',5(&75,&(6 '( 6(*85,'$' '( /$ ,1)250$&,21 '( 7,&...

DIRECTRICES DE SEGURIDAD DE LA INFORMACION DE TIC

Versión 2.2

Junio 2017

SECRETARIA DE COMUNICACIONES Y TRANSPORTES

OFICIALIA MAYOR

Unidad de Tecnologías de Información y Comunicaciones

Hoja 2 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014

Directrices y Lineamientos de TIC A5 F21A

Contents

Introducción ________________________________________________________________________________ 9 Objetivos ___________________________________________________________________________________ 9 Ámbito de aplicación _________________________________________________________________________ 9 Definiciones y Acrónimos ______________________________________________________________________ 9 DIRECTRICES DE SEGURIDAD DE LA INFORMACION ________________________________________________ 12 DSITIC 1 Directriz de Seguridad de la Información de la SCT _________________________________________ 12

DSITIC1-a) Revisión y actualización de Directrices ______________________________________________________ 12

DSITIC 2 Grupo de Estratégico de Seguridad de la Información ______________________________________ 12

DSITIC 2-a) Responsabilidades del Propietario de los Activos de Información ________________________________ 12

DSITIC 2-b) Responsabilidades de los Mandos Medios y Superiores con la Seguridad de la Información ___________ 12

DSITIC 2-c) Responsabilidades de los Empleados ______________________________________________________ 13

DSITIC 3 Contraseñas y claves de usuario ________________________________________________________ 14

DSITIC 3-a) Estándar de Contraseñas (Passwords) para usuarios __________________________________________ 14

DSITIC 3-b) Gestión de usuario/contraseña (password) _________________________________________________ 14

DSITIC 3-c) Contraseñas (Passwords) de los usuarios ___________________________________________________ 14

DSITIC 3-d) Asignación de contraseñas (passwords) de acceso ___________________________________________ 14

DSITIC 3-e) Compartir Contraseña (Password) ________________________________________________________ 14

DSITIC 3-f) Revocación de Usuario/Contraseña (Password) ______________________________________________ 14

DSITIC 3-g) Usuarios/Contraseñas de Administración ___________________________________________________ 15

DSITIC 3-h) Excepción de cuentas con privilegios ______________________________________________________ 15

DSITIC 3-i) Usuario/contraseña (password) de invitado _________________________________________________ 15

DSITIC 3-j) Responsabilidad de Usuario/Contraseña (password) __________________________________________ 15

DSITIC 3-k) Restricciones de Usuario/Contraseña (password) ____________________________________________ 15

DSITIC 3-l) Periodo de Usuario/Contraseña (password) activo ____________________________________________ 15

DSITIC 3-m) Baja de accesos por renuncia o baja de la Institución _________________________________________ 15

DSITIC 3-n) Contraseñas (Passwords) por vía telefónica _________________________________________________ 15

DSITIC 3-o) Bloqueo de Cuentas de Usuario ___________________________________________________________ 15

DSITIC 3-p) Reactivación de cuentas ________________________________________________________________ 16

DSITIC 3-q) Bitácoras de Auditoria de Usuarios/Contraseñas _____________________________________________ 16

DSITIC 4 Tercerización (Outsourcing) de servicios de TIC ____________________________________________ 16

DSITIC 4-a) Identificar Riesgos y mitigación ___________________________________________________________ 16

DSITIC 4-b) Establecer Acuerdos con los Proveedores sobre Seguridad de Información ________________________ 16


OFICIALIA MAYOR


Hoja 3 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 4-c) Procedimientos de contacto para la Seguridad de la Información UTIC/Proveedor __________________ 16

DSITIC 4-d) Derechos de verificación y auditoria con el Proveedor _________________________________________ 16

DSITIC 4-e) Contingencias del servicio del proveedor ___________________________________________________ 16

DSITIC 4-f) Manejo de equipamiento de TIC con el proveedor ____________________________________________ 16

DSITIC 5 Clasificación y Control de Activos _______________________________________________________ 17

DSITIC 5-a) Registros de inventario de equipos de TIC __________________________________________________ 17

DSITIC 5-b) Todo activo de información debe tener un propietario responsable ______________________________ 17

DSITIC 5-c) Toda la información de la Secretaría debe tener una clasificación _______________________________ 17

DSITIC 5-d) Etiquetas en los medios de almacenamiento de información ___________________________________ 17

DSITIC 5-e) Responsables de los activos críticos _______________________________________________________ 17

DSITIC 5-f) Propietario único en caso de duplicidad ____________________________________________________ 17

DSITIC 5-g) Propiedad de información operacional y de red ______________________________________________ 17

DSITIC 5-h) Definición de los controles de seguridad en los activos ________________________________________ 17

DSITIC 5-i) Frecuencia de los análisis de riesgo de los activos críticos ______________________________________ 17

DSITIC 5-j) Revisión del Propietario designado de la Información sobre el acceso de los usuarios ________________ 17

DSITIC 5-k) Asignación de Activos de los usuarios ______________________________________________________ 18

DSITIC 6 Directriz de Seguridad para el Personal __________________________________________________ 18

DSITIC 6-a) Las descripciones de puestos incluyen responsabilidades de Seguridad de la Información ____________ 18

DSITIC 6-b) La responsabilidad de seguridad de la información ___________________________________________ 18

DSITIC 6-c) Incumplimiento de las Directrices de Seguridad TIC ___________________________________________ 18

DSITIC 6-d) Acuerdo de confidencialidad se refrendan al menos una vez por año _____________________________ 18

DSITIC 6-e) Difusión y concientización de las Directrices de Seguridad _____________________________________ 18

DSITIC 6-f) Identificación de personal Externo _________________________________________________________ 18

DSITIC 6-g) Involucrados ante incumplimiento o violación de Directrices de Seguridad ________________________ 18

DSITIC 6-h) Renuncia o baja de Personal _____________________________________________________________ 18

DSITIC 7 Directriz de Seguridad Física para activos de TIC ___________________________________________ 18

DSITIC 7-a) Perímetros Seguros ____________________________________________________________________ 18

DSITIC 7-b) Controles para proteger las áreas de TIC seguras ____________________________________________ 19

DSITIC 7-c) Acceso a áreas de TIC restringidas_________________________________________________________ 19

DSITIC 7-d) Responsables de las áreas de TIC restringidas _______________________________________________ 19

DSITIC 7-e) Protección a equipos de soporte (faxes, copiadoras y multifuncionales) __________________________ 19

DSITIC 7-f) Protección a cables de energía y comunicación ______________________________________________ 19

DSITIC 7-g) Área de carga y descarga de los Centros de Datos ____________________________________________ 19


OFICIALIA MAYOR


Hoja 4 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 7-h) Bóvedas para respaldos de información de TIC ______________________________________________ 19

DSITIC 7-i) Protección de bóvedas TIC _______________________________________________________________ 19

DSITIC 7-j) Evacuación en casos de contingencias ______________________________________________________ 19

DSITIC 7-k) Protección de los servidores ______________________________________________________________ 19

DSITIC 7-l) Salida de equipo de TIC de las instalaciones _________________________________________________ 20

DSITIC 7-m) Evitar daños de Equipo de protección a los activos de información ______________________________ 20

DSITIC 7-n) Suministro ininterrumpido de energía _____________________________________________________ 20

DSITIC 7-o) Protección contra robo de partes de los equipos de TIC ________________________________________ 20

DSITIC 7-p) Protección del equipo de TIC en áreas usuarias ______________________________________________ 20

DSITIC 7-q) Revisión obligatoria al desechar medios de información _______________________________________ 20

DSITIC 7-r) Controles en el manejo de Información confidencial o reservada ________________________________ 20

DSITIC 7-s) Reutilización de Medios de Información ____________________________________________________ 20

DSITIC 7-t) Controles de Seguridad Física de la Institución _______________________________________________ 20

DSITIC 8 Directriz de Operación de Cómputo _____________________________________________________ 20

DSITIC 8-a) Acceso a los equipos de cómputo _________________________________________________________ 20

DSITIC 8-b) Procedimientos de acción inmediata para incidentes de seguridad ______________________________ 20

DSITIC 8-c) Manejo de los incidentes y problemas de seguridad __________________________________________ 21

DSITIC 8-d) Programa Institucional de Protección contra Virus ___________________________________________ 21

DSITIC 8-e) Nueva Aplicación a Producción ___________________________________________________________ 21

DSITIC 8-f) Procedimientos de respaldo y recuperación de información ____________________________________ 21

DSITIC 8-g) Continuidad de Servicios ________________________________________________________________ 21

DSITIC 8-h) Facilidades de Seguridad de los Sistemas Operativos _________________________________________ 21

DSITIC 8-i) Retención de registros de seguridad _______________________________________________________ 21

DSITIC 8-j) Manejo de medios magnéticos ____________________________________________________________ 21

DSITIC 8-k) Respaldo de Información confidencial______________________________________________________ 21

DSITIC 8-l) Autenticación en operaciones con terceros __________________________________________________ 21

DSITIC 8-m) Correo electrónico _____________________________________________________________________ 21

DSITIC 8-n) Auditorias de Seguridad_________________________________________________________________ 21

DSITIC 8-o) Carpetas compartidas __________________________________________________________________ 21

DSITIC 8-p) Prohibiciones en equipos de Cómputo _____________________________________________________ 21

DSITIC 8-q) Servidores ____________________________________________________________________________ 22

DSITIC 8-r) Ambiente de Producción aislado __________________________________________________________ 22

DSITIC 8-s) Antivirus y código malicioso ______________________________________________________________ 22

DSITIC 8-t) Baja de Servicios por renuncia o Baja de la Institución _________________________________________ 22


OFICIALIA MAYOR


Hoja 5 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 8-u) Mantenimientos preventivos y correctivos de equipo de cómputo _______________________________ 22

DSITIC 8-v) Autorizados para apertura de cubiertas del equipo de cómputo _________________________________ 22

DSITIC 8-w) Reporte de fallas ______________________________________________________________________ 22

DSITIC 9 Directriz de Operación Red ____________________________________________________________ 22

DSITIC 9-a) Configuraciones de Red _________________________________________________________________ 22

DSITIC 9-b) Procedimientos de acción inmediata para incidentes de seguridad de red _________________________ 22

DSITIC 9-c) Procedimientos de respaldo y recuperación de información en dispositivos de Red __________________ 22

DSITIC 9-d) Retención de registros de seguridad _______________________________________________________ 22

DSITIC 9-e) Controles de información en la red ________________________________________________________ 23

DSITIC 9-f) Expansión o ampliación de alcance de la red ________________________________________________ 23

DSITIC 9-g) Seguridad en la red Wireless _____________________________________________________________ 23

DSITIC 9-h) Seguridad en dispositivos móviles _________________________________________________________ 23

DSITIC 9-i) Equipos de Comunicaciones (Telecomunicaciones) ____________________________________________ 23

DSITIC 9-j) Plan de Direccionamiento ________________________________________________________________ 23

DSITIC 9-k) Autenticación en operaciones con terceros__________________________________________________ 23

DSITIC 9-l) Intercambio de datos y software con terceros ________________________________________________ 23

DSITIC 9-m) Protección de información confidencial en la red ____________________________________________ 23

DSITIC 9-n) Internet ______________________________________________________________________________ 23

DSITIC 9-o) Mantenimientos preventivos y correctivos de TIC ____________________________________________ 23

DSITIC 10 Directriz de Acceso a Sistemas ________________________________________________________ 24

DSITIC 10-a) Identificación de Usuario _______________________________________________________________ 24

DSITIC 10-b) Funcionalidad de los programas de seguridad ______________________________________________ 24

DSITIC 10-c) Controles de Acceso al Sistema y monitoreo ________________________________________________ 24

DSITIC 10-d) Registro de Usuarios para acceso al sistema y servicios ______________________________________ 24

DSITIC 10-e) Herramientas automatizadas ___________________________________________________________ 24

DSITIC 10-f) Asignación de privilegios _______________________________________________________________ 24

DSITIC 10-g) Autorización del Propietario de la Información _____________________________________________ 25

DSITIC 10-h) Protección de acceso en línea desde Internet _______________________________________________ 25

DSITIC 10-i) Disponibilidad de los servicios de seguridad ________________________________________________ 25

DSITIC 10-j) Perfiles reservados para auditoria ________________________________________________________ 25

DSITIC 10-k) Notificación a Propietarios de Activos en casos de violación de seguridad ________________________ 25

DSITIC 10-l) Auditoria de acceso de los usuarios _______________________________________________________ 25

DSITIC 10-m) Inhibición de terminales de trabajo ______________________________________________________ 25


OFICIALIA MAYOR


Hoja 6 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 10-n) Participación de Propietarios en controles de acceso ________________________________________ 25

DSITIC 10-o) Autenticación de usuarios y terminales ___________________________________________________ 25

DSITIC 10-p) Procedimientos de login de usuarios ______________________________________________________ 25

DSITIC 10-q) Conexión desatendida _________________________________________________________________ 26

DSITIC 10-r) Acceso a utilerías del software de sistema operativo _________________________________________ 26

DSITIC 10-s) Control de la Bibliotecas de Programas ____________________________________________________ 26

DSITIC 10-t) Verificación de acceso _________________________________________________________________ 26

DSITIC 10-u) Sincronización de los relojes de los sistemas _______________________________________________ 26

DSITIC 10-v) Información de los proveedores de SCT ____________________________________________________ 26

DSITIC 10-w) Vigencia de acceso de nuevos usuarios ___________________________________________________ 26

DSITIC 10-x) Protectores de pantalla ________________________________________________________________ 26

DSITIC 10-y) Gestión de accesos y permisos __________________________________________________________ 26

DSITIC 11 Directriz para la Seguridad en el Desarrollo y Mantenimiento de Sistemas ____________________ 27

DSITIC 11-a) Catálogo de Sistemas__________________________________________________________________ 27

DSITIC 11-b) Controles de Seguridad en los nuevos sistemas o actualización de anteriores _____________________ 27

DSITIC 11-c) Liberación de sistemas a producción ______________________________________________________ 27

DSITIC 11-d) Consideraciones de Seguridad en todo el ciclo del desarrollo __________________________________ 27

DSITIC 11-e) Cifrado de la información clasificada _____________________________________________________ 27

DSITIC 11-f) Autenticación de mensajes en aplicaciones sensibles _________________________________________ 27

DSITIC 11-g) Restricción al personal de desarrollo en el ambiente de producción _____________________________ 27

DSITIC 11-h) Aislamiento del ambiente de producción a las pruebas _______________________________________ 27

DSITIC 11-i) Protección de datos de prueba ___________________________________________________________ 27

DSITIC 11-j) Protección de los sistemas en ambiente de producción _______________________________________ 28

DSITIC 11-k) Liberar aplicaciones solamente cuando tengan la seguridad ya implantada ______________________ 28

DSITIC 11-l) Validación de datos de entrada __________________________________________________________ 28

DSITIC 11-m) Validación de integridad de la información ________________________________________________ 28

DSITIC 11-n) Los sistemas y aplicaciones son propiedad de la SCT _________________________________________ 28

DSITIC 11-o) Acceso a bases de datos por interfaces autorizadas _________________________________________ 28

DSITIC 11-p) Monitoreo de intentos de actualización de información no autorizados _________________________ 28

DSITIC 11-q) Proceso de Pruebas ___________________________________________________________________ 28

DSITIC 11-r) Pruebas en ambiente Preproducción ______________________________________________________ 28

DSITIC 11-s) Producción autoriza ingreso de nuevo código al ambiente ____________________________________ 28

DSITIC 11-t) El código migrado a Producción debe ser fuente ____________________________________________ 28

DSITIC 11-u) DSITIC 10-y) Falla en pruebas en producción _______________________________________________ 29


OFICIALIA MAYOR


Hoja 7 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 11-v) Controles para bibliotecas ______________________________________________________________ 29

DSITIC 11-w) Control de implantaciones en producción _________________________________________________ 29

DSITIC 11-x) Cambios de versión del sistema operativo y/o software del sistema _____________________________ 29

DSITIC 11-y) Modificaciones a software adquirido _____________________________________________________ 29

DSITIC 12 Directriz de Continuidad de la SCT _____________________________________________________ 29

DSITIC 12-a) Estrategia de recuperación _____________________________________________________________ 29

DSITIC 12-b) Resguardo del plan de recuperación ______________________________________________________ 29

DSITIC 12-c) Plan de Continuidad y responsables ______________________________________________________ 29

DSITIC 12-d) Pruebas periódicas del plan _____________________________________________________________ 29

DSITIC 12-e) Cambios al plan ______________________________________________________________________ 29

DSITIC 12-f) Recuperación para procesos de auditoria __________________________________________________ 30

DSITIC 13 Directriz de Monitoreo y Auditoria _____________________________________________________ 30

DSITIC 13-a) Licencias del software utilizado __________________________________________________________ 30

DSITIC 13-b) Software no autorizado ________________________________________________________________ 30

DSITIC 13-c) Sospecha de software malicioso _________________________________________________________ 30

DSITIC 13-d) Identificación de información retenida ____________________________________________________ 30

DSITIC 13-e) Protección de la información ____________________________________________________________ 30

DSITIC 13-f) Auditorias ___________________________________________________________________________ 30

DSITIC 13-g) Revisiones técnicas de los controles de seguridad ___________________________________________ 30

DSITIC 13-h) Precauciones de auditoria sistemas operativos _____________________________________________ 30

DSITIC 13-i) Participación de dueños o propietarios de la información _____________________________________ 30

DSITIC 13-j) Documentar auditoria de incidentes de seguridad ___________________________________________ 30

DSITIC 13-k) Reportes para identificar violaciones _____________________________________________________ 31

DSITIC 13-l) Registros completos de auditoria _________________________________________________________ 31

DSITIC 13-m) Identificación de Usuarios con acceso a sistemas ___________________________________________ 31

DSITIC 13-n) Reportes para auditoria ________________________________________________________________ 31

DSITIC 13-o) Recolección de información para auditoria ________________________________________________ 31

DSITIC 13-p) Auditoria constante a usuarios privilegiados _______________________________________________ 31

DSITIC 13-q) Protección de herramientas de auditoria __________________________________________________ 31

DSITIC 13-r) Definición de puntos críticos de auditoria __________________________________________________ 31

DSITIC 13-s) Captar y escuchar informes de usuarios sobre seguridad ______________________________________ 31

DSITIC 14 Directriz de Servicios de Internet ______________________________________________________ 31

DSITIC 14-a) Monitoreo y registros de actividad del servicio de Internet ____________________________________ 31


OFICIALIA MAYOR


Hoja 8 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 14-b) Seguridad de Navegación de Internet _____________________________________________________ 31

DSITIC 14-c) Cuentas para acceso al Servicio de Internet ________________________________________________ 31

DSITIC 14-d) Filtrado de Contenido en el servicio de Internet _____________________________________________ 32

DSITIC 14-e) Actividades de Navegación Prohibidas ____________________________________________________ 32

DSITIC 14-f) Solicitudes de servicio de Internet ________________________________________________________ 32

DSITIC 14-g) Interconexión de servicio de Internet _____________________________________________________ 32

DSITIC 14-h) Excepciones de interconexión de Internet __________________________________________________ 32

DSITIC 14-i) Puertos lógicos de Comunicación para Internet _____________________________________________ 32

DSITIC 15 Directriz de Servicios de Correo Electrónico ______________________________________________ 32

DSITIC 15-a) Solicitudes de servicio de Correo Electrónico _______________________________________________ 32

DSITIC 15-b) Transferencia de información no autorizada _______________________________________________ 32

DSITIC 15-c) Baja de cuentas por fin de actividades laborales en la Institución _______________________________ 33

DSITIC 15-d) Listas de Distribución __________________________________________________________________ 33

DSITIC 16 Directriz de Atención de Incidentes de seguridad _________________________________________ 33

DSITIC 16-a) Incidentes de Seguridad relevantes _______________________________________________________ 33

DSITIC 16-b) Acciones ante incidentes de seguridad ____________________________________________________ 33

DSITIC 16-c) Reporte de incidentes de seguridad_______________________________________________________ 33

DSITIC 16-d) Registros de incidentes de seguridad _____________________________________________________ 33

DSITIC 16-e) Acuerdos con terceros _________________________________________________________________ 34

DSITIC 17 Directriz de Eliminación de Información _________________________________________________ 34

DSITIC 17-a) Destrucción de información en Equipo de Cómputo y Dispositivos de Almacenamiento. _____________ 34

DSITIC 17-b) Eliminación programada. ______________________________________________________________ 34

DSITIC 17-c) Eliminación del día a día. _______________________________________________________________ 35

DSITIC 18 Incumplimiento y Sanciones __________________________________________________________ 35

DSITIC 18-a) Enterar al OIC ________________________________________________________________________ 35


OFICIALIA MAYOR


Hoja 9 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Introducción

En este documento se establecen las Directrices y reglas para las áreas que hacen uso de las Tecnologías de Información y Comunicaciones dentro de las Unidades Administrativas Centrales y los Centros SCT, que permitirán establecer un orden, mejor administración y mayor Seguridad de la Informacion en la Secretaría. Las Directrices y Lineamientos definidas en el presente documento están alineadas con el Plan Nacional de Desarrollo, la Estrategia Digital Nacional, el propio MAAGTIC-SI y se dirigen a la armonización y homologación de las actividades en materia de TIC y de Seguridad de la Información que deben apoyar el cumplimiento de metas y programas de la SCT.

