus de cómo va a quedar instalado en nuestro equipo. En la siguiente pantalla damos clic en Instalar para iniciar la instalación.
Figura 7: El asistente esta listo para la instalación.
Se inicia la instalación del antivirus.
Figura 8: Inicio de la instalación del antivirus.
Al finalizar la instalación aparece la siguiente pantalla, donde debemos de quitar la activación de las casillas Actualizar ahora y Ejecutar análisis bajo demanda. Damos clic en finalizar para terminar la instalación.
Nota: Es importante que se desactiven dichas casillas, ya que si se dejan activadas, tardará mucho en actualizarse y después de que termine ejecutará un escaneo bajo demanda.
Figura 9: Fin de la instalación.
Manual para Instalación Software AntiSpyware Institucional.
Es importante instalar el módulo antispyware de McAfee porque nos ayuda a detectar diversas amenazas como son Adware, Spyware y Programas no deseados que el antivirus con sus firmas no puede hacer.
Una vez que se haya instalado VirusScan Enterprise versión 8.5i será necesario descargar el software del módulo antispyware versión 8.5 que se encuentra en el ftp del Instituto, ftp://11.254.12.97/Software%20McAfee/Modulo%20AntiSpyware%20para%20VirusScan%208.5/
Sin embargo, la manera más recomendable y dinámica para hacer la instalación, es descargar el software, grabarlo en un CD y ejecutarlo en el equipo.
Abrimos la carpeta que dice Módulo AntiSpyware para VirusScan 8.5 y ejecutaremos el archivo VSE85MAS.exe y aparece el instalador de McAfee Antispyware, como en la siguiente pantalla. Damos clic en siguiente.
Figura 1: Instalador de McAfee AntiSpyware.
Inmediatamente después, aparecerá el contrato de licencia del producto. En tipo de vencimiento de licencia, debe de quedar con Perpetua, seleccionamos la ubicación en donde la usaremos que debe ser México y aceptamos los términos y condiciones del contrato. Damos clic en OK
Figura 2: Aceptación de los términos de la Licencia.
Se inicia la instalación del módulo como lo muestra la siguiente pantalla.
Figura 3: Inicio de la Instalación de McAfee AntiSpyware.
Al finalizar la instalación mostrara la pantalla que se muestra en la figura siguiente. Damos clic en finalizar.
Figura 4: Fin de la Instalación
Actualización de VirusScan Enterprise 8.5i y McAfee AntiSpyware 8.5
Para hacer la actualización del antivirus y del módulo antispyware será necesario descargar el archivo sdat actual, como es de nuestro conocimiento, se descarga del ftp del Instituto, la dirección es la siguiente: ftp://11.254.12.97/Actualizaciones_McAfee_Dats/sdat/
Cuando haya terminado la descarga, damos doble clic al archivo sdat####.exe (los simbolos de # representan el número actual del datfile) y mostrará la siguiente pantalla. Damos clic en siguiente para iniciar la actualización.
Figura 1: Inicio de la actualización.
Una vez finalizada la actualización de VirusScan y Mcafee AntiSpyware, es posible que sea necesario reiniciar el equipo, si es así, se activa la casilla donde pregunta que si deseamos reiniciar el equipo ahora. Damos clic en finish y el equipo reiniciara.
Instalación Software VPN Institucional
El software VPN-1 SecuRemote/SecureClient para realizar la conexión remota hacia la red del Instituto, será proporcionado por personal de la División de Soporte Técnico y Seguridad Informática.
Una vez que se copia el software al equipo de cómputo, se da doble clic sobre el archivo ejecutable con extensión msi y aparece la siguiente pantalla.
Se da clic sobre el botón “Next” y aparece el acuerdo de licenciamiento. Se selecciona la opción “I accept the terms in the license agreement”
Se da clic en el botón “Next” y nos indica la ruta en donde será instalado el software.
Posteriormente aparece una ventana donde tiene que seleccionar la opción de Install VPN-1 SecuRemote y se da clic en el botón “Next”.
Nos aparece la pantalla para realizar la confirmación de la instalación y procedemos a dar clic en el botón “Install”
Aparece la ventana con el estado inicial de la instalación.
Posteriormente aparece la pantalla donde se indica que se encuentran configurando los controladores de software.
Posterior a esto aparece la pantalla que nos indica que la instalación a finalizado. Se da un clic en el botón “Finish”.
Inmediatamente nos aparece una ventana donde nos solicita reiniciar el equipo para que los cambios sean efectuados. Se da clic en el botón “Yes” y se procede a reiniciar el equipo.
Para realizar la conexión al Secure Remote es necesario ir a la barra de tareas donde se encuentra un icono en forma de llave y procedemos a dar doble clic.
De manera inicial no se tienen sitios de VPN creados, por lo cual aparecerá la siguiente pantallas, procedemos a dar clic el botón “Yes”
Se tendrán indicar la dirección IP a la cual realizaremos la conexión remota, para lo cual deberá ingresarse la dirección 148.223.143.211; así como un descriptivo o nombre del sitio, se debera usar el siguiente VPN_IMSS_MEX y procedemos dar un clic en el botón “Next”
En la siguiente pantalla se mostrarán cuatro opciones para el método de autenticación, se selecciona la primera opción «User Name and Password» y damos un clic en el botón “Next”
Se deberá de ingresar el nombre de usuario de la cuenta VPN que fue asignado por la División de Soporte Técnico y Seguridad Informática.
Posteriormente aparecerá una pantalla donde indicara el tipo de conexión para la obtención de datos del servidor VPN, seleccionamos la referida como “Standard” y damos un clic en el botón “Next”.
Se iniciara el proceso de validación de conectividad hacia el servidor VPN de la red del Instituto.
Se mostrara la pagina donde se especifica el certificado utilizado por la conexión segura, procedemos a dar clic en “Next”
Se procede nuevamente a la validación de conectividad hacia el servidor VPN de la red del Instituto.
El proceso de instalación y configuración finalizara y se mostrara la pantalla siguiente:
Después de haber registrado el sitio VPN al cual se conectara el usuario, se procede a realizar el primer inicio de sesión ingresando el nombre de usuario y contraseña, así como el sitio VPN al cual se conectara: fwsmexnk
Finalmente se mostraran las pantallas de progreso de conexión y conexión realizada satisfactoriamente, como a continuación se muestra:
Finalmente en la parte inferior derecha de la barra de tareas, se mostrara el icono de la llave como conectado.