Objetivos

- Establecer las reglas y mecanismos que se deben cumplir para la protección de las TIC, así como la

información que se procesa almacena y transmite en estas, por parte de los usuarios de la SCT y todos aquellos fuera de la institución que requieran consumir información de la institución a través de las TIC.

- Consolidar la Seguridad de la Información en los procesos que utilizan, se auxilian o vinculan con las

TIC`s.

Ámbito de aplicación

Todos los Servidores Públicos de la SCT, terceros involucrados a través de servicios y/o contratos y los usuarios. El desconocimiento del mismo, no exonera de responsabilidad alguna al usuario, ante cualquier eventualidad que involucre la seguridad de la información, los servicios tecnológicos y las TIC

Definiciones y Acrónimos

Código de Autorización. - Es una clave asignada al personal de la SCT para realizar llamadas de voz. Conmutador Telefónico. -Dispositivo con lógica de interconexión, en el caso de telefonía realiza la interconexión entre dos o más dispositivos para posibilitar la comunicación de voz. Conjunto de datos. - Serie de datos estructurados, vinculados entre sí y agrupados dentro de una misma unidad temática y física, de forma que puedan ser procesados apropiadamente para obtener información. Cuentas de usuario. - Servicio que provee un espacio de memoria físico para la recepción, envío y almacenamiento de mensajes de correo electrónico, asociada a un único usuario, el cual puede acceder a su cuenta a través de un nombre de usuario/contraseña. Cuentas comunes o de servicios. - Es aquella que tiene las mismas características de una cuenta de usuario, pero asociada a más de un usuario o áreas, para la atención de servicios, solicitudes, seguimientos, recepción de quejas, gestión de documentación, entre otros. Cuentas especiales. - Es una cuenta de usuario cuyo propósito es atender los requerimientos de correo electrónico de las Unidades Administrativas y Centros SCT para su accionar con los proveedores, auditores, terceros involucrados a través de servicios y/o contratos, personal de vigilancia, personal de servicio social o prácticas profesionales, al personal externo que hace uso del servicio y tiene un vínculo con la SCT. Extensión Telefónica. -Término utilizado para referirse al aparato telefónico instalado a un usuario, asociado a un identificador numérico único dentro de la red de voz de la SCT.


OFICIALIA MAYOR


Hoja 10 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


CSV. - Formato sencillo y abierto para representar datos en forma de tabla, en las que las columnas se separan por comas. En los casos en los que un valor contenga coma (como el separador decimal en algunos países), se recomienda encerrar entre comillas los valores o utilizar otro separador como “punto y coma” o “tabulador”. Datos. -: El registro informativo simbólico, cuantitativo o cualitativo, generado u obtenido por las dependencias y entidades de la Administración Pública Federal, así como por las empresas productivas del Estado. Datos Abiertos. - Los datos digitales de carácter público que son accesibles en línea, y pueden ser usados, reutilizados y redistribuidos, por cualquier interesado. Directriz Rectora. - El documento estratégico en el que se establecen principios tecnológicos de alto nivel. Formato Abierto. - Conjunto de características técnicas y de presentación que corresponden a la estructura lógica usada para almacenar datos en un archivo digital, cuyas especificaciones técnicas están disponibles públicamente, que no suponen una dificultad de acceso y que su aplicación y reproducción no estén condicionadas a contraprestación alguna. Gobierno de Datos. - Desarrollo y supervisión de planes, políticas, programas y prácticas para controlar, proteger, entregar y mejorar el valor de los datos maestros y la información de los activos bajo la administración de la UTIC. IP. - Internet Protocol, Protocolo de Internet. Se trata de un estándar que se emplea para el envío y recepción de información mediante una red que reúne paquetes conmutados de datos JSON. - Formato ligero (y legible) para el intercambio de datos. Dada su simplicidad de estructura, se ha generalizado su uso en la Web. KML. - Lenguaje de marcado basado en XML para representar datos geográficos en tres dimensiones, característico de la herramienta Google Earth. Un archivo KML describe elementos, como lugares, imágenes, o polígonos, que además contienen título, descripción, coordenadas geográficas y alguna otra información. Desde 2008 es un estándar en la industria y es aprobado por la OGC. Lineamiento. - Pautas que deben seguirse para aplicar y dar cabal cumplimiento a una política Listas de distribución. - El conjunto de cuentas de usuario comunes, que permiten identificar usuarios o áreas comunes y que tienen como propósito la distribución y entrega de mensajes electrónicos de forma masiva “controlada”. Llamada interna. -Son las llamadas que se realizan entre aparatos telefónicos haciendo uso exclusivamente de la red de voz de la SCT. Llamada Local. -. Son llamadas que se realizan desde un aparato telefónico de la red de voz de la SCT a otro fuera de la misma, dentro de la misma región de tarificación haciendo uso dela PSTN. Llamada a larga distancia. - Son las llamadas que se realizan desde un aparato telefónico de la red de voz de la SCT a otro fuera de la misma, y que se encuentra fuera de la misma región de tarificación haciendo uso de la PSTN, las llamadas pueden ser de ámbito Internacional o Mundial. MAAGTICSI. - Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones y Seguridad de la Información MDM. - Gestión de datos maestros. Metadatos. - Datos estructurados y actualizados que describen el contexto y las características de contenido, captura, procesamiento, calidad, condición, acceso y distribución de un conjunto de datos, que sirven para facilitar su búsqueda, identificación y uso. Password. - Contraseña o clave para acceder a un programa protegido, a la red institucional u otro elemento de TIC que lo solicite Política. - Directriz u ordenamiento específico en un tema que requiere una definición para decidir el curso de las acciones ante varias alternativas. -Equivalente a Directriz Rectora que solicita el MAAGTICSI en sus diferentes procesos y factores críticos. Privilegios. - Son el conjunto de permisos de marcación otorgados durante un plazo temporal a una extensión telefónica para realizar llamadas internas, locales, celulares, nacionales o internacionales. Red de Voz de la SCT. - Es la infraestructura de telefonía generada por los diversos conmutadores de la SCT. RDF. - Formato de la W3C diseñado para generar un modelo de datos que describa la información de un recurso web. Este mecanismo es un componente clave de la Web Semántica. SCT. - Secretaría de Comunicaciones y Transportes, también puede ser simplemente la Secretaría SIGTIC. - Sistema de Gestión de Tecnologías de Información y Comunicaciones


OFICIALIA MAYOR


Hoja 11 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


SLA. - El acuerdo de nivel de servicio que se compromete con la unidad administrativa solicitante, al entregar un aplicativo de cómputo o servicio de TIC (Service Level Agreement, por sus siglas en inglés). TIC. - Tecnologías de Información y Comunicaciones UTIC. - Unidad de Tecnologías de Información y Comunicaciones XML. - Lenguaje de marcado desarrollado por la W3C para almacenar datos en forma legible y estructurada, que propone un estándar para el intercambio de información entre diferentes plataformas.


OFICIALIA MAYOR


Hoja 12 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DIRECTRICES DE SEGURIDAD DE LA INFORMACION

DSITIC 1 Directriz de Seguridad de la Información de la SCT

La Información es el recurso más importante de la SCT después del Humano, por lo que la continuidad de los servicios y la salvaguarda de la información que los activos recolectan, procesan, transmiten y/o almacenen en la Institución, se mantendrá a un nivel acreditable, observando siempre la Confidencialidad, Integridad y Disponibilidad de la misma, siendo obligación de todos los empleados de la Secretaría ser garantes de la Seguridad de la Información de la Institución.

DSITIC1-a) Revisión y actualización de Directrices

Las directrices deben revisarse al menos una vez al año, con la finalidad de garantizar que se mantengan actualizadas para su aplicación en la Institución.

DSITIC 2 Grupo de Estratégico de Seguridad de la Información

El Grupo Estratégico de Seguridad de la Información en la SCT (grupo establecido en el documento XXXX), evaluara los requerimientos en materia de Seguridad y formulara el plan de Seguridad de la Información, así como su programa de implementación, con la participación de los representantes informáticos de las Unidades Administrativas Centrales y Centros SCT.

DSITIC 2-a) Responsabilidades del Propietario de los Activos de Información

i. Identificar y categorizar los datos críticos que estén bajo su responsabilidad, incluyendo los requerimientos de confidencialidad, integridad y disponibilidad.

ii. Incluir para todos los activos de información la documentación de requerimientos de Seguridad de la información y éstas se presentarán al Grupo Estratégico de Seguridad de la Información para su revisión y validación

iii. Comunicar los requerimientos específicos de seguridad de información iv. Definir el tiempo aceptable para recuperar su información (datos) y sistemas críticos además de

identificar el impacto institucional en caso de una interrupción prolongada. v. Definir la continuidad de los servicios de TIC institucional y requerimientos de recuperación en

caso de desastre. vi. Realizar una evaluación anual de riesgos para confirmar la confidencialidad, integridad y

requerimientos de disponibilidad relacionados con su información y aplicaciones. vii. Definir los requerimientos de seguridad de la información para que el área de sistemas de

información sea capaz de proporcionar un nivel adecuado de seguridad a su Información (datos) y aplicaciones críticas

viii. Definir los requerimientos de seguridad física para la información, aplicaciones, cómputo y red. ix. Revisar los registros y reportes de auditoria para asegurar el cumplimiento de las directrices de

seguridad de Información (datos) y aplicaciones. x. Participar en la solución de los incidentes relacionados con el acceso no autorizado o mal uso

de Información (datos), incluyendo los incumplimientos a la seguridad, en la confidencialidad, disponibilidad e integridad de la Información (datos).

DSITIC 2-b) Responsabilidades de los Mandos Medios y Superiores con la Seguridad de la Información

i. Comunicar a sus empleados o subordinados las Directrices de Seguridad de la Información y requerimientos relacionados con las TIC.

ii. Asegurar que los empleados comprendan que la violación de las Directrices de Seguridad de Información puede resultar en una acción disciplinaria y/o legal.

iii. Autorizar las solicitudes de servicios de TIC, para que sus empleados accedan a los recursos de la SCT con base en las necesidades para realizar efectivamente las asignaciones de trabajo.

iv. Asegurar que todos los empleados que utilicen TIC en la SCT firmen un documento de responsabilidad para la seguridad y confidencialidad de la información (datos).


OFICIALIA MAYOR


Hoja 13 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


v. Notificar a la UTIC de cualquier cambio al estado del empleado posterior a la transferencia,

cambio de adscripción, comisión, terminación de contrato de honorarios, jubilación o baja de la institución.

vi. Revisar periódicamente las autorizaciones para que su área asegure que exista la justificación continua para el acceso a los recursos de TIC con los que se cuenta

vii. Asegurar que no se instalen en el área o proyecto bajo su cargo ningún software ni hardware informático o infraestructura de comunicaciones alguna, que no cuente con la revisión y aprobación de la UTIC.

viii. Reportar todas las violaciones a las presentes Directrices, a los responsables de la administración de la Seguridad de la información.

ix. Asesorar a cualquier persona que reporte de buena fe una violación a las Directrices de Seguridad.

x. Contribuir y dar el apoyo necesario a los responsables de la seguridad de la información de la SCT, ante cualquier auditoría o revisión de los equipos, infraestructura y/o medio de almacenamiento de información que se encuentra en el área bajo su cargo.

xi. Asegurar que no se instalen ningún tipo de equipamiento o servicio de acceso a Internet dentro de las instalaciones de la SCT que no haya sido reportado, registrado o validado por la UTIC.

DSITIC 2-c) Responsabilidades de los Empleados

i. Conocer y cumplir con las Directrices de Seguridad de TIC de la SCT. ii. Utilizar los sistemas, aplicaciones y acceso a la red de la SCT únicamente para propósitos de

trabajo y no para uso personal o asuntos no autorizados. iii. Mantener sus identificaciones de acceso de seguridad confidencialmente. (contraseñas o

password). iv. Abstenerse de compartir sus identificaciones (contraseñas o password) de acceso. v. Comprender las directrices de protección de la información que se utilice, así como su

responsabilidad respecto del uso, compartición y divulgación de Información sin autorización de la SCT.

vi. Instalar únicamente software aprobado por la UTIC que cuente con una licencia en el equipo de cómputo asignado.

vii. Abstenerse de instalar software o hardware informático, infraestructura de comunicación alguna, que no haya sido validado por su Director de Área inmediato superior, el cual deberá contar con la autorización y aprobación de la UTIC.

viii. Abstenerse de instalar equipamiento o servicio de acceso a Internet dentro de las instalaciones de la SCT que no haya sido autorizado o validado por la UTIC.

ix. Utilizar los procedimientos apropiados para usar información obtenida fuera de las instalaciones de la SCT.

x. Notificar a la UTIC inmediatamente. cualquier incidente o violación a la seguridad que descubra, incluyendo el mal uso de recursos, uso ilegal de software, virus o evidencia de actividad maliciosa.

xi. Responder por el buen uso e integridad de todos aquellos bienes e Información en custodia, propiedad de la SCT, que utiliza en su actividad cotidiana y están bajo su resguardo.

xii. Responsabilizarse de la Información contenida en el equipo asignado propiedad de la SCT, que utiliza en su actividad cotidiana y deberá mantenerla respaldada.

xiii. Firmar un resguardo del equipo de cómputo asignada para sus actividades laborales. xiv. Considerar que no se debe modificar equipos de cómputo a partir de la entrega de este o añadir

Hardware (dispositivos o aditamentos) para mejorar la funcionalidad de algún equipo de la Institución a menos que se tenga expresamente la autorización o aprobación por parte de la UTIC.


OFICIALIA MAYOR


Hoja 14 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 3 Contraseñas y claves de usuario

Todos los usuarios de sistemas, aplicaciones y en general de TIC deben controlar sus accesos a través de un usuario/contraseña (password) con la importancia de mantener la seguridad de información y de la responsabilidad que tienen con respecto a mantener controles de acceso efectivos.

DSITIC 3-a) Estándar de Contraseñas (Passwords) para usuarios

Las contraseñas para el acceso a los recursos de TIC deben cumplir con las siguientes características: i. Deben tener una longitud mínima de 8 caracteres. ii. Deben combinar caracteres alfanuméricos (al menos un número). iii. Las contraseñas deben ser almacenadas en forma cifrada de tal forma que no puedan ser

comprometidas con técnicas de análisis criptográfico. iv. Las contraseñas deben viajar cifradas una vez que han sido introducidas en el recurso de

procesamiento de información. v. Si no es posible seguir con el estándar mencionado en los puntos anteriores porque la tecnología

no lo permite, se deben tomar medidas alternas y estas medidas ser contempladas como adiciones o cambios a la presente directriz.

DSITIC 3-b) Gestión de usuario/contraseña (password)

Los usuarios/contraseña (password) de acceso a los sistemas, aplicaciones y servicios se gestionarán a través del SIGTIC.

DSITIC 3-c) Contraseñas (Passwords) de los usuarios

Todo usuario debe contar con un usuario/contraseña (password) de acceso y ésta será normada de acuerdo a cada plataforma, aplicación o servicios.

DSITIC 3-d) Asignación de contraseñas (passwords) de acceso

Controlar la asignación de claves de acceso mediante un proceso de administración que: i. Obtenga el compromiso de los usuarios para mantener la confidencialidad de las contraseñas

(passwords) de acceso a los sistemas. ii. Cuando se crea un nuevo usuario (USER-ID) con su contraseña (password) de acceso y esta

contraseña es utilizada por primera vez, el sistema deberá solicitar el cambio automático de esta contraseña (password).

iii. Existan elementos que obliguen a los usuarios a cambiar de manera inmediata sus contraseñas (passwords) iniciales de acceso.

iv. Notifique de manera segura las contraseñas (passwords) iniciales de acceso a los usuarios. v. Se evite la notificación de claves de acceso a terceras partes. vi. Los usuarios deben confirmar la recepción de contraseñas (passwords) de acceso. vii. La gestión de usuarios/contraseña (password) de acceso para acceder a los sistemas,

aplicaciones o servicios, de acuerdo a su perfil, será de forma individual para cada usuario que lo requiera a través de su encargado o responsable de Informática de cada área.

viii. La contraseña (password) inicial no debe de ser igual al nombre de usuario, por lo que el usuario tiene la responsabilidad de cambiar la contraseña (password) inicial inmediatamente después que le sea asignada. (atendiendo el punto iii anterior).

DSITIC 3-e) Compartir Contraseña (Password)

Está prohibido compartir la cuenta y contraseña (password) de usuario asignada, ya que éstas son de carácter personal e intransferible

DSITIC 3-f) Revocación de Usuario/Contraseña (Password)

La UTIC tiene la atribución de revocar cualquier cuenta de usuario, por lo que puede ser eliminada bajo cualquiera de los siguientes supuestos

i. Violación de las Directrices y Lineamientos establecidos ii. Cuando la relación laboral entre el usuario y la Secretaría se dé por finalizada iii. El usuario pone en riesgo la operación de la red, servicios o aplicaciones, siendo esto un

comportamiento doloso o no iv. Cuando el Titular del área lo considere necesario,


OFICIALIA MAYOR


Hoja 15 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


v. Si la UTIC considera una afectación o daño a las aplicaciones o servicios de TIC de terceros

que hacen uso de estos.

DSITIC 3-g) Usuarios/Contraseñas de Administración

Las cuentas de administración del fabricante, creadas por omisión en los equipos, sistemas operativos, aplicativos, etc. tales como root, administrador, entre otros, deben ser inhabilitadas y solo podrán ser utilizadas en casos especiales.

i. De no ser posible su desactivación las contraseñas deben ser modificadas posterior a la instalación del producto.

DSITIC 3-h) Excepción de cuentas con privilegios

En caso de que un usuario tenga necesidad de “privilegios” especiales para un sistema o aplicación (por ej., un “administrador”), se debe crear un Usuario/Contraseña (Password) diferente al que ya ha sido asignado.

DSITIC 3-i) Usuario/contraseña (password) de invitado

No se permite ningún usuario tipo “guest” “invitado” o símil en los sistemas operativos, por lo que la UTIC deshabilitara cualquier cuenta de usuario de este tipo de todos los servidores, aplicaciones y sistemas operativos que lo contengan.

i. Los servicios y aplicaciones pueden contar con usuario/contraseña (password) “invitado” siempre y cuando cuente con la validación de la UTIC.

ii. Los usuarios/contraseñas (passwords) “invitado” deben ser limitadas en cobertura, capacidad y tiempo de acuerdo a el servicio que acceden, debiendo describir y justificar a detalle para la validación de la UTIC.

DSITIC 3-j) Responsabilidad de Usuario/Contraseña (password)

Los usuarios son responsables del resguardo y uso que se haga del usuario/contraseña (password de acceso que se les haya entregado para acceso a equipos, sistemas informáticos, correo electrónico institucional y en general de dispositivos y servicios de TIC

DSITIC 3-k) Restricciones de Usuario/Contraseña (password)

No es permitido escribir y dejar los Usuarios/contraseñas (passwords) bajo su resguardo en lugares de fácil acceso físico y/o visual al público.

DSITIC 3-l) Periodo de Usuario/Contraseña (password) activo

Cualquier cuenta de usuario/contraseña (password) de los servicios, plataformas o aplicaciones, que se identifique inactiva en un periodo de 90 días, la UTIC procederá a la baja y eliminación de información contenida en esta, sin responsabilidad para la UTIC de realizar un respaldo o restituirla.

DSITIC 3-m) Baja de accesos por renuncia o baja de la Institución

Es responsabilidad del Coordinador/Director Administrativo de cada Unidad Administrativa o Centro SCT, que a través del encargado o responsable de Informática gestionar por el sistema SIGTIC, la cancelación de usuario/contraseña (password) del personal que ha causado baja, con la finalidad de evitar el mal uso de usuarios/contraseñas y accesos de los recursos o sistemas institucionales, dicha gestión deberá darse en un plazo no mayor de 10 días hábiles de la fecha de renuncia del usuario.

DSITIC 3-n) Contraseñas (Passwords) por vía telefónica

De ninguna forma o excepción las contraseñas (passwords) se transmitirán, darán a conocer o comunicarán vía telefónica. Si una contraseña es revelada debe ser modificada inmediatamente.

DSITIC 3-o) Bloqueo de Cuentas de Usuario

Las cuentas de usuario pueden ser bloqueadas de manera automática o manual por los administradores de las TIC o servicios de acuerdo a los siguientes criterios:

i. La cuenta esta inactiva por 45 días. ii. La cuenta se encuentre envuelta en un incidente de seguridad.


OFICIALIA MAYOR


Hoja 16 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 3-p) Reactivación de cuentas

Las cuentas bloqueadas por las situaciones mencionadas en el punto anterior, se reactivarán por los administradores de las TIC o servicios, con la aprobación por escrito del mando inmediato superior del usuario afectado y remitido este escrito a la UTIC.

DSITIC 3-q) Bitácoras de Auditoria de Usuarios/Contraseñas

Los sistemas, aplicaciones, plataformas y servicios de TIC, deben contar con una bitácora de registro en donde se almacenen los cambios de Usuarios/Contraseñas aplicados.

DSITIC 4 Tercerización (Outsourcing) de servicios de TIC

Garantizar mediante documentación que los requerimientos de Seguridad de la Información se cumplen, especialmente en aquellos casos en los que un determinado ambiente es confiado a un proveedor ya sea en instalaciones de SCT o en las suyas propias.

DSITIC 4-a) Identificar Riesgos y mitigación

i. Evaluar los riesgos de Seguridad de la Información asociados con la tercerización en general y en lo particular para aquellas funciones de la Secretaría a transferir.

ii. Identificar los ambientes, procesos e información críticos y sensitivos. iii. Evaluar las prácticas de seguridad de la Información y estándares de los proveedores. iv. Identificar las interdependencias entre la función tercerizada y el resto de las funciones de la

UTIC. v. Desarrollar una estrategia de continuidad de los servicios en relación con el proveedor para los

casos de terminación temprana del acuerdo o contrato

DSITIC 4-b) Establecer Acuerdos con los Proveedores sobre Seguridad de Información

i. Cumplir con las buenas prácticas de seguridad de la información, incluyendo el manejo de información acorde a su Clasificación establecida por la UTIC.

ii. Proporcionar la información sobre los Incidentes de Seguridad iii. Mantener la Confidencialidad de la información obtenida o recopilada en el transcurso del

acuerdo o contrato iv. Proteger la integridad de la información usada para asegurar que es completa, precisa y válida v. Asegurar la disponibilidad de la información y los Sistemas proveyendo el equipo que garantice

los tiempos SLA vi. Limitar el acceso a los activos de la SCT solo al personal autorizado acordado entre la SCT y el

proveedor vii. Proteger la información que puede ser fácilmente identificable. viii. Garantizar mediante convenios la Continuidad Operativa ix. Asegurar el retorno y/o destrucción de la información, software, equipo o dispositivo según se

establece en el procedimiento de borrado seguro.

DSITIC 4-c) Procedimientos de contacto para la Seguridad de la Información UTIC/Proveedor

Establecer procedimientos para el tratamiento confidencial de los problemas de seguridad con directivos del proveedor, adicional a los esquemas de escalación de incidentes establecidos con los proveedores.

DSITIC 4-d) Derechos de verificación y auditoria con el Proveedor

Establecer el derecho de auditar, monitorear y verificar el trabajo desarrollado por el proveedor, las licencias de uso, definir los derechos de propiedad intelectual y de los datos.

DSITIC 4-e) Contingencias del servicio del proveedor

Establecer convenios para los casos de indisponibilidad de servicios del proveedor, que incluyan responsabilidades, penalización y sanciones.

DSITIC 4-f) Manejo de equipamiento de TIC con el proveedor

Para la entrega o recolección de equipamiento de TIC el proveedor presentara la documentación que especifica el destino y procedencia de este.


OFICIALIA MAYOR


Hoja 17 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 5 Clasificación y Control de Activos

Identificar a los dueños de la información y asignar sus responsabilidades con respecto a estos activos, realizando un análisis para clasificar e identificar los riesgos asociados.

DSITIC 5-a) Registros de inventario de equipos de TIC

Los equipos de TIC propiedad de la Secretaría deben estar registrados en el inventario de mobiliario y equipo controlado por la Dirección General de Recursos Materiales.

i. Este inventario de equipamiento de TIC debe ser actualizado de acuerdo a los movimientos aplicados en cada Unidad Administrativa y reportado la DGRM.

DSITIC 5-b) Todo activo de información debe tener un propietario responsable

Identificados los activos y los sistemas de información asociados, se identificará al dueño que tendrá la responsabilidad del activo.

DSITIC 5-c) Toda la información de la Secretaría debe tener una clasificación

La información se clasificará por lo menos en tres categorías para definir su nivel de importancia y seguridad: PUBLICA, USO INTERNO y CONFIDENCIAL (A, AA y AAA).

CONFIDENCIAL (AAA): Información de uso únicamente dentro de la Secretaría. Su difusión no autorizada puede impactar muy seriamente a la Secretaría.

USO INTERNO (AA): Información que se destina para uso interno al interior de la Secretaría. PUBLICA (A): Información que no se clasifica dentro de las categorías anteriores. La Secretaría,

y los empleados, no tendrán ningún impacto adverso debido a la difusión de esta información. DATO PERSONAL (DP): Cualquier información concerniente a una persona física identificada o

identificable.

DSITIC 5-d) Etiquetas en los medios de almacenamiento de información

La información almacenada en cualquier medio (físico, magnético, portable o impresa), debe ser etiquetada con la categoría correspondiente. En caso de que los archivos contengan información de varios tipos, ésta debe etiquetarse con la clasificación más alta de cualquier elemento de información contenida.

DSITIC 5-e) Responsables de los activos críticos

Identificar a los funcionarios responsables por activo o aplicación de información crítico que maneja. Este funcionario debe conducir un ejercicio de análisis de riesgo cada año como mínimo para asegurar la integridad, disponibilidad y confidencialidad de la información.

DSITIC 5-f) Propietario único en caso de duplicidad

Si hubiera más de un propietario potencial para la información, la unidad administrativa propietaria designara la responsabilidad a un solo individuo preferentemente quien tenga mayor jerarquía sobre ella.

DSITIC 5-g) Propiedad de información operacional y de red

Con la excepción de la información operacional, de la red o información generada de forma interna, la UTIC no es dueña o propietaria de ningún activo de información de la SCT.

DSITIC 5-h) Definición de los controles de seguridad en los activos

No serán delegadas a un proveedor de servicio externo a la Secretaría las responsabilidades que tiene un propietario designado de información, para especificar los controles apropiados para la Seguridad de la misma.

DSITIC 5-i) Frecuencia de los análisis de riesgo de los activos críticos

Debe realizarse por lo menos un análisis de riesgos al año, que permita identificar el nivel de exposición a riesgos y amenazas a los que están sujetos los activos críticos de información, especialmente en casos de tercerización.

DSITIC 5-j) Revisión del Propietario designado de la Información sobre el acceso de los usuarios

El acceso de los usuarios a recursos protegidos deberá ser revisado al menos una vez por mes por el propietario designado de la información con el objeto de asegurarse que los accesos siguen siendo válidos y que los privilegios asociados con los accesos siguen siendo requeridos.


OFICIALIA MAYOR


Hoja 18 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 5-k) Asignación de Activos de los usuarios

Con excepción de los servidores públicos con nivel jerárquico de mando medio o superior, no se permite la asignación de más de un equipo de TIC por persona, a menos que por el desempeño de sus funciones, el uso esté justificado y/o autorizado por su Jefe Inmediato con nivel mínimo de Jefe de Departamento y se cuente con el equipo disponible en esa área.

DSITIC 6 Directriz de Seguridad para el Personal

La UTIC debe asegurarse que los servidores públicos de la SCT conocen y se comprometen con las directrices, lineamientos y procedimientos de seguridad de TIC.

DSITIC 6-a) Las descripciones de puestos incluyen responsabilidades de Seguridad de la Información

Se propone incluir a la Dirección General de Recursos Humanos dentro de las descripciones de puestos, las responsabilidades relativas a la seguridad de TIC de los activos dentro de la institución y el cumplimiento de los procedimientos de seguridad.

DSITIC 6-b) La responsabilidad de seguridad de la información

La seguridad de la información es responsabilidad de todos los usuarios y funcionarios públicos de la SCT.

DSITIC 6-c) Incumplimiento de las Directrices de Seguridad TIC

Todos los empleados regulares, eventuales y terceros deberán firmar el acuerdo de desempeñar su trabajo conforme a las presentes Directrices de seguridad de TIC.

DSITIC 6-d) Acuerdo de confidencialidad se refrendan al menos una vez por año

Todos los funcionarios de la SCT y personal involucrado en el alcance de SGSI debe contar con un acuerdo firmado de confidencialidad y no exposición de la información con la UTIC.

DSITIC 6-e) Difusión y concientización de las Directrices de Seguridad

Establecer un programa de concientización de seguridad dirigido a todo el personal y funcionarios de la SCT, con respecto a la importancia de los procesos de seguridad de la información.

DSITIC 6-f) Identificación de personal Externo

Los proveedores, personal de limpieza, personal de vigilancia, y personal de servicio social o prácticas profesionales deben identificarse mediante una credencial de la empresa o cualquier otra identificación oficial antes y durante todo el tiempo que permanezcan en las instalaciones de la UTIC o en su momento portar el gafete institucional para su acceso.

DSITIC 6-g) Involucrados ante incumplimiento o violación de Directrices de Seguridad

En caso de cometerse una violación a las Directrices de Seguridad de TIC de la SCT, se hará un seguimiento en el que estarán involucradas el área en donde se realizó la violación, las áreas del OIC, Recursos Humanos hasta su completa aclaración. Las faltas en el cumplimiento de las Directrices de Seguridad de TIC, pueden resultar en acciones disciplinarias y en su caso penales.

DSITIC 6-h) Renuncia o baja de Personal

Restringir el acceso físico, así como eliminar los perfiles y privilegios otorgados a equipos, sistemas y aplicaciones en los que el personal que por diversos motivos causo baja a definitiva de la SCT.

DSITIC 7 Directriz de Seguridad Física para activos de TIC

Instrumentar reglas administrativas, procedimientos y mecanismos físicos para garantizar la protección de los activos de TIC.

DSITIC 7-a) Perímetros Seguros

Implementar barreras y controles (Perímetro seguro) para proteger los activos o servicios críticos de información, que delimiten el acceso a personal no autorizado.


OFICIALIA MAYOR


Hoja 19 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 7-b) Controles para proteger las áreas de TIC seguras

Las áreas seguras que contengan TIC contaran con los controles de entrada para limitar solo al personal autorizado el acceso. Todo objeto que se introduzca a las áreas restringidas, estará sujeto a una revisión detallada para minimizar riesgos de sabotaje y destrucción.

i. Toda oficina, salas de juntas, auditorios o almacenes en donde se encuentre documentación sensible, confidencial y equipamiento de TIC se mantendrá bajo llave.

ii. En caso de que el personal de la SCT o Terceros se ausente de su oficina, área o lugar de trabajo se asegurará que la documentación y equipo de TIC están asegurados y resguardados bajo llave

DSITIC 7-c) Acceso a áreas de TIC restringidas

El acceso a los centros de Datos, áreas en las que se procese ó maneje información confidencial, de uso Interno, conmutador y equipos de comunicaciones, estarán estrictamente controlados y restringidos para el personal autorizado.

DSITIC 7-d) Responsables de las áreas de TIC restringidas

Se asignará un responsable(s) de la seguridad del sitio(s) o área(s) restringidas; cuyas funciones (no limitativas) son, y que no son limitativas:

iii. Otorgar la autorización de acceso al sitio iv. Verificar y validar que la Bitácora de acceso físico al sitio se tenga a la vista y disponible para

el registro de acceso v. Registrar y controlar el ingreso o sustracción de cualquier tipo de dispositivo de

almacenamiento de información sin previa autorización por escrito por el responsable del mismo.

vi. Registrar y controlar el ingreso o sustracción de cualquier tipo de equipo de cómputo, dispositivo, herramienta, etc., sin previo registro y revisión de su contenido y con autorización por escrito por el responsable del sitio.

vii. Autorizar cualquier asunto que requiera atención para la seguridad del área

DSITIC 7-e) Protección a equipos de soporte (faxes, copiadoras y multifuncionales)

Los equipos de soporte como copiadoras, faxes y multifuncionales deberán estar en sitios seguros, con el fin de minimizar el riesgo de que usuarios no autorizados tengan acceso a información confidencial.

DSITIC 7-f) Protección a cables de energía y comunicación

Los cables de energía y las líneas de comunicaciones deben estar protegidos contra daños e intercepciones.

DSITIC 7-g) Área de carga y descarga de los Centros de Datos

Las áreas de carga, descarga de material y equipo de los Centros de Datos estarán aisladas. Esta área deberá estará restringida solamente al personal autorizado.

DSITIC 7-h) Bóvedas para respaldos de información de TIC

Los medios magnéticos que contienen respaldos de información crítica, serán protegidos contra robo y estarán guardadas en una bóveda externa al centro de datos (de SCT o de terceros).

DSITIC 7-i) Protección de bóvedas TIC

El acceso a las bóvedas externas deberá estar debidamente controlado, y existirá un control estricto de entrada y salida de objetos.

DSITIC 7-j) Evacuación en casos de contingencias

Se deberá contar con planes documentados y probados para evacuación del personal en caso de contingencia alineado a las recomendaciones de Protección Civil.

DSITIC 7-k) Protección de los servidores

Los servidores centrales y remotos estarán ubicados en un ambiente seguro. Se tomarán medidas para limitar el acceso físico al servidor, los servidores estarán ubicados en un armario (rack) o sitio cerrado y sólo personal autorizado tendrá acceso al mismo.


OFICIALIA MAYOR


Hoja 20 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 7-l) Salida de equipo de TIC de las instalaciones

Ningún equipo de TIC, datos o software podrán ser retirados de las instalaciones de la SCT sin la debida autorización por escrito del funcionario asignado o habilitado para tal fin.

DSITIC 7-m) Evitar daños de Equipo de protección a los activos de información

Las áreas seguras deberán contar con el equipo apropiado de Seguridad Física para evitar daños tanto a la información como a los equipos de hardware y se deberá instruir al personal sobre el uso y funcionamiento de los equipos alineado a las indicaciones y reglamentación de Seguridad de la Institución.

DSITIC 7-n) Suministro ininterrumpido de energía

Los equipos que efectúan las operaciones críticas de la SCT contarán con equipo UPS para suministros de energía en caso de falla en la corriente eléctrica.

DSITIC 7-o) Protección contra robo de partes de los equipos de TIC

Las estaciones de trabajo, las computadoras personales y los servidores estarán protegidos contra el robo de partes, de tal forma que no puedan ser abiertos para la sustracción de partes.

DSITIC 7-p) Protección del equipo de TIC en áreas usuarias

Cada área deberá analizar las protecciones de seguridad que requiera el equipo personal, que será utilizado fuera de las instalaciones de la Secretaría.

DSITIC 7-q) Revisión obligatoria al desechar medios de información

Todos los dispositivos removibles tales como discos, cintas o memorias deberán ser revisados, para asegurar que no contengan información confidencial o software con licencia antes de ser desechados.

DSITIC 7-r) Controles en el manejo de Información confidencial o reservada

Con la premisa de evitar que información clasificada como confidencial o reservada sea extraída de los equipos de la Secretaría, ningún componente de cómputo o electrónico, sin importar su tamaño o valor, puede ser retirado de las instalaciones de la SCT sin autorización expresa mediante un documento oficial autorizado por el área o responsable designado (observar directriz de borrado seguro).

DSITIC 7-s) Reutilización de Medios de Información

Toda vez que no sean requeridos los medios removibles (Cintas, Memorias USB, CD, diskettes, etc.) debe borrarse todo su contenido por medio seguro para evitar que la información pueda ser recuperada y/o expuesta a personas no sean autorizadas o externas a la Institución, aplicando el “procedimiento de borrado seguro establecido”.

DSITIC 7-t) Controles de Seguridad Física de la Institución

Todos los funcionaros de la Secretaría, proveedores, personal de servicio social y toda aquella persona que ingresa a las instalaciones de la SCT independientemente de un asunto relacionado con las TIC, deberá acatar las disposiciones de Seguridad Física que se tienen implementadas en la institución, por el área encargada de la Seguridad Física de la SCT.

DSITIC 8 Directriz de Operación de Cómputo

Asegurar la operación eficiente de los equipos de cómputo, mediante los procedimientos de administración, operación y monitoreo de los equipos de cómputo.

DSITIC 8-a) Acceso a los equipos de cómputo

Se debe contar con un sistema de administración de passwords que garantice la calidad de los mismos, es decir, que sean passwords seguros, de acuerdo a lo establecido por la UTIC como es:

i. longitud mínima ii. caracteres alfanuméricos iii. tiempo de vida, etc.

DSITIC 8-b) Procedimientos de acción inmediata para incidentes de seguridad

Establecer procedimientos para el manejo de incidentes de seguridad que permitan una respuesta rápida y efectiva.


OFICIALIA MAYOR


Hoja 21 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 8-c) Manejo de los incidentes y problemas de seguridad

Los incidentes y problemas de la Seguridad de la Información se manejarán por la UTIC incluyendo las situaciones de tercerización.

DSITIC 8-d) Programa Institucional de Protección contra Virus

El programa institucional de Protección contra Virus en los equipos de cómputo contara con las actividades de concientización involucrando a todo el personal.

DSITIC 8-e) Nueva Aplicación a Producción

Todos los aplicativos se apegarán al proceso de Gestión de Cambios para aceptar una nueva aplicación en el ambiente de producción en todas las plataformas.

DSITIC 8-f) Procedimientos de respaldo y recuperación de información

Los procedimientos de respaldo y recuperación de la información contaran con los procedimientos de recuperación de respaldos de acuerdo a los requerimientos.

DSITIC 8-g) Continuidad de Servicios

Definir la estrategia de recuperación a nivel Secretaría que permita contar con un centro de datos alterno en casos de desastre.

DSITIC 8-h) Facilidades de Seguridad de los Sistemas Operativos

El uso y operación de los Recursos de los Sistemas Operativos, para la administración de la seguridad será función exclusiva de la UTIC o de quien designe esta, como responsable en la Unidad Administrativa o Centro SCT de estos recursos.

DSITIC 8-i) Retención de registros de seguridad

Se registrarán y conservarán los accesos y cambios en la Seguridad; el periodo a retener de los registros será definido en función de la necesidad del área administrativa y la plataforma.

DSITIC 8-j) Manejo de medios magnéticos

Se aplicarán los procedimientos específicos para el manejo de dispositivos como cintas, disquetes, cassettes, reportes impresos, incluyendo su distribución, transferencia, etiquetado y almacenamiento que aseguren el manejo seguro de la información y de autorización para el retiro de los dispositivos fuera de la organización.

DSITIC 8-k) Respaldo de Información confidencial

Toda información en formato electrónico clasificada como reservada o confidencial, será respaldada con la periodicidad que su criticidad lo demande.

DSITIC 8-l) Autenticación en operaciones con terceros

Todas las operaciones de archivos entre SCT y terceros deben autenticarse y asegurarse.

DSITIC 8-m) Correo electrónico

Los controles aplicados en el correo electrónico mantendrán la integridad, confidencialidad y autenticación de la información en los equipos de cómputo que la contienen para su tratamiento, transmisión o almacenamiento.

DSITIC 8-n) Auditorias de Seguridad

Todos los sistemas de información en producción (Hardware y Software) deberán sujetarse a una evaluación para determinar el mínimo de controles, necesarios para reducir al mínimo los riesgos.

DSITIC 8-o) Carpetas compartidas

Los usuarios utilizaran las herramientas que permiten asegurar el acceso a carpetas compartidas mediante al menos un usuario/password.

DSITIC 8-p) Prohibiciones en equipos de Cómputo

Las actividades que están prohibidas en el uso de equipos de cómputo incluyen, más no se limitan a: i. Desinstalar, desactivar o dejar de actualizar el software antivirus institucional. ii. Instalar software de antivirus diferente al institucional. iii. Descargar software directamente de Internet sin autorización de la UTIC.


OFICIALIA MAYOR


Hoja 22 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


iv. Realizar, con cualquier tipo de herramienta de software, cualquier acción que vulnere la

seguridad de la información de la SCT, tales como escaneo de puertos, pruebas de vulnerabilidad, etc.

v. Realizar cambios a cualquier parámetro de los equipos de cómputo, tales como comunicaciones, operación, administración del sistema operativo y sus aplicaciones.

vi. Abrir equipos de cómputo, reparar equipos de cómputo, insertar o sustraer cualquier dispositivo de los equipos de cómputo de la Institución.

DSITIC 8-q) Servidores

Todos los servidores en cualquiera de sus modalidades de arrendamiento, comodato, adquisición, préstamo, outsorcing que contengan, procesen, respalden, etc. información de la institución deberán estar ubicados en el Centro de Datos de la SCT.

DSITIC 8-r) Ambiente de Producción aislado

Las áreas de Desarrollo de Sistemas no accederán, modificaran o respaldaran información de los ambientes de Producción. Los cambios al ambiente productivo, se realizarán sola y exclusivamente mediante el proceso de Gestión de Cambios.

DSITIC 8-s) Antivirus y código malicioso

Todos los equipos de cómputo de la SCT deben tener instalado, actualizado y activado el software de antivirus institucional, incluyendo los servidores cuyo sistema operativo así lo permita, para la eliminación de virus y código malicioso.

DSITIC 8-t) Baja de Servicios por renuncia o Baja de la Institución

El encargado o responsable de Informática gestionara mediante el Sistema de Gestión de Tecnologías de Información y Comunicaciones (SIGTIC), la baja de los servicios del personal que ha causado baja en la institución, a fin de evitar el mal uso de los recursos o sistemas institucionales.

DSITIC 8-u) Mantenimientos preventivos y correctivos de equipo de cómputo

Los calendarios de mantenimiento preventivo se deben acordar entre los proveedores y la UTIC, evitando al máximo que interfiera con el horario de oficina de los usuarios. La UTIC debe confirmar con el Administrativo o al usuario, la fecha y hora en la cual debe estar disponible su equipo para el servicio de mantenimiento preventivo.

DSITIC 8-v) Autorizados para apertura de cubiertas del equipo de cómputo

El personal designado para el mantenimiento preventivo y correctivo del equipo de cómputo, es el único que está autorizado para abrir los gabinetes o las cubiertas de las computadoras o periféricos.

DSITIC 8-w) Reporte de fallas

Las fallas o mal funcionamiento de los equipos de cómputo, deben ser reportadas a la Mesa de Servicio de la UTIC. Por lo que, los usuarios no deben intentar reparar equipo de cómputo.

DSITIC 9 Directriz de Operación Red

Asegurar la operación eficaz y eficiente de la red de comunicaciones de la SCT mediante la aplicación de los procedimientos de administración, operación y monitoreo.

DSITIC 9-a) Configuraciones de Red

Los componentes de la red deben contar con las configuraciones adecuadas de seguridad y con la actualización de parches y versiones indicadas por el proveedor.

DSITIC 9-b) Procedimientos de acción inmediata para incidentes de seguridad de red

Establecer procedimientos para el manejo de incidentes de seguridad de red que permitan una respuesta rápida y efectiva, por parte de la UTIC incluyendo las situaciones de tercerización.

DSITIC 9-c) Procedimientos de respaldo y recuperación de información en dispositivos de Red

Los procedimientos de respaldo y recuperación de la información se realizarán de acuerdo a los requerimientos de recuperación de configuraciones o información.

DSITIC 9-d) Retención de registros de seguridad


OFICIALIA MAYOR


Hoja 23 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Se registrarán y conservarán los accesos y cambios en la Seguridad; el periodo a retener de los registros será definido en función de la necesidad del área administrativa y la plataforma.

DSITIC 9-e) Controles de información en la red

Se actualizarán por lo menos una vez por año los controles que vigilan la integridad y confidencialidad de los datos que viajan por la red, así como los controles que vigilen los accesos a los servicios conectados.

DSITIC 9-f) Expansión o ampliación de alcance de la red

Se deben tomar las medidas necesarias cuando se lleve a cabo cualquier expansión de la red para asegurar la protección de la misma y de la información almacenada procesada y transmitida.

DSITIC 9-g) Seguridad en la red Wireless

El uso de redes inalámbricas debe ser bajo un estricto control de configuración de seguridad, por el riesgo que representan

DSITIC 9-h) Seguridad en dispositivos móviles

Siempre que se usen equipos móviles se asegurara que la información de la SCT no se comprometa, teniendo en cuenta aspectos de seguridad física, control de acceso lógico, respaldos de la información contenida en el equipo, protección contra virus, código malicioso, entre otros

DSITIC 9-i) Equipos de Comunicaciones (Telecomunicaciones)

Se protegerá su configuración, a través de usuario/password robustos para los atributos de administración. Todos los intentos de traspasar o evadir las medidas de seguridad del acceso de la red institucional, se consideran como una falta grave que se debe reportar al responsable de seguridad.

DSITIC 9-j) Plan de Direccionamiento

La SCT utilizará un esquema de direccionamiento único para todos los sitios a nivel nacional, el cual será determinado por la UTIC.

Plan de Direccionamiento con Terceros La conexión con redes externas a la SCT, la UTIC analizará el esquema de conexión y definirá el direccionamiento que se aplicará. No se permitirá el uso o expansión de direccionamiento IP que no haya sido aprobado por la UTIC. Direccionamiento para equipos críticos Se asignarán segmentos específicos para los equipos críticos o sensibles de la SCT.

DSITIC 9-k) Autenticación en operaciones con terceros

Todas las operaciones de archivos entre la SCT y terceros deben autenticarse y asegurarse.

DSITIC 9-l) Intercambio de datos y software con terceros

Los intercambios de software o datos con terceros requerirán de un acuerdo formal por escrito. En dicho acuerdo se deberán especificar los términos del intercambio, así como la manera con la cual el software y los datos serán manejados y protegidos.

DSITIC 9-m) Protección de información confidencial en la red

La información confidencial a ser transmitida sobre la red se cifrará con los estándares y procedimientos establecidos.

DSITIC 9-n) Internet

Se debe proteger toda la información clasificada como reservada o confidencial que pase sobre redes públicas como Internet, así mismo debe controlarse el uso de Internet tomando en cuenta el flujo de datos, el monitoreo de la información transmitida por este medio y las implicaciones legales aplicables.

DSITIC 9-o) Mantenimientos preventivos y correctivos de TIC

Los calendarios de mantenimiento preventivo se deben acordar entre el proveedor y la UTIC, evitando al máximo que interfiera con el horario de oficina de los usuarios y sus servicios.


OFICIALIA MAYOR


Hoja 24 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 10 Directriz de Acceso a Sistemas

Se controlará el acceso a los servicios y sistemas de la SCT y en las instalaciones de terceros que brindan a la Institución un servicio.

DSITIC 10-a) Identificación de Usuario

Todos los Usuarios que requiera acceder a los sistemas institucionales, aplicaciones, etc., se le asignara una identificación de usuario personal única e irrepetible.

DSITIC 10-b) Funcionalidad de los programas de seguridad

Todos los recursos de los sistemas serán asegurados por programas de seguridad. Dentro de la funcionalidad con que se debe contar para estas herramientas de protección de acceso, están las de notificación en caso de ser detectada alguna violación de seguridad.

i. Identificar y verificar la identidad y si es necesario conocer hasta la identificación y localización de la terminal o estación de trabajo de cada usuario autorizado.

ii. Registrar los accesos exitosos y fallidos al sistema. iii. Proveer un sistema de administración de claves de acceso que asegure la calidad de las

mismas. iv. Restringir el tiempo de conexión de los usuarios.

DSITIC 10-c) Controles de Acceso al Sistema y monitoreo

Establecerse controles que prevengan el acceso no autorizado a la información. Estableciendo un proceso de monitoreo con el fin de registrar intentos de acceso no autorizados a los recursos protegidos.

DSITIC 10-d) Registro de Usuarios para acceso al sistema y servicios

El acceso a los servicios y aplicaciones se controlará mediante un procedimiento de registro que contemple dar de baja usuarios inexistentes. El procedimiento de registro de usuarios deberá contemplar los siguientes elementos:

i. Verificar que el usuario tiene la autorización del dueño de la información para acceder a esta. ii. Verificar que los accesos asignados al usuario son congruentes con sus responsabilidades y

con los objetivos de la SCT. iii. Entregar al usuario por escrito los accesos concedidos y obtener la firma de éste. iv. Asegurar que no se proporciona el acceso a los servicios hasta que el procedimiento de

autorización ha terminado. v. Mantener un registro formal de todas las personas registradas para usar los servicios. vi. Dar de baja los usuarios que han cambiado sus responsabilidades. vii. Establecer un procedimiento para aquellos empleados que son dados de baja por cualquier

motivo, Recursos Humanos informará al área de seguridad para cancelar en forma inmediata todo tipo de acceso a los recursos de TI.

viii. Mensualmente se deberá verificar con las áreas que conforman la SCT, que no existen usuarios/passwords de funcionarios que han dejado de laborar en la SCT.

ix. Mantener un registro de los perfiles registrados para el uso de sistemas aplicaciones o servicios.

DSITIC 10-e) Herramientas automatizadas

La UTIC contara con herramientas tecnológicas que permitan a la Secretaría controlar costos y necesidades de cómputo, aumentar la eficiencia y demostrar el cumplimiento de licenciamiento, así como responder de manera oportuna a los requerimientos de auditoria y de planeación. Dicha herramienta deberá detectar y monitorear automáticamente dispositivos de cómputo conectados a la RDM de la Secretaría, manteniendo a detalle el inventario de Hardware y Software en uso, así como mantener actualizada la CMDB de la Secretaría.

DSITIC 10-f) Asignación de privilegios

La asignación de privilegios de acceso a la información, deberá ser controlada mediante un proceso de autorización. Este proceso deberá:

i. Identificar los privilegios asociados con cada programa producto del sistema y el perfil al cual se deberá asignar.


OFICIALIA MAYOR


Hoja 25 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


ii. Asignar privilegios únicamente a quien por sus funciones así lo requiera. iii. Estar basado en un proceso de autorización y registrar todos los privilegios asignados.

DSITIC 10-g) Autorización del Propietario de la Información

Los usuarios deberán tener la autorización del dueño o propietario de la información de utilizar los recursos que se requieran para el desempeño de sus funciones.

DSITIC 10-h) Protección de acceso en línea desde Internet

Los sistemas de información de la SCT que accedan desde Internet, deben contar con los mecanismos de seguridad apropiados para evitar que los sistemas y la información se vean comprometidas, los mecanismos de acceso pueden ser tales como una VPN.

DSITIC 10-i) Disponibilidad de los servicios de seguridad

Los servicios de seguridad deben estar disponibles siempre que los sistemas de SCT sean utilizados.

DSITIC 10-j) Perfiles reservados para auditoria

Contar con perfiles especiales para ser usados por la función de auditoria.

DSITIC 10-k) Notificación a Propietarios de Activos en casos de violación de seguridad

Los dueños o Propietarios de los activos de información serán notificados tan rápido como sea posible de cualquier incidente de violación de seguridad.

DSITIC 10-l) Auditoria de acceso de los usuarios

Mantener un control efectivo en el acceso a la información y a los servicios, por lo que el administrador de seguridad, en coordinación con los dueños de información, deberá realizar una de revisión de los accesos de los usuarios.

DSITIC 10-m) Inhibición de terminales de trabajo

Todos los equipos personales y terminales de trabajo deberán contar con claves que inhiban el acceso a la información cuando éste es encendido o cuando es desatendido por un periodo determinado.

DSITIC 10-n) Participación de Propietarios en controles de acceso

Los requerimientos de la SCT referentes al control de acceso a la información deberán ser definidos y documentados por los Propietarios de ésta.

DSITIC 10-o) Autenticación de usuarios y terminales

Asegurar que los usuarios conectados a los servicios de cómputo no comprometan la seguridad de cualquier otro servicio, es necesario establecer un estricto control de acceso sobre toda conexión, autenticando usuarios y terminales

i. Un empleado no tendrá más de un user-ID o identificación de usuario para acceder a un sistema.

ii. Los empleados usarán la misma identificación de usuario para todas las plataformas y aplicaciones que utilicen

DSITIC 10-p) Procedimientos de login de usuarios

Los procedimientos de LOGIN serán diseñados de acuerdo a las funciones desarrolladas por el usuario, con el objeto de evitar accesos no autorizados; Considerando:

i. No desplegar información del sistema o identificación de la aplicación hasta que el procedimiento de LOGIN haya terminado.

ii. Desplegar un mensaje que indique que los servicios serán utilizados únicamente por usuarios autorizados.

iii. Validar la información de entrada al procedimiento de LOGIN hasta que se hayan tecleado todos los datos.

iv. Limitar el número de intentos de LOGIN. v. No prestar ayuda en línea, si existe un error durante el procedimiento de LOGIN. vi. Limitar el tiempo máximo y mínimo del procedimiento de LOGIN. vii. Desplegar información de fecha y hora del último LOGIN exitoso. viii. Detallar los intentos de LOGIN fallidos después del último LOGIN exitoso.


OFICIALIA MAYOR


Hoja 26 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 10-q) Conexión desatendida

Inactivar las conexiones a los servicios utilizados desde una terminal después de un periodo de desatención (Time out).

DSITIC 10-r) Acceso a utilerías del software de sistema operativo

Se aplicarán restricciones de acceso a las utilerías de software de sistema operativo y únicamente el personal técnico autorizado tendrá el acceso a esta previa aplicación. Cada vez que se lleguen a utilizar, se deberá de registrar en alguna bitácora protegida. La bitácora deberá ser revisada con oportunidad por el responsable de la operación del sistema.

DSITIC 10-s) Control de la Bibliotecas de Programas

El control sobre las bibliotecas de programas fuentes contendrá las siguientes medidas: i. Cada aplicación deberá contar con una biblioteca propia. ii. Los programas bajo desarrollo o mantenimiento no deberán estar en el ambiente productivo. iii. Los programas fuente deberán estar en un ambiente seguro. iv. Deberá existir un LOG de auditoria que mantenga todos los accesos a las bibliotecas de

programas fuente. v. Las versiones anteriores deberán ser copiadas a otro medio magnético y borradas de la copia

actual. vi. El mantenimiento a los programas fuente deberá ser controlado por un proceso de gestión de

cambios.

DSITIC 10-t) Verificación de acceso

Los procedimientos indicaran como se verificará a los usuarios que acceden a las funciones habilitadas, tomando en cuenta al menos los eventos:

i. Mensajes de falla de acceso. ii. Revisión de los patrones de LOGIN buscando indicaciones de terminación anormal. iii. Seguimiento de accesos a los usuarios con accesos privilegiados. iv. Verificación de uso de los recursos sensitivos. v. Seguimiento de transacciones identificadas como sensitivas.

DSITIC 10-u) Sincronización de los relojes de los sistemas

La sincronización de los relojes en los sistemas será única, con el fin de facilitar las tareas de auditoria y seguimiento de evidencias legales.

DSITIC 10-v) Información de los proveedores de SCT

Toda la información confidencial o propietaria que haya sido confiada a la SCT por un proveedor externo, deberá de ser asegurada y manejada como si fuera información confidencial. Así mismo toda información confiada a un proveedor externo deberá ser asegurada y manejada en forma confidencial por el mismo.

DSITIC 10-w) Vigencia de acceso de nuevos usuarios

Las cuentas nuevas de usuario generadas, tendrán dos días de vigencia, por lo que de no ser usada se dará de baja siendo obligación y responsabilidad del usuario gestionar la asignación de una cuenta nueva.

DSITIC 10-x) Protectores de pantalla

Si el sistema de cómputo está conectado a la red o contiene una aplicación crítica o confidencial, los usuarios deberán desconectar o apagar su sistema antes de salir de su área de trabajo o en su caso optara por utilizar un protector de pantalla que se active por tiempo transcurrido de no uso y se active el acceso a la sesión del equipo por contraseña.

DSITIC 10-y) Gestión de accesos y permisos

Los accesos y permisos a los sistemas o aplicaciones se gestionarán a través del SIGTIC.


OFICIALIA MAYOR


Hoja 27 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 11 Directriz para la Seguridad en el Desarrollo y Mantenimiento de Sistemas

Se deben considerar los requerimientos de seguridad de la información desde la etapa de análisis del sistema incluyendo las necesidades de respaldo y deberán ser justificados como parte de un análisis de factibilidad.

DSITIC 11-a) Catálogo de Sistemas

Las solicitudes de desarrollo, compra y uso de software especial deben dirigirse al Titular de la Unidad, con una explicación detallada de cómo se va a utilizar, los beneficios que se esperan con su implementación, y en qué equipo o equipos se deberá instalar, para que dictamine la procedencia y se integre al catálogo de Sistemas de la SCT

DSITIC 11-b) Controles de Seguridad en los nuevos sistemas o actualización de anteriores

Los nuevos sistemas para los requerimientos de la SCT, así como las mejoras de los sistemas ya existentes deberán contemplar los controles de seguridad. Estos controles tenderán a cubrir los aspectos de confidencialidad, integridad y disponibilidad de la información. Los elementos a considerar son los siguientes:

i. Desarrollos a la Medida y Desarrollos Comerciales, con recursos propios o a través de terceros, deben estar dictaminadas por la UTIC

ii. Se almacenarán elementos auditables para eventos relevantes. iii. Se verificará y protegerá la integridad de la información. iv. Se protegerá la información contra accesos de usuarios no autorizados. v. Se protegerá la toma de respaldos de información. vi. Establecer planes de recuperación. vii. Cubrir los requerimientos legales incluyendo la producción de reportes especiales con fines

específicos.

DSITIC 11-c) Liberación de sistemas a producción

Cualquier sistema de información que sea liberado a producción deberá ser plenamente identificado y documentado para su administración.

DSITIC 11-d) Consideraciones de Seguridad en todo el ciclo del desarrollo

Para todas las aplicaciones comerciales, las medidas de seguridad deberán ser consideradas desde la primera etapa del diseño hasta las últimas etapas del ciclo estándar del desarrollo de aplicaciones.

DSITIC 11-e) Cifrado de la información clasificada

La información confidencial debe ser encriptada cuando se vaya a transmitir y/o almacenar

DSITIC 11-f) Autenticación de mensajes en aplicaciones sensibles

La autenticación de mensajes deberá ser considerada para las aplicaciones, considerando vital proteger la integridad del contenido del mensaje.

DSITIC 11-g) Restricción al personal de desarrollo en el ambiente de producción

Por ningún motivo el personal de desarrollo de sistemas debe llevar a cabo la función de pasar la aplicación al ambiente de producción. Debiendo considerar los siguientes controles:

i. La actualización de bibliotecas de producción sólo podrá ser realizada por usuarios autorizados. ii. Establecer un procedimiento de emergencia para la actualización de bibliotecas de producción

para situaciones que así lo requieran. iii. Ningún código ejecutable pasara al ambiente de producción sin haber sido probado

exhaustivamente y autorizado por el usuario. iv. Deberá mantenerse una bitácora de los cambios a las bibliotecas del ambiente productivo. v. Se deberán mantener versiones previas de software como medida de contingencia.

DSITIC 11-h) Aislamiento del ambiente de producción a las pruebas

La información de producción no deberá estar disponible para las pruebas de las aplicaciones nuevas o de modificaciones a las ya existentes.

DSITIC 11-i) Protección de datos de prueba

Los datos de prueba deben ser protegidos y deben considerar los siguientes aspectos:


OFICIALIA MAYOR


Hoja 28 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Deberá existir una autorización cada vez que se trasmiten datos del ambiente de producción al

ambiente de desarrollo. Los datos de prueba deberán ser protegidos al mismo nivel que los datos de producción. Deberá mantenerse una bitácora de la copia de datos de prueba con el fin de contar con pistas

de auditoria.

DSITIC 11-j) Protección de los sistemas en ambiente de producción

Al personal que no tiene actividades en el área de producción, no se le permitirá actualizar o modificar la información de los sistemas en producción.

DSITIC 11-k) Liberar aplicaciones solamente cuando tengan la seguridad ya implantada

Las aplicaciones no pueden ser liberadas antes de contar con la seguridad mínima establecida en estas directrices para el desarrollo aplicativo.

DSITIC 11-l) Validación de datos de entrada

Los datos de entrada deberán ser validados para asegurar el correcto procesamiento de la información, considerando las siguientes validaciones:

i. Detectar valores fuera de rango, campos con caracteres inválidos, datos incompletos, límites dentro de los valores, información inconsistente.

ii. Revisar periódicamente los campos llaves para confirmar su validez. iii. Inspeccionar documentos de entrada para detectar cambios no autorizados iv. Procedimientos para responder a los eventos de validación. v. Definir responsabilidades en las tareas de captura de información.

DSITIC 11-m) Validación de integridad de la información

Las aplicaciones deberán incorporar validaciones que permitan detectar si la información es correcta y no está corrupta.

DSITIC 11-n) Los sistemas y aplicaciones son propiedad de la SCT

Sin ninguna excepción, todos los programas y documentación generados o elaborados por los empleados, consultores y personal contratado por honorarios para la SCT son propiedad exclusiva de ésta. Se contará con carta compromiso firmada de este lineamiento con lo antes mencionado.

DSITIC 11-o) Acceso a bases de datos por interfaces autorizadas

Las Interfaces aplicativas para acceder las bases de datos deben de ser el único vehículo mediante el cual se acceda a la Información.

DSITIC 11-p) Monitoreo de intentos de actualización de información no autorizados

Establecer controles que prevengan la actualización no autorizada de la información. Mediante un proceso de monitoreo con el fin de registrar intentos de actualización no autorizados a los recursos protegidos.

DSITIC 11-q) Proceso de Pruebas

Los sistemas aplicativos deben ser probados en forma exhaustiva, antes de ser liberados a producción, en ambientes controlados de pruebas. El proceso de pruebas (como parte de la disciplina de control de cambios), debe llevar un control estricto en los puntos que debe cumplir la nueva aplicación y realizar un reporte a desarrollo del resultado de la prueba.

DSITIC 11-r) Pruebas en ambiente Preproducción

Los sistemas aplicativos deben ser probados por un grupo especializado en esta función y en un ambiente de pruebas semi-real.

DSITIC 11-s) Producción autoriza ingreso de nuevo código al ambiente

Solamente el área de producción contará con la capacidad de autorizar el movimiento de código de los ambientes de prueba a los ambientes de producción. Deberá existir un registro detallado de los cambios realizados utilizando el Proceso de Control de Cambios.

DSITIC 11-t) El código migrado a Producción debe ser fuente


OFICIALIA MAYOR


Hoja 29 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Los módulos en formato ejecutable no se deben pasar directamente desde las bibliotecas de prueba a las bibliotecas de producción. Los módulos se deberán volver a compilar y revisar sujetándolos a una prueba completa para pasarlos entonces a las bibliotecas de producción. Estas actividades de revisión y de volver a compilar deberán de ser realizadas por el personal autorizado y no por el personal de Desarrollo de Sistemas.

DSITIC 11-u) DSITIC 10-y) Falla en pruebas en producción

Siempre que no sea completado satisfactoriamente un proceso de transferencia de información se deberá notificar esta situación mediante el proceso gestión de problemas.

DSITIC 11-v) Controles para bibliotecas

La función de control de bibliotecas de Sistema Operativo, Programas Producto y Programas Fuente debe establecerse con el objeto de mantener integridad sobre los ambientes de prueba y producción; por medio del proceso de Gestión de Cambios.

DSITIC 11-w) Control de implantaciones en producción

Con el proceso de Control de Cambios se analizarán las actualizaciones que se implantarán en el ambiente de producción.

DSITIC 11-x) Cambios de versión del sistema operativo y/o software del sistema

El cambio de versión del sistema operativo y de los programas pueden provocar problemas severos en las aplicaciones en producción, por lo que es necesario:

i. Revisar las nuevas facilidades que contiene el nuevo software y verificar las implicaciones en las aplicaciones.

ii. Asegurar que las posibles áreas afectadas conocen las implicaciones y han sido avisadas con tiempo a manera de tomar las precauciones adecuadas.

DSITIC 11-y) Modificaciones a software adquirido

El software adquirido no será modificado por personal que labora en la SCT, si el producto requiere una modificación ésta será solicitada al proveedor.

DSITIC 12 Directriz de Continuidad de la SCT

Establecer el plan de continuidad completo y probado para todos los procesos administrativos que se hayan identificado como críticos por su importancia para los servicios de la SCT.

DSITIC 12-a) Estrategia de recuperación

La estrategia de recuperación para las diferentes plataformas, así como para desarrollar, documentar, probar y mantener los planes de recuperación que conduzcan a la restauración de los sistemas críticos de información de SCT será permanente.

DSITIC 12-b) Resguardo del plan de recuperación

Una copia del plan de recuperación deberá estar en algún sitio previamente definido fuera de las instalaciones centrales, en conjunto con los respaldos de la información crítica.

DSITIC 12-c) Plan de Continuidad y responsables

El plan de continuidad de la SCT deberá especificar claramente las condiciones de su activación, así como los responsables de ejecutar cada componente del plan considerando los procedimientos, de emergencia, recuperación, retorno y prueba.

DSITIC 12-d) Pruebas periódicas del plan

El plan de continuidad de la SCT deberá probarse por lo menos 1 vez al año.

DSITIC 12-e) Cambios al plan

El plan de continuidad de la SCT deberá actualizarse cuando un cambio en las condiciones físicas, ambientales o por fenómenos naturales impacte su funcionalidad.


OFICIALIA MAYOR


Hoja 30 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 12-f) Recuperación para procesos de auditoria

Se debe contar con un plan de recuperación en caso de desastre que contemple los archivos requeridos por los procesos de auditoria.

DSITIC 13 Directriz de Monitoreo y Auditoria

Generar informes de auditoría de rutina describiendo las actividades del sistema, generando alertas sobre intentos o violaciones a la seguridad con pistas de auditoria para rastrear las actividades y demostrar el nivel de cumplimiento sobre las Directrices de Seguridad.

DSITIC 13-a) Licencias del software utilizado

Todo el software instalado en las computadoras propiedad de la SCT deberá ser desarrollado internamente o estar de acuerdo a los compromisos de licencias, las leyes de protección de copia y los acuerdos de compra.

DSITIC 13-b) Software no autorizado

La SCT deberá usar software de detección y eliminación de virus. Así como la revisión periódica del software no autorizado instalado en los equipos de cómputo de la Secretaría. Además de verificar el cumpliendo con los requisitos de contratos de licencia de software y de hardware.

DSITIC 13-c) Sospecha de software malicioso

La Mesa de Servicio debe informar mediante reportes de software que no esté operando de acuerdo a lo establecido en estas directrices, presente un comportamiento inestable o tener la sospecha que la inestabilidad o comportamiento se debe a software malicioso.

DSITIC 13-d) Identificación de información retenida

Para cubrir las necesidades de auditoria se identificará la información que será retenida y el periodo por conservar de acuerdo a las regulaciones.

DSITIC 13-e) Protección de la información

Toda información contenida y procesada en una computadora deberá ser protegida.

DSITIC 13-f) Auditorias

Realizar auditorías periódicas para verificar el cumplimiento de las Directrices de Seguridad, que permitan tomar acciones correctivas en su caso.

DSITIC 13-g) Revisiones técnicas de los controles de seguridad

Establecer revisiones técnicas periódicas para evaluar el grado de adecuación y cumplimiento con los controles de la Seguridad de la Información.

DSITIC 13-h) Precauciones de auditoria sistemas operativos

Las actividades de auditoria que involucren actividades de revisión al sistema operativo, deberán ser acordadas y cuidadosamente planeadas para minimizar el riesgo de interrupciones en los procesos de básicos de la SCT. Dichas actividades se enfocarán a:

i. Los requerimientos de auditoria deberán ser acordados con la administración de Sistemas. ii. El alcance de las revisiones será acordado y controlado por las áreas involucradas. iii. Los accesos para las revisiones serán solo de lectura. iv. Los recursos necesarios para las revisiones deberán ser identificados y acordados con los

proveedores de servicios. v. Todos los procedimientos, requerimientos y responsabilidades, deberán ser documentados.

DSITIC 13-i) Participación de dueños o propietarios de la información

Los dueños o propietarios de la Información deberán participar en el proceso de auditoría.

DSITIC 13-j) Documentar auditoria de incidentes de seguridad

Desarrollar un proceso para la conducción de la auditoria de incidentes de seguridad, (violaciones a las Directrices de Seguridad) que ayudarán a identificar a los que violan la seguridad y a tomar acciones correctivas.


OFICIALIA MAYOR


Hoja 31 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 13-k) Reportes para identificar violaciones

Definir los reportes que ayudarán a identificar las violaciones a la seguridad, estos reportes deberán contener la siguiente información:

i. Utilización de los recursos del sistema. ii. Los privilegios asociados con los usuarios, programas y recursos de grupo.

DSITIC 13-l) Registros completos de auditoria

Los registros de auditoria deberán contener los elementos de información que se consideren necesarios para poder dar un completo seguimiento a un incidente de seguridad.

DSITIC 13-m) Identificación de Usuarios con acceso a sistemas

Las aplicaciones deben operar con base en la identificación del usuario que accede al Sistema.

DSITIC 13-n) Reportes para auditoria

Se aplicarán los procedimientos técnicos que permitan obtener los reportes en forma periódica y que serán utilizados por el personal de auditoria.

DSITIC 13-o) Recolección de información para auditoria

Existirá un solo punto de recolección y manejo de la información de auditoria del control de acceso.

DSITIC 13-p) Auditoria constante a usuarios privilegiados

Los usuarios catalogados como con funciones especiales en los sistemas deben ser auditados trimestralmente.

DSITIC 13-q) Protección de herramientas de auditoria

Las herramientas utilizadas con propósitos de auditoria, así como los archivos generados por éstas, deberán ser protegidas contra el acceso a usuarios no autorizados.

DSITIC 13-r) Definición de puntos críticos de auditoria

El área de Seguridad definirá puntos críticos con el fin de monitorear el funcionamiento de los procesos de Seguridad. Los procesos de Alerta y auditoria serán elementos para la toma de decisiones y apoyarán a mejorar y retroalimentar a estos procesos.

DSITIC 13-s) Captar y escuchar informes de usuarios sobre seguridad

Implantar un mecanismo de comunicación formal para permitir a los empleados informar acerca de violaciones al sistema de seguridad, así como de actividades inseguras y que permita tomar decisiones correctivas o legales según corresponda.

DSITIC 14 Directriz de Servicios de Internet

La UTIC provee el servicio de Internet con fines estrictamente laborales. El contenido de la información que a través de este medio se obtenga, es responsabilidad del usuario.

DSITIC 14-a) Monitoreo y registros de actividad del servicio de Internet

Dado que el servicio de Internet hace uso de los recursos de la SCT, la actividad de los usuarios puede ser monitoreada y registrada en archivos históricos que son considerados como información confidencial de auditoría, lo anterior no generará alguna obligación, por lo que los usuarios no pueden esperar que se mantenga privacidad sobre el servicio.

DSITIC 14-b) Seguridad de Navegación de Internet

La información desde o hacia Internet que los usuarios manejen, es protegida mediante los procedimientos, herramientas y lineamientos de seguridad lógica que al respecto determine la UTIC.

DSITIC 14-c) Cuentas para acceso al Servicio de Internet

Todos los usuarios que requieran navegar en Internet deben contar con una cuenta de Active Directory para la activación del Servicio.


OFICIALIA MAYOR


Hoja 32 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 14-d) Filtrado de Contenido en el servicio de Internet

Se aplicarán filtros y otras técnicas para restringir el acceso a sitios de Internet que no tengan fines estrictamente laborales en todos los dispositivos, equipos, móviles o TIC que hagan uso del Internet que proporciona la SCT.

DSITIC 14-e) Actividades de Navegación Prohibidas

Las actividades que se prohíben cuando se hace uso de la conexión a Internet incluyen las siguientes categorías o apartados:

i. Material pornográfico, desnudos o sexo ii. Drogas iii. Apuestas, juegos iv. Asuntos ilegales o cuestionables v. Grupos extremistas vi. Racismo vii. Alcohol y tabaco viii. Citas y anuncios personales ix. Violencia y armas x. Y, en general, todo aquello que no contribuya a su productividad laboral. xi. Descarga de software o aplicaciones que representen una vulnerabilidad o riesgo a la

Información de la SCT. xii. Descarga de software o instalar aplicaciones que no estén plenamente justificadas con las

funciones del usuario. xiii. Descarga de archivos de música, de video, multimedia, etc. que representen un riesgo legal

sobre derechos de autor para la Secretaría y/o que representen una vulnerabilidad para la seguridad de la información de la SCT.

xiv. Redes sociales o mensajería instantánea (Chat) en horarios oficiales de trabajo.

DSITIC 14-f) Solicitudes de servicio de Internet

El servicio de Internet es gestionado a través del SIGTIC por el encargado de Informática de cada Unidad Administrativa Central y Centro SCT.

DSITIC 14-g) Interconexión de servicio de Internet

El acceso a las redes de comunicación para la conexión a Internet, es a través de los esquemas que para el efecto sean definidos por la UTIC; en ningún caso los usuarios pueden modificarlos.

DSITIC 14-h) Excepciones de interconexión de Internet

La interconexión al servicio de Internet o sistemas externos distintos de los dispuestos por la UTIC, no están permitidos, con excepción de los expresamente autorizados por razones plenamente justificadas y aprobadas por la UTIC, en cuyo caso se deben definir los momentos y las condiciones aplicables.

DSITIC 14-i) Puertos lógicos de Comunicación para Internet

La UTIC determinara qué puertos lógicos de protocolos de comunicación serán habilitados para la operación del servicio de Internet, vigilando en todo momento la seguridad de la información de la SCT

DSITIC 15 Directriz de Servicios de Correo Electrónico

El uso del correo electrónico está permitido únicamente para fines estrictamente laborales, por lo que toda la información transmitida por este medio debe controlarse a fin de evitar exposición no autorizada de información reservada y/o confidencial.

DSITIC 15-a) Solicitudes de servicio de Correo Electrónico

El servicio de Correo Electrónico es gestionado a través del SIGTIC por el encargado de Informática de cada Unidad Administrativa o Centro SCT.

DSITIC 15-b) Transferencia de información no autorizada

La transferencia no autorizada de información clasificada como confidencial a otros empleados, personas ajenas u otras instituciones, es una falta grave que debe de reportarse al responsable de la seguridad.


OFICIALIA MAYOR


Hoja 33 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 15-c) Baja de cuentas por fin de actividades laborales en la Institución

Es responsabilidad del Encargado de Informática de las Unidades Administrativas o Centros SCT que cada vez que un servidor público cause baja en la SCT, se solicite la baja de la cuenta y se elimine del servidor de Correo Electrónico.

DSITIC 15-d) Listas de Distribución

Las listas de distribución deberán tener un Administrador asignado por que es el único facultado para agregar, modificar o eliminar a los miembros de esta.

Nota. - Para mayor detalle de directrices de correo remitirse al ANEXO I

DSITIC 16 Directriz de Atención de Incidentes de seguridad

Todos los empleados, contratistas y terceros que laboren o presten algún tipo de servicio para la SCT deben reportar cualquier evento, debilidad o incidente de seguridad de información que se detecte por medio de los canales establecidos para tal efecto, a fin de que éstos puedan ser atendidos en tiempo y forma para mitigar, contener o eliminar el posible impacto de los mismos.

DSITIC 16-a) Incidentes de Seguridad relevantes

Siempre que el incidente amerite una investigación, debe recabar toda la evidencia posible, siempre y cuando este adentro del marco legal y normativo aplicable.

i. Ante un incidente de seguridad de la información, los empleados deben registrar, capturar, mantener y enviar la evidencia de tal acción a la UTIC a través de la Mesa de Servicio.

DSITIC 16-b) Acciones ante incidentes de seguridad

Las acciones que la Unidad debe llevar a cabo ante la ocurrencia de incidentes de seguridad son: i. Análisis e identificación de la causa del incidente ocurrido. ii. Planeación e implementación de acciones para prevenir la recurrencia de incidentes. iii. Obtención de evidencias para efectos de auditoría. iv. Comunicación entre los responsables de los servicios. v. Reporte a las autoridades legales apropiadas.

DSITIC 16-c) Reporte de incidentes de seguridad

Todos los funcionarios públicos, proveedores y terceros tienen la obligación de reportar a la UTIC cualquier incidente de seguridad que sea de su conocimiento, como pueden ser los siguientes casos:

i. Pérdida de servicios de TIC. ii. Sustracción, robo o pérdida de equipos de cómputo. iii. Incumplimiento a las directrices de seguridad de la información. iv. Brechas en los controles de seguridad existentes. v. Accesos no autorizados a las instalaciones. vi. Accesos no autorizados a los centros de datos. vii. Accesos no autorizados a sistemas, aplicativos y/o servicios de TIC. viii. Virus (detección o sospecha). ix. Desastres. x. Fallas de suministro eléctrico. xi. Spam.

DSITIC 16-d) Registros de incidentes de seguridad

El reporte de los incidentes de seguridad de la información debe incluir al menos la siguiente información: i. Nombre del incidente. ii. ID del incidente. iii. Usuario asociado. iv. Hora del reporte. v. Descripción del incidente. vi. Estatus del incidente.


OFICIALIA MAYOR


Hoja 34 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DSITIC 16-e) Acuerdos con terceros

Se deben establecer acuerdos de no divulgación y de confidencialidad antes de involucrar a una persona ajena a la SCT en respuesta a un incidente de seguridad.

DSITIC 17 Directriz de Eliminación de Información

Todos los funcionarios públicos, proveedores y terceros involucrados en el almacenamiento, procesamiento y resguardo de la información de la SCT catalogados como dueños de la información, deben definir las acciones necesarias para la eliminación de información de acuerdo al medio de almacenamiento y a su propiedad de confidencialidad definida en la directriz de clasificación de la información:

Publica Reservada Confidencial Dato Personal

DSITIC 17-a) Destrucción de información en Equipo de Cómputo y Dispositivos de Almacenamiento.

Asegurar la eliminación de la información clasificada como reservada y/o confidencial que contiene el equipo de cómputo, dispositivos de almacenamiento y documentos físicos (papel), además, se debe proveer una protección continua, incluso previo a su eliminación.

i. La información en equipo de cómputo y dispositivos almacenamiento debe ser eliminada de acuerdo a su clasificación de confidencialidad.

ii. La eliminación de la información en equipo de cómputo y dispositivos almacenamiento puede ser realizada por personal interno de la SCT o por un proveedor. A continuación, se describe la técnica a utilizar:

Clasificación Medio de almacenamiento Eliminación Confidencial

Dispositivos de almacenamiento removibles (USB, ZIP).

Cinta magnética. CD-ROMS, DVD.

Destrucción física.

Discos duros en PC, servidores, etc. Desmagnetización electrónica Mediante utilería, sobre escribir el disco

duro en repetidas ocasiones con información aleatoria.

Reservada

Dispositivos de almacenamiento removibles (USB, ZIP).

Cinta magnética CD-ROMS, DVD.

Destrucción física.

Discos duros en Pc, Servidores, etc. Desmagnetización electrónica. Mediante utilería sobre escribir el disco

duro en repetidas ocasiones con información aleatoria.

Publica Dispositivos de almacenamiento removibles (USB, ZIP.

Cinta magnética CD-ROMS, DVD

No se requiere acción alguna, sin embargo, en los casos donde se pueda reutilizar el dispositivo y sea factible, un simple formateo bastará.

Discos duros en Pc, servidores, etc. Formateo simple.

DSITIC 17-b) Eliminación programada.


OFICIALIA MAYOR


Hoja 35 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


La existencia de un gran volumen de dispositivos con información a eliminar

i. La información propuesta a eliminar por parte del dueño de la información debe ser revisada y aprobada por la Subdirección de Seguridad Informática y Servicios de Voz.

ii. En caso que se decida contratar a un proveedor para efectuar está actividad, esto debe ser autorizado por la Subdirección de Seguridad Informática y Servicios de Voz.

iii. Por cada evento en que se elimine información, se debe elaborar una acta que avale el proceso de eliminación, como mínimo el acta debe contener: Fecha de la eliminación. Descripción de la información a eliminar. Descripción de la técnicas y herramientas utilizadas en el proceso Testigos del proceso (de acuerdo al procedimiento “borrado seguro”) Anexar fotos del proceso de eliminación.

DSITIC 17-c) Eliminación del día a día.

Se habilitará a un funcionario de cada Unidad Administrativa o Centro SCT para que aplique la eliminación de la información que se da día con día observado lo siguiente:

i. Contar con conocimientos en la materia. ii. Recibir capacitación en las herramientas y técnicas utilizadas. iii. Contar con los procedimientos que lo orienten en su labor de eliminación. iv. Llevar un registro de los dispositivos que fueron sujetos a la eliminación.

DSITIC 18 Incumplimiento y Sanciones

Se deben evitar acciones en contra de las normas de Seguridad establecidas y en su caso aplicar sanciones correspondientes.

DSITIC 18-a) Enterar al OIC

Se enviará un reporte al OIC de las violaciones a las Directrices de Seguridad detectadas y documentadas para que este OIC, aplique las medidas que juzgue necesarias a los funcionarios que incurrieron en la violación de las Directrices de Seguridad Establecidas

Aprobó Revisó Elaboró Ignacio Edmundo Funes Maderey

Titular de la UTIC

___________________________ FIRMA

Norma Gabriela Medina Galindo Directora Adjunta de Estrategia en

TIC

___________________________ FIRMA

Juan Pablo Sánchez Gómez Subdirector de Seguridad

Informática y Servicios de Voz

___________________________ FIRMA


OFICIALIA MAYOR


Hoja 36 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


ANEXO I

DIRECTRICES DE USO Y OPERACIÓN DEL CORREO ELECTRONICO INSTITUCIONAL

Descripción del Servicio de Correo Electrónico _____________________________________________ 37 DCE 1 Responsabilidades de los Servicios _________________________________________________ 37 DCE 2 Directrices Generales _______________________________________________________________ 40 DCE 3 Directrices de uso de las Cuentas Comunes o de Servicios. __________________________ 41 DCE 4 Directrices de uso de las Listas de Distribución. _____________________________________ 42 DCE 5 Capacidad del buzón de correo _____________________________________________________ 42 DCE 6 Cancelación del Servicio. ___________________________________________________________ 43 DCE 7 Notificación y Atención relativas al Correo Electrónico. _______________________________ 43 DCE 8 Sanciones. _________________________________________________________________________ 44


OFICIALIA MAYOR


Hoja 37 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Descripción del Servicio de Correo Electrónico

El servicio de correo electrónico es una herramienta de colaboración, que permite a los usuarios enviar y recibir mensajes electrónicos, a través de sistemas de comunicación. Los mensajes de correo electrónico posibilitan el envío de cualquier tipo de documento, utilizando para ello, el protocolo SMTP (Simple Mail Transfer Protocol). Este tipo de servicio requiere de una dirección IP (Internet Protocol) y de infraestructura (servidores y medios de comunicación). Numerosas circunstancias pueden impedir la recepción de un mensaje como es:

- Caídas imprevistas en las comunicaciones, - Límites de almacenamiento en los buzones del usuario receptor, - Rechazo del mensaje por virus, - Rechazo del usuario final, - Listas Negras en los sistemas de seguridad, - Reputación de los servidores de correo, - SPAM, etc.

El servicio de correo electrónico institucional se proporciona a través de dos mecanismos de acceso, utilizando el cliente de Outlook y/o a través de un cliente OWA (Outlook Web Access). Para hacer uso de este servicio, se requiere, que el equipo de cómputo del que se va a tener acceso, tenga instalado un cliente de correo electrónico y la dirección del servidor de entrada/ salida.

DCE 1 Responsabilidades de los Servicios

La UTIC es la responsable de la gestión, administración, operación y mantenimiento del servicio de correo electrónico. DCE 1-a) Es responsabilidad de la UTIC:

Contar con la infraestructura de hardware y software para proporcionar adecuadamente el servicio. La instalación, configuración, operación y mantenimiento de los servidores, infraestructura y de los

elementos de hardware y software que componen el servicio de correo electrónico institucional. Establecer y dar a conocer a los usuarios las políticas de uso del servicio descritas en este documento,

cuyas modificaciones serán convenientemente notificadas. Diseñar todas las medidas técnicas y organizativas de seguridad y control que sean de obligación, de

conformidad con lo establecido en el MAAGTICSI y la legislación vigente, a fin de garantizar al máximo la integridad, disponibilidad y seguridad de las comunicaciones.

La garantía de entrega de mensajes de correo electrónico se limita al dominio “@sct.gob.mx”, para el que se aceptan transacciones de entrega de correo, ya sean éstas de entrada o de salida de mensajes.

La UTIC se reserva la facultad de limitar, total o parcialmente, el acceso a la cuenta de correo a los usuarios, así como de cancelar, suspender, bloquear o eliminar cuentas, si tuviese conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que afecta bienes o derechos de terceros, o que incumplen las directrices aquí establecidas.

La UTIC podrá establecer los filtros necesarios a fin de evitar que a través de este servicio puedan verterse en la red contenidos claramente ilícitos o nocivos, o que vulneren la seguridad de la información.

La UTIC se reserva el derecho de efectuar, a través del área de su atribución, el monitoreo de tráfico en las redes de datos de la SCT, para verificar el cumplimiento de las políticas de uso de correo electrónico institucional. Cada eventualidad será registrada en una base de datos y podrá ser informada al Director General respectivo o equivalente y en su caso al Órgano Interno de Control, lo cual servirá como elemento de prueba para la aplicación de sanciones o la cancelación del servicio al usuario.


OFICIALIA MAYOR


Hoja 38 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DCE 1-b) Es responsabilidad de la Subdirección de Comunicaciones e Ingeniería:

Recibir y atender las solicitudes de generación de cuentas de correo electrónico generadas a través del Sistema Institucional para la Gestión de Tecnologías de Información y Comunicaciones (SIGTIC).

Autorizar la solicitud o, si fuera el caso, rechazar la solicitud basada en una justificación que deberá documentar, así como dar aviso al usuario.

Proporcionar la cuenta de correo electrónico institucional sobre el dominio @sct.gob.mx. Administrar y operar los servidores de correo electrónico. Coordinar el soporte y asesoría especializada que los usuarios requieran sobre el servicio de correo

institucional. No proporcionar asesoría en servicios de correo diferentes al institucional o que quebranten las

Directrices de Uso o las Directrices de Seguridad de la Información de la SCT. Asignar y administrar la capacidad del buzón conforme al perfil del usuario definidos y descritos en los

procedimientos. Asignar y administrar la capacidad del buzón de las cuentas, de acuerdo a los perfiles establecidos en

las presentes directrices. Coadyuvar en el establecimiento de las directrices e implementar los controles necesarios, que

garanticen la seguridad y calidad del servicio. La actualización y revisión de las presentes directrices mínimo una vez al año, o cuando exista un

cambio importante que requiera su modificación para poder entregar el servicio y será responsabilidad de la Subdirección publicarlas para que los usuarios tengan acceso a ellas.

El servicio ofrecerá soluciones de análisis y filtrado para correo no deseado o no solicitado, antivirus, de suplantación de identidad o cualquier otro ataque malicioso.

Integrar el servicio al catálogo de servicios de la UTIC, de acuerdo a lo que establece el Proceso de Administración de Servicios (ADS) del MAAGTICSI.

Instalar en los componentes de los servicios de correo electrónico, herramientas actualizadas de protección contra correos electrónicos no deseados o no solicitados.

Eliminar del servicio de correo electrónico aquellas cuentas y buzones de usuarios que durante un periodo de 90 días no presenten actividad o hayan causado baja.

Implementar mecanismos continuos para mejora del servicio; así como para su seguridad. Implementar los controles necesarios en el servicio de correo electrónico que asegure la integridad,

confidencialidad y autenticación de la información en los equipos de cómputo en los que se configura al realizar tratamiento, transmisión o almacenamiento.

Implementar políticas de filtrado de contenido a fin de garantizar la seguridad de la red, los siguientes tipos de archivos anexados al correo electrónico serán filtrados por los elementos de seguridad implementados por la Subdirección de Seguridad:

o Archivos Ejecutables con extensión .exe, .bat, .com, .cmd, .msi, .pif o Scripts ejecutables (.vbs,.jsc, .bas, .js). o Ficheros con extensiones dobles. o Nombres de fichero con 3 espacios en blanco o más. o Otros archivos potencialmente peligrosos (mim, b64, bhx, hqx, xxe, uu, uueade, adp, app, chm,

cpl, crt, emf, fxp, grp, hlp, hta, inf, ins, isp, jse, lnk, mda, mde, mdw, mdt, mdz, msc, msp, mst, ops, pcd, prg, reg, scr, sct, shb, shs, vb, vbe, wm, lha, tnef, cab, dl, wmf, wsc, wsf, wsh).

Implementar políticas de auditoria y bitácora de logs. Dichos logs almacenarán: fecha y hora de la transacción, nombres de las MTAs que reciben y envían, identificador (ID) del mensaje, dirección de origen y destino, la MTA que actúa de relay, el estado de la transacción y el tamaño del mensaje.

DCE 1-c) No será responsabilidad de la UTIC:


OFICIALIA MAYOR


Hoja 39 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Recuperar correos electrónicos que no se encuentren en el servidor. Realizar los respaldos de la información de correo que se encuentre albergados o descargados en los

equipos de cómputo personales. Proporcionar cualquier tipo de soporte de operación en equipos personales, esto es, que no sean parte

del inventario de la SCT. Cualquier otra actividad no descrita en esta sección.

DCE 1-d) Responsabilidades de los Responsables de Informática de las Unidades Administrativas Centrales y de los Centros SCT:

Conocer y promover con los usuarios de su área de competencia, las presentes Directrices. Conocer los procesos correspondientes y los vinculados, al Servicio de correo electrónico institucional

para su apoyo en la gestión de las necesidades de sus usuarios. Apoyar a la UTIC en cualquier actividad que requiera de soporte a los usuarios de correo electrónico

y de aplicación de las presentes Directrices. Recibir las peticiones por parte del usuario y/o el jefe inmediato de este, y gestionar a través del SIGTIC

la solicitud del servicio. Dar seguimiento e informar oportunamente al usuario la respuesta a su solicitud, así como, configurar

el acceso al servicio en el equipo del usuario. Proporcionar la asesoría y el soporte que los usuarios de la Institución requieran. Ser la única persona que podrá solicitar la incorporación de un usuario a una lista de distribución,

verificando que la solicitud se encuentre debidamente validada por el Director del área. Gestionar en forma inmediata la baja de la cuenta y la eliminación del servidor de Correo Electrónico

de aquellos servidores públicos o usuarios que causen baja en la SCT, este requerimiento se realizará en el SIGTIC a más tardar 3 días hábiles, una vez establecida la baja del servidor público u otro tipo de usuario, aun cuando no medie solicitud expresa del usuario.

Vigilar que no se instalen programas que recolecten de manera secreta y oculta información acerca de los usuarios. En caso de requerirse algún monitoreo especial, deberá de solicitarse la autorización a la UTIC.

DCE 1-e) Responsabilidades de los Usuarios del Servicio de Correo Electrónico Institucional:

Podrán ser usuarios de los servicios de correo electrónico institucional siempre y cuando sea empleado de la SCT y exista autorización por escrito del Director de área o equivalente, gestionada mediante el SIGTIC, además de aquellos que

Podrán ser usuarios de los servicios de correo electrónico institucional, el personal de la Institución que requiera de estos servicios para atender las funciones encomendadas a su puesto.

Podrán ser usuarios de los servicios de correo electrónico institucional el personal de terceros de acuerdo al servicio que presten a la Institución, por ejemplo, los auditores externos.

El usuario de correo electrónico Institucional, deberá limitarse a atender los requerimientos de la institución, en el desempeño de las funciones encomendadas a su puesto, apegándose a la normatividad establecida.

La cuenta de correo electrónico institucional es personal e intransferible siendo su responsabilidad salvaguardar la clave de acceso.

Deberá cambiar la clave de acceso al servicio de manera periódica y utilizar contraseñas fuertes. Deberá descargar periódicamente la información del servidor de correos al equipo asignado por la

Institución, liberando la capacidad del servidor de correos. Será responsable de respaldar su información en medios ópticos, magnéticos o electrónicos bajo su

resguardo, tratándose de información sensible, el usuario deberá aplicar lo establecido en las directrices de Seguridad de la Información de TIC.

Sera responsable de tener clasificada toda la información bajo su resguardo.


OFICIALIA MAYOR


Hoja 40 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Cuando se trate de información sensible, el usuario deberá enviar los mensajes encriptados, utilizando

los procedimientos y herramientas autorizadas por la UTIC. Deberá dar aviso al Director General o equivalente y a la UTIC cuando conozca de actividades que no

se apeguen a las políticas y normas de uso de correo electrónico institucional aquí descritas. Utilizar las herramientas que se tengan desplegadas por la UTIC, que permitan limitar, contener y tratar

la Información con el fin de mantener la disponibilidad, integridad y confidencialidad de la información que puede asociarse, anexarse o vincularse a este servicio.

DCE 2 Directrices Generales

El Sistema de Correo Electrónico Institucional y la información que se genere, almacene o este

contenida en el sistema, es propiedad de la Secretaría de Comunicaciones y Transportes y es parte integral de sus sistemas de información por lo que adicional a las presentes directrices, también se rige por las Políticas y Normatividades aplicables.

El usuario debe conocer, aceptar y respetar la Directriz General y las Directrices uso de Correo Electrónico Institucional para tener derecho al uso del servicio.

El usuario debe conocer, aceptar y respetar la Directriz de Seguridad de la Información de TIC de la SCT.

El usuario debe tramitar su cuenta de correo a través de su encargado o responsable de informática para que este lo gestione mediante el SIGTIC.

El usuario recibirá y firmará el documento de Directrices de uso de Correo Electrónico Institucional al momento de recibir la cuenta que se le asignó para que esta pueda activarse y pueda hacer uso de ella. El uso del servicio es una evidencia de que conoce y respetará las presentes políticas y que acepta las sanciones que resulten procedentes por el mal uso dado al servicio.

El correo electrónico institucional en su carácter de cuenta de usuario, cuentas comunes o de servicios, así como de listas de distribución, es un servicio que sólo debe utilizarse para los intereses propios de la Institución. El correo institucional no debe ser utilizado con fines personales, de lucro, político, religioso, étnico, pornográfico, musical o de entretenimiento.

A partir del establecimiento de estas directrices las cuentas de usuario estarán conformadas por el nombre y apellido, tal como [email protected]; en caso de que ya exista la cuenta de usuario, entonces la UTIC identificará la cuenta de usuario posible de acuerdo a la combinación de los nombres y apellidos del usuario.

El usuario debe mantener su contraseña de manera confidencial y debe cambiarla por lo menos una vez al mes. Cada mes vencido, el sistema de correo electrónico proporcionará el mecanismo para realizar esta actividad.

Las cuentas de correo electrónico son otorgadas de manera personal y son los titulares de las mismas, los responsables directos del uso del servicio, del contenido de los mensajes y actividades que se realicen con la misma, evitando el uso del lenguaje inapropiado en el mismo.

El uso del correo electrónico es únicamente para fines estrictamente laborales de la Institución, por lo que toda la información transmitida por este medio debe controlarse a fin de evitar la exposición no autorizada de la información ajena a este propósito, información reservada y/o confidencial.

La UTIC no se responsabiliza por la validez, calidad o contenido de los mensajes enviados. El usuario debe depurar, archivar y respaldar, por lo menos cada 15 días la información contenida en

su buzón de correo. El usuario debe realizar el respaldo de la información de su correo en carpetas dentro del disco duro

de su equipo de cómputo institucional que le fue asignado por la UTIC, mediante archivos tipo PST para el respaldo de su correo. No se deben realizar respaldos en equipos personales o USB.

El usuario debe evitar re-enviar y responder correos masivos (cadenas), así como correos de dudosa procedencia.

El usuario no debe utilizar el correo para enviar mensajes amenazantes, insultantes o discriminatorios y en general que sean ofensivos a los destinatarios de los correos, respetando el Código de Ética de la Secretaría.


OFICIALIA MAYOR


Hoja 41 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Cualquier intento de acceso a cuentas de otros usuarios, de la administración del servicio, suplantación

de identidad o afectación intencional a la operación del servicio es considerado ilícito y se tomarán las medidas cautelares y correctivas que procedan.

El usuario tiene por obligación solicitar a su enlace informático el requerimiento de la baja del servicio, en caso de terminar la relación laboral con la Secretaría, en caso de no solicitarla el encargado o responsable de informática deberá solicitar la baja de la cuenta.

La transferencia no autorizada de información clasificada como reserva o confidencial a otros empleados, personas ajenas u otras instituciones, representa una falta grave que se debe reportar al responsable de la Seguridad de la Información.

Ante cualquier acto ilícito, que quebrante las actuales Políticas o que agreda el objetivo sustancial del presente servicio, la UTIC, se reserva el derecho de intervenir, auditar e investigar para constatar el uso inadecuado del mismo, estando facultado para suspender o cancelar, temporal o permanentemente, el servicio al usuario.

Las presentes Directrices podrán ser actualizadas sin previo aviso, es responsabilidad de los usuarios mantenerse informados de las mismas a través del portal de correo o de seguridad de la información de la SCT.

No se pueden enviar archivos adjuntos con un peso mayor a 10MB. Queda prohibido el uso de seudónimos y envío de mensajes anónimos, así como aquellos que

consignen títulos, cargos o funciones no oficiales. No iniciar y contestar “cadenas”. Queda prohibido el envío interno o hacia el exterior de correos spam de cualquier índole. Los correos masivos institucionales que por necesidades específicas de un área requieran ser

enviados a todos los usuarios de la SCT, deberán ser autorizados por la UTIC y serán enviados únicamente mediante listas de distribución registradas y autorizadas.

Los archivos adjuntos recibidos serán analizados por las herramientas antivirus antes de ser abiertos o ejecutados. Por lo que los correos sospechosos o de dudosa procedencia no serán abiertos, y menos aún los archivos adjuntos que contengan. Su eliminación debe ser inmediata.

Se utilizará como cliente de correo electrónico, el programa Microsoft Outlook 2010 o superior. Todos los usuarios que cuenten con correo en Exchange podrán consultar su buzón almacenado en

el servidor por medio de la página: https://correo.sct.gob.mx Queda prohibido, a otras áreas distintas a la UTIC, crear o mantener programas que recolecten de

manera secreta y oculta información acerca de los usuarios. No se permite el uso de los recursos de cómputo para realizar monitoreo no autorizado de comunicaciones, ya que pueden generar tráfico indeseable o interferir con el monitoreo y control institucional. En caso de requerirse algún monitoreo especial, deberá de solicitarse la autorización a la UTIC.

Se activarán y utilizarán las herramientas o servicios asociados al Correo Electrónico Institucional que permitan limitar, contener y tratar la Información, con el fin de mantener la disponibilidad, integridad y confidencialidad de la información que puede asociarse, transmitirse o vincularse a este servicio.

DCE 3 Directrices de uso de las Cuentas Comunes o de Servicios.

Deben tener un responsable de la cuenta, que será un servidor público de la SCT. El servidor público responsable debe solicitar este tipo de cuentas justificando su creación, utilización

y servicio, a través de su encargado de Informático y este gestionarlo a través del SIGTIC. El uso de la cuenta común y su responsable, debe de cumplir con las mismas Directrices de Correo

Electrónico. Las cuentas de correo comunes no pueden ser usadas bajo ningún concepto para otros fines que no

sean los propios de la unidad a la que pertenece y que motivaron su creación. No se pueden enviar archivos adjuntos con un peso mayor a 10MB. El usuario responsable deberá comunicar al enlace informático responsable de la unidad sobre

cualquier anomalía que detecten en su esta cuenta, así como de la apertura de un correo sospechoso o cualquier alerta generada por el antivirus.


OFICIALIA MAYOR


Hoja 42 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


La cuenta debe tener un nombre que de sentido al uso de ésta y estará estructurada como se indica:

[email protected].

DCE 4 Directrices de uso de las Listas de Distribución.

Se debe tener un responsable de la cuenta, el cual siempre será un servidor público de la SCT y

miembro de la lista de correo. El servidor público responsable debe solicitar este tipo de cuentas justificando su creación, utilización

y miembros de la lista, a través del SIGTIC. El uso de estas listas, su responsable y miembros, deben de cumplir con las Directrices de Correo

Electrónico para usuarios de la UTIC. La información que cree, almacene, envié o reciba, es responsabilidad del usuario designado como

responsable. Las listas de distribución no pueden ser usadas bajo ningún concepto para otros fines que no sean los

propios de la unidad a la que pertenece y que motivaron su creación. El responsable de la lista deberá solicitar las altas, bajas y cambios de los integrantes, de la misma y

mantener el adecuado uso de la misma Las listas de distribución es un servicio de valor agregado el cual implica la reserva de una serie de

recursos que deberán ser utilizados de manera racional. El responsable de la lista de distribución, deberá solicitar el cambio de responsable cuando deje de

laborar en la Secretaría o cambie de funciones. No iniciar y contestar “cadenas”. No se pueden enviar archivos adjuntos con un peso mayor a 1.5MB. Los archivos adjuntos recibidos serán analizados por las herramientas antivirus antes de ser abiertos

o ejecutados. El empleo de listas de distribución es de uso exclusivo del Administrador de la lista de distribución

quien tiene facultad de agregar, modificar o eliminar destinatarios o permitir recibir mensajes de miembros ajenos a la Lista de distribución.

Se utilizarán las herramientas que permitan gestionar la información contenida en el cuerpo del mensaje o adjunto a este, para el control de la Seguridad de la Información que se envía a través del correo electrónico.

DCE 5 Capacidad del buzón de correo

El servicio de correo electrónico implica la reserva de una serie de recursos que, en cualquiera de los

tipos de cuentas, deberán ser utilizados de manera racional. La capacidad de cada buzón es determinada por la UTIC de acuerdo a la infraestructura y

capacidad de almacenamiento global disponible y del perfil asignado al puesto que desempeña en la Institución.

La entrega de archivos adjuntos está permitido únicamente después de haber confirmado la clasificación de la información y de haber verificado los archivos libres de estar libres de virus o cualquier otra forma de código malicioso.

El servidor de correo electrónico permite el almacenamiento de acuerdo al perfil del usuario el cual se ve reflejado en la siguiente tabla, en caso de que el usuario requiera más espacio, debe almacenar su correo en carpetas residentes en el disco duro de su equipo de cómputo (archivos tipo PST).

Perfil Cuota

2 GB


OFICIALIA MAYOR


Hoja 43 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Secretario, Subsecretarios, Titulares de área, Particulares, Directores Generales, Directores

Adjuntos u homólogos. Directores de Área, Subdirectores. 120 MB

Jefes de Departamento u homólogos. 100MB

Operativos, Enlaces, cuentas de servicio u homólogos. 60 MB *La capacidad de buzón está determinada por la capacidad (infraestructura) de almacenamiento disponible.

El requerimiento de capacidad adicional, se dará al siguiente perfil inmediato que en ese momento tenga asignado y debe tramitarse a través del SIGTIC, plena justificación y validación por el Director del Área donde se encuentre adscrito.

DCE 6 Cancelación del Servicio.

Las cuentas del servicio de correo electrónico podrán ser canceladas por los siguientes motivos:

A solicitud del usuario responsable y/o a solicitud del enlace informático a través del SIGTIC. Por permanecer más de 90 días inactiva. Por incumplimiento de cualquiera de las directrices de uso del correo electrónico institucional. Por usar la cuenta de correo para fines comerciales o particulares. Por transmitir virus, programas de uso mal intencionado o introducir software malicioso en la red o en

los servidores (virus, worms, ráfagas de correo electrónico no solicitado, etcétera). Por generar o enviar correos electrónicos a nombre de otra persona sin autorización o suplantándola. Enviar mensajes con direcciones no asignadas por los responsables de la SCT y en general es ilegal

manipular las cabeceras de correo electrónico saliente. Violar los derechos de cualquier persona o institución protegidos por derechos de autor, patentes o

cualquier otra forma de propiedad intelectual. Usar el sistema con el fin de realizar algún tipo de acoso, difamación, calumnia, con intención de

intimidar, insultar o cualquier otra forma de actividad hostil o maliciosa. Utilizar como puntos de acceso de correo otros equipos, distintos a los puestos a disposición por la

UTIC y autorizados para los servicios. Enviar mensajes de correo no solicitados, incluyendo junk mail (material publicitario enviado por

correo) o cualquier otro tipo de anuncio comercial a personas que nunca han solicitado ese tipo de material (email spam, mensajes electrónicos masivos, no solicitados y no autorizados en el correo electrónico).

Si, en el ejercicio de sus funciones, el personal de la UTIC detecta cualquier anomalía que muestre indicios de usos ilícitos.

La desactivación de una cuenta de correo electrónico supone la pérdida automática de la capacidad de enviar y recibir mensajes.

Para reactivar la cuenta, el usuario deberá presentar un oficio firmado por el Director General de la Unidad Administrativa donde se encuentra inscrito, el cual avale la reactivación de la cuenta del usuario y funja como responsable solidario. La UTIC se reserva el derecho de reactivar o no la cuenta, de acuerdo a la gravedad de la circunstancia.

Recaer dos veces en una de las circunstancias aquí descritas, se cancelará en forma definitiva la cuenta al usuario, sin tener posibilidad de volver a reactivar una cuenta al usuario en cuestión.

Cuando un servidor público cause baja en la Institución, por lo que se solicitara la baja de la cuenta y se eliminara del servidor de Correo Electrónico.

Uso indiscriminado de las listas de distribución.

DCE 7 Notificación y Atención relativas al Correo Electrónico.


OFICIALIA MAYOR


Hoja 44 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Las incidencias, consultas o hacer sugerencias relativas al servicio de correo electrónico serán atendidas a través de la Mesa de Servicio

DCE 8 Sanciones.

Se envira un reporte al OIC de las violaciones a las Directrices de Seguridad detectadas y documentadas para que este OIC, aplique las medidas que juzgue necesarias a los funcionarios que incurrieron en la violación de las Directrices de Seguridad Establecidas.


OFICIALIA MAYOR


Hoja 45 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


ANEXO II

Directrices de Gobierno de Datos de la UTIC

DGDTIC 1 Directriz de Gobierno de Datos de la SCT ________________________________________________ 46 DGDTIC 2 Definición de roles __________________________________________________________________ 46 DGDTIC 3 Clasificación y Acceso a los datos ______________________________________________________ 47 DGDTIC 4 Disponibilidad de datos institucionales y su interoperabilidad ______________________________ 48 DGDTIC 5 Recopilación y mantenimiento ________________________________________________________ 48 DGDTIC 6 Actividades de documentación y definición de datos ______________________________________ 48 DGDTIC 7 Integridad, validación y corrección de datos _____________________________________________ 49 DGDTIC 8 Manipulación de datos, modificación, extracción, y presentación de informes (reporteo) ________ 49 DGDTIC 9 Seguridad de datos __________________________________________________________________ 49 DGDTIC 10 Almacenamiento de datos ___________________________________________________________ 50 DGDTIC 11 Explotación de información a través del Datawarehouse __________________________________ 51 DGDTIC 12 Administración de Sistema __________________________________________________________ 51 DGDTIC 13 Soporte al usuario _________________________________________________________________ 51 DGDTIC 14 Modelo de datos institucional ________________________________________________________ 52 DGDTIC 15 Datos abiertos ____________________________________________________________________ 52


OFICIALIA MAYOR


Hoja 46 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DIRECTRICES DE GOBIERNO DE DATOS DE LA SCT

Las presentes directrices constituyen un instrumento que regula la responsabilidad, procesamiento y uso de los datos que se gestionan al interior de la UTIC, lo que permitirá una correcta administración de los niveles de precisión, accesibilidad, manejabilidad, confiabilidad y consistencia de los mismos y por ende impulsar la calidad de la información de la Secretaría.

DGDTIC 1 Directriz de Gobierno de Datos de la SCT Las Directrices de Gobierno de Datos son un instrumento de control administrativo que ayuda reducir riesgos, estableciendo criterios comunes que sirvan como guía para la implementación de controles para todos los datos institucionales y así regular el intercambio de información y operaciones de consulta, captura y gestión de los sistemas de información bajo la custodia de la UTIC. Así mismo es un mecanismo creado por la UTIC para dar cumplimiento al Reglamento Interior de la Secretaría de Comunicaciones y Transportes en su artículo 35, atribución XII. “Definir, difundir y vigilar el cumplimiento de las normas, políticas, estándares y procedimientos de Calidad y Seguridad de la información de la Secretaría”. Bajo este contexto, un dato institucional se identifica si cumple uno o más de los siguientes criterios:

Es relevante para la planeación, gestión, operación o auditoría de una función sustantiva de la Secretaría.

Se hace referencia o se requiere para el uso de más de una Unidad Administrativa. Los datos utilizados internamente por una sola Unidad Administrativa no se consideran típicamente datos institucionales, a menos que cumplan con las características plasmadas en el inciso anterior.

Se incluye en un informe oficial Institucional. Los datos que cumplen los criterios de inclusión pueden ser identificados como tales por un

administrador de datos, un custodio de datos, el equipo de administración de gobierno de datos. Se debe identificar un responsable, administrador y custodio de datos para la gestión de cada dato

institucional. El equipo de administración de gobierno de datos coadyuvará con la UTIC y las diversas Unidades

Administrativas en la definición de los datos institucionales y para la identificación de los administradores de los mismos.

DGDTIC 2 Definición de roles Propiedad de los datos. - El secretario se considera el titular de todos los datos institucionales; las Unidades o Coordinaciones Generales pueden tener responsabilidades asignadas sobre los datos.

Equipo de Administración de Gobierno de Datos. - Responsable de establecer los estándares y procedimientos de gestión de datos y sus correspondientes metadatos, así como participar en el establecimiento de la dirección de la práctica del gobierno de datos como miembro del Grupo de Trabajo Estratégico de la UTIC.

Responsable de dato institucional. - Servidores públicos con cargo mínimo de Director General que tiene la máxima responsabilidad sobre un dato institucional debido a sus atribuciones o por acuerdo del Grupo Estratégico de Gobierno de Datos. Refiere tanto a la responsabilidad de manejo de la información, así como a la capacidad de definición de acceso, creación, modificación, de los datos, y además el derecho de asignar privilegios de acceso al resto de los interesados.


OFICIALIA MAYOR


Hoja 47 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Administrador de dato institucional. - Servidores públicos con cargo mínimo de Director de área que tienen atribuciones de planeación y ejecución de actividades que involucran datos institucionales, tienen la responsabilidad a nivel operativo para las actividades de gestión de la información relacionadas con la captura, el mantenimiento y la difusión de datos así como fungir como el experto en la materia del dato, promotor y custodio de los atributos que le fueron delegados. Enlace Coordinador. -Servidores públicos con cargo mínimo de Subdirector de área que fungen como punto de contacto para las actividades relacionadas con la gestión datos asignados. Representa al Administrador de dato institucional en sesiones de trabajo y mantiene comunicación como enlace con las comunidades interesadas. Custodio de datos. - Servidores públicos con cargo mínimo de Director de área, responsable de asegurar la consistencia, integración y acceso eficiente de los datos para apoyar las funciones del negocio, por medio de la gestión diaria de los sistemas de información y el monitoreo del cumplimiento de las políticas de seguridad en los sistemas que se encuentran bajo su administración. Así como crear y mantener las descripciones formales de las entidades de datos y su relación con los procesos del negocio Comunidades interesadas. - Son grupos que pueden ser afectados por los datos que están dentro del alcance de la práctica de Gobierno de Datos de la SCT en general, aquellos que usan los datos y recomiendan reglas y requisitos para los mismos. Este grupo puede ser un usuario de datos, un propietario, un consumidor u otra persona o grupo que tenga un interés en dichos datos. Los usuarios de datos. - Son los servidores públicos que debido a la naturaleza de sus atribuciones tienen acceso y uso de los datos institucionales.

DGDTIC 3 Clasificación y Acceso a los datos El valor de los datos como un recurso institucional se incrementa a través de un uso apropiado y generalizado; dicho valor se ve disminuido por mal uso, mala interpretación, o restricciones innecesarias para su acceso, por lo cual se hace necesario establecer lo siguiente:

El administrador de datos será responsable de definir las características y perfiles de accesos a los datos institucionales que se otorgarán a los servidores públicos de acuerdo a sus atribuciones.

El custodio de datos será responsable de administrar los accesos a los datos institucionales conforme a las características y perfiles que el administrador de dichos datos le proporcione.

A fin de regir tanto el acceso como el uso de los datos institucionales se deberá observar la clasificación de seguridad de la información a la que hace referencia el documento de Directrices de Seguridad de la Información de TIC en su apartado DSITIC 5-c).

Para toda aquella información que no se clasifique dentro de las Directrices de Seguridad señaladas en el inciso anterior, los administradores de datos están facultados para catalogar conjuntos de información debido a su naturaleza, requiriendo una autorización individual previa para su acceso, detallando bajo qué condiciones y limitaciones.

Los administradores y custodios de datos trabajarán conjuntamente para definir, formalizar y en su caso, actualizar, los procedimientos de solicitud, acceso y uso de los datos institucionales.

Cada custodio de datos será responsable de documentar los procedimientos de acceso a los datos institucionales que son exclusivos de un recurso informático, tales como un sistema institucional, reportes automatizados, entre otros.

Los administradores de datos, establecerán lineamientos y perfiles de usuarios para el acceso a los datos institucionales, así como decidir sobre las solicitudes individuales de acceso.

Cualquier usuario de datos podrá solicitar que un responsable de datos, revise las restricciones impuestas a un dato institucional, o revisar cualquier negativa de acceso a datos de acceso limitado.

El custodio de datos deberá aplicar las solicitudes de acceso a los datos institucionales que realicen los administradores de datos.


OFICIALIA MAYOR


Hoja 48 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


El Grupo de trabajo estratégico de gobierno de datos será responsable de decidir respecto a los

accesos y restricciones a los datos institucionales en caso de que dicha decisión sea escalada a su nivel.

DGDTIC 4 Disponibilidad de datos institucionales y su interoperabilidad Los custodios de datos serán responsables de proporcionar mecanismos para que los datos institucionales sean de lectura mecánica, accesibles, significativos y oportunos para el uso institucional. Los administradores y custodios que administran sistemas bajo la custodia de la UTIC tienen la responsabilidad de la correcta compatibilidad, accesibilidad e interfaces entre dichos datos. Los administradores y custodios de datos trabajarán conjuntamente para lograr la unificación de los diversos atributos, estructuras y formatos de almacenamiento que existen en los diversos sistemas en los que se almacenan los datos institucionales.

DGDTIC 5 Recopilación y mantenimiento El responsable de datos de cada dato institucional será responsable de que la recopilación de datos se lleve a cabo de manera completa, precisa, válida y oportuna, tanto para la entrega de insumos para actividades sustantivas de la institución, así como para la incorporación a los sistemas institucionales bajo la custodia de la UTIC. El administrador de datos tendrá la responsabilidad operativa para la recolección y mantenimiento de los datos, es decir, llevará a cabo actividades de definición y validación de criterios para determinar las características de los atributos de los datos que se encuentran bajo su resguardo.

DGDTIC 6 Actividades de documentación y definición de datos El Custodio de datos será responsable de documentar los atributos y características de los datos a fin de identificar el significado y contexto que representa cada atributo y así tener mayor visibilidad de la información que se alberga en las bases de datos institucionales. Como resultado de las actividades de documentación de los atributos y características de los datos se generará un documento denominado Diccionario de datos que al menos debe incluir:

Nombre y alias Descripción Metadato Uso y relaciones Frecuencia de actualización Fuente de captura de datos Ubicación de almacenamiento de datos oficial y formato Descripción y significado de los códigos permitidos Las reglas de acceso y requisitos de seguridad Requisitos de archivado Ubicación de almacenamiento de datos que se extraen para efectos de reporteo.

Como resultado de las actividades de documentación también se deberá incluir información sobre la estructura de datos para la correcta interpretación de los mismos, también se deberá proporcionar información general para bases de datos, archivos y grupos de archivos que incluyen datos institucionales.


OFICIALIA MAYOR


Hoja 49 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


La UTIC por medio de sus Direcciones de Área y sus enlaces homólogos de la Secretaría serán responsables de mantener actualizados y accesibles los Diccionarios de datos que se generen por cada uno de los sistemas que éstos custodien. Cualquier cambio de tipo operativo (regla de negocio que afecte del contexto y uso del dato que se realice en la definición de los datos deberá notificarse tanto a la UTIC como a sus enlaces homólogos de la Secretaría para realizar las actualizaciones en el Diccionario de datos correspondiente.

DGDTIC 7 Integridad, validación y corrección de datos Las aplicaciones que capturan y actualizan los datos institucionales deben incorporar elementos de validación al momento de crearlos, actualizarlos o eliminarlos para asegurar la exactitud y la integridad (consistencia) de los mismos. Los usuarios que tengan acceso al Diccionario de datos pueden cuestionar la precisión o consistencia de cualquier atributo de datos para lo cual deberá proporcionar información detallada y suficiente que permita la comprensión y diagnóstico del problema. El administrador de datos asignado es responsable de mantener la integridad de los datos y resolver las inconsistencias respecto a la exactitud de los datos. Una vez identificados y notificados los datos erróneos, a través de un plan de atención o proyecto de mejora, la UTIC por medio del custodio de datos notificará las medidas correctivas para:

Corregir la causa de los datos erróneos. Corregir los datos en la ubicación de almacenamiento oficial. Notificar a los usuarios que hayan recibido o accedidos datos erróneos.

DGDTIC 8 Manipulación de datos, modificación, extracción, y presentación de informes (reporteo)

El responsable de datos es responsable de establecer las políticas relativas a la manipulación, modificación o denuncia de los elementos de datos institucionales y para la creación de elementos derivados. El administrador de datos tiene la responsabilidad final para el uso adecuado de los datos institucionales; los usuarios de los datos a los que se les hayan otorgado accesos serán responsables del uso específico que hagan de los mismos. Todos los datos extraídos o reportados a partir de datos institucionales deben incluir un registro o exhibición de la hora y fecha de captura de datos. Los custodios de datos trabajarán con los administradores y usuarios de datos para definir horarios útiles y significativos para la creación de los extractos de datos estándar.

DGDTIC 9 Seguridad de datos El custodio de datos será responsable de determinar los requisitos de seguridad de los datos institucionales bajo su responsabilidad, tales como cifrado seguro, mecanismos de disponibilidad y en general que aseguren la integridad y confidencialidad de la información. El custodio de datos es responsable de monitorear y revisar la implementación de seguridad y acceso autorizado definidos para los datos bajo su responsabilidad.


OFICIALIA MAYOR


Hoja 50 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Todos los usuarios que tienen acceso a los datos deberán acusar formalmente (por declaración firmada o algún otro medio) su comprensión del nivel de acceso proporcionado y su responsabilidad de mantener la confidencialidad de los datos que acceden. El custodio de datos es responsable de la definición y aplicación de controles y procedimientos para asegurar que los datos estén respaldados y recuperables en respuesta a eventos (incidentes) que puedan afectar su integridad. La UTIC y sus enlaces homólogos de la Secretaría deben ayudar en este esfuerzo de establecer la opción tecnológica más viable de acuerdo a cada escenario. Los usuarios que requieren acceso a los sistemas custodiados por la UTIC que albergan datos institucionales deben ser autorizados por el administrador de datos responsable y posteriormente debe usar el Servicio de Soporte de la UTIC. Los accesos directos a las fuentes de información (bases de datos, sistemas de archivos) utilizando herramientas de consulta de escritorio individuales quedarán restringidos a un número limitado de personal que cuente con conocimientos avanzados y experiencia con las construcciones de datos. Estas personas deben establecer una conexión con los servidores VPN para asegurar que su contraseña y los demás datos transmitidos son cifrados. La UTIC y sus enlaces homólogos de la Secretaría como áreas custodias de datos, deben eliminar protocolos inseguros para conectarse a todos los sistemas institucionales y para transferir datos hacia y desde esos sistemas, especialmente los servidores que soportan las operaciones críticas. Los servidores bajo el resguardo de la UTIC y/o sus enlaces homólogos de la Secretaría que se utilizan para almacenar datos institucionales deben cumplir con el apartado DSITIC 3 Contraseñas y claves de usuario de las Directrices de Seguridad de la Información de TIC emitidas por la UTIC.

DGDTIC 10 Almacenamiento de datos El custodio de datos es responsable de identificar la ubicación final del repositorio de almacenamiento de cada dato institucional, asimismo determinará y validará con el administrador de datos los requisitos y estrategias de archivo para almacenar y conservar los datos históricos. El equipo de administración de gobierno de datos emitirá recomendaciones y validará que la ubicación de almacenamiento de datos y archivo cubra de las necesidades de seguridad y disponibilidad que requieren los datos institucionales. Los nombres de elementos de datos, formatos y códigos deben ser coherentes en todas las aplicaciones que utilizan los datos. Los datos institucionales no deben almacenarse en estaciones de trabajo individuales de los usuarios, computadoras portátiles, asistentes digitales personales, o cualquier otro tipo de equipo electrónico, por lo que únicamente deberán estar almacenados en servidores centralizados los cuales serán configurados y gestionados por la UTIC. La UTIC y sus enlaces homólogos de la Secretaría deberán identificar para sus usuarios, las ubicaciones de los servidores apropiados para el almacenamiento de los datos extraídos de fuentes centrales o derivadas que son necesarias para las operaciones de las áreas usuarias. Además, el equipo de administración de gobierno de datos validará por medio de los custodios de datos, los mecanismos técnicos para asegurar el destino de los extractos provenientes de los servidores gestionados por la UTIC.


OFICIALIA MAYOR


Hoja 51 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DGDTIC 11 Explotación de información a través del Datawarehouse El Datawarehouse será el repositorio central de la toda la información operativa, estadística y estratégica de la SCT. La única fuente de información oficial para reportar información operativa, estadística y estratégica será la contenida en el Datawarehouse. Todas las necesidades de reporteo y/o entrega de información a cualquier área de negocio de la Secretaría deben solventarse a través de los medios de entrega de información vinculados al Datawarehouse, siempre y cuando la granularidad de los datos establecidos en este lo permitan. La información publicada a través de los medios de entrega del Datawarehouse es la única información oficial y válida. Toda la información almacenada en el Datawarehouse tendrá un responsable y administrador, quien validará por parte de las áreas de negocios serán estas y quienes aprueben que los datos contenidos en el mismo están correctos y son los oficiales para consultarse por quien así lo requiera. Todo acceso a la información contenida en el Datawarehouse deberá ser previamente autorizado por los responsables de la información, en base a los estatus y procesos de seguridad de la información establecidos. La información proveniente del Datawarehouse y publicada a través de sus medios de entrega perderá toda validez oficial al exportarse a medios electrónicos locales, y la responsabilidad del uso y manejo que se le dé a esta, será única y exclusiva de quien la exporta fuera de los medios establecidos para su consulta.

DGDTIC 12 Administración de Sistema Los datos institucionales deben alojarse dentro del conjunto de sistemas que administra la UTIC, o bien pueden ser almacenados en sistemas que hagan uso de las plataformas tecnológicas definidas para tal fin siempre y cuando se facilite la integración y/o interoperabilidad entre sistemas de la institución. En cada uno de los sistemas de información de la Secretaría en los que hayan sido almacenados datos institucionales se deberá definir la función de administración del motor de base de datos de manera formal y haber asignado un administrador y custodio de los datos que tendrán la responsabilidad de la seguridad del sitio físico, administración de los sistemas de seguridad y autorización, de copia de seguridad, procedimientos de recuperación y reinicio de sistema, el archivo de datos, planeación de la capacidad y la supervisión del rendimiento. Las personas que requieren acceso directo a los datos institucionales almacenados en los servidores de la Secretaría bajo el resguardo de la UTIC desde el exterior de las instalaciones de la Secretaría deben conectarse a través de un esquema de red privada virtual (VPN) que provea la UTIC.

DGDTIC 13 Soporte al usuario Los administradores de datos proporcionarán apoyo a los usuarios a través de la documentación de la fuente de información, y también, en caso de ser necesario, en forma de servicios para facilitar la interpretación y uso de los datos institucionales. Esta responsabilidad puede ser delegada a los custodios de datos mediante la definición explicita del sentido de la información y creación de productos como los diccionarios de datos. Los usuarios de datos serán responsables del uso y la interpretación adecuada de los datos a los que tienen acceso.


OFICIALIA MAYOR


Hoja 52 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DGDTIC 14 Modelo de datos institucional Los custodios de datos serán responsables de establecer y mantener el modelo de datos institucional de toda la Secretaría, que describe las principales entidades de datos y las relaciones entre ellos y que, son accedidos por los sistemas institucionales bajo resguardo de la UTIC. El equipo de administración de gobierno de datos apoyará el establecimiento y mantenimiento de un modelo de datos institucional y facilitará el acceso a conocimientos y herramientas de software para el modelado de datos.

DGDTIC 15 Datos abiertos A través del Gobierno Abierto se permite fomentar la rendición de cuentas en la Administración Pública Federal, comunicando las decisiones y acciones públicas de una manera trasparente y estableciendo canales de comunicación y de contacto directo con los ciudadanos. Por lo que para mejorar los niveles de transparencia y acceso a la información es necesaria la apertura de datos públicos (datos abiertos), la reutilización de información estratégica del sector público y la participación ciudadana. Bajo ese tenor y en alineación a la normatividad aplicable en materia de datos abiertos se deberán considerar los siguientes aspectos:

Para que los conjuntos de datos enviados a la UTIC por el responsable del dato institucional sean considerados datos abiertos, deberán observar las características mínimas previstas en el artículo quinto del Decreto por el que se establece la regulación en materia de Datos Abiertos publicado en el Diario Oficial de la Federación el 20 de febrero de 2015.

Los custodios de datos de la UTIC deberán crear y mantener actualizado un inventario de las bases de datos que se encuentran en los sistemas de información que están bajo su custodia y administración.

Cada registro en el inventario deberá contener toda la información solicitada en los campos definidos como “Metadatos mínimos requeridos”, mismos que se especifican en la Guía de implementación de datos abiertos.

El responsable del dato institucional deberá evaluar constantemente los datos de mayor valor para las actividades sustantivas de la Institución y realizar la correcta clasificación y estandarización que permita la publicación de datos abiertos

El responsable del dato institucional deberá contribuir en la creación y mantener actualizado el catálogo de los datos abiertos que contenga todas aquellas bases de datos identificadas previamente en el inventario con nivel de acceso público para ser publicado.

Para la publicación de los datos se deberán considerar formatos abiertos y estructurados tales como JSON, CSV, RDF, XML, y KML.

Para los procesos de liberación y publicación de datos se deberá observar la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, su reglamento y demás disposiciones aplicables en la materia.


OFICIALIA MAYOR


Hoja 53 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


ANEXO III

DIRECTRICES DE USO DEL DIRECTORIO ACTIVO

DDA 1 Directrices Generales _______________________________________________________________ 54 DDA 2 Cuentas en DIRECTORIO ACTIVO ___________________________________________________ 55 DDA 3 Solicitudes para el registro de cuentas de usuario ___________________________________ 55 DDA 4 Solicitudes para el registro de cuentas comunes o de servicio ________________________ 56 DDA 5 Solicitudes para el alta de usuarios externos. ________________________________________ 56 DDA 6 Solicitudes de Baja de Cuenta de Directorio Activo ___________________________________ 56 DDA 7 Solicitudes para cambio de Adscripción de cuentas __________________________________ 57 DDA 8 Solicitudes de para reactivación de cuentas _________________________________________ 57 DDA 9 Nomenclatura de cuentas de directo_________________________________________________ 57 DDA 10 Nomenclatura para cuentas de directorio activo para cuentas comunes o externos ___ 57 DDA 11 Nomenclatura de cuentas de directorio activo para equipo de computo ______________ 57 DDA 12 Consola de dominio _______________________________________________________________ 58


OFICIALIA MAYOR


Hoja 54 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Objetivos Establecer y fomentar el uso de las cuentas de Active Directory al interior de la Secretaría, otorgando una cuenta a los servidores públicos que por sus funciones requieran acceder a sistemas, aplicaciones y servicios de forma segura, mediante este mecanismo de autenticación.

DDA 1 Directrices Generales El alta de la cuenta de usuario en directorio activo, será necesaria para la autenticación de usuarios al

dominio de la SCT, a los sistemas institucionales que se encuentren ligados con el directorio activo, a Internet, así como para generar la solicitud para creación de cuentas institucionales de correo electrónico.

Las solicitudes para el registro o modificación de los componentes que integran el directorio activo como son: registros de DNS, políticas de dominio, controladores de dominio o integración de aplicaciones, deberán gestionarse vía SIGTIC a través del responsable o encargado de informática.

Las solicitudes de alta, baja y cambios en cuentas de directorio activo deberán gestionarse vía SIGTIC a través del responsable o encargado de informática.

El uso de la cuenta de directorio activo (cuenta de usuario) es responsabilidad del servidor público al que se asignó dicha cuenta. Por lo que él será responsable del uso que haga con ella, así como del uso que se tenga con la misma al acceder a los sistemas o servicios.

Las solicitudes de alta, baja y cambios en cuentas de las cuentas de directorio activo para usuarios externos a la SCT deberán realizarse mediante oficio remitido a la UTIC, el cual deberá ser emitido y firmado por el titular de unidad o el Coordinador Administrativo de la unidad solicitante o en caso de los centros SCT deberá ser emitido y firmado por el Director General o por el subdirector de administración del centro SCT solicitante.

Las cuentas de directorio activo para usuarios externos a SCT y cuentas de servicio deberán tener asignado a un servidor público responsable por parte de la Secretaría, quien tendrá la responsabilidad de vigilar el uso y actividades que se realicen con dichas cuentas.

Las cuentas de directorio activo (cuentas de usuario) son de uso personal y son intransferibles. El servidor público usuario que tenga asignada una cuenta de directorio activo (cuenta de usuario) es

responsable exclusivo de mantener a salvo su contraseña, evitando guardar o escribir las contraseñas en cualquier papel o superficie o dejar constancia de ellas, a menos que ésta se guardada en un lugar seguro.

El responsable de informática y/o de recursos humanos deberá realizar la solicitud de actualización de manera oportuna para bajas y cambios en las cuentas de directorio activo (cuentas de usuario) y que estén adscritos a su unidad administrativa o centro SCT.

Las cuentas de directorio activo (cuentas de usaurio) que no presenten actividad serán reportadas al responsable de informática estableciendo un periodo de 15 días naturales, para su validación, si al cumplir con el mismo no se recibe respuesta, las cuentas serán eliminadas de directorio activo.

Son causas de eliminación de cuentas de directorio activo, la renuncia, licencia o solicitud expresa de baja de la cuenta para el funcionario público responsable de esta.

Si se detecta o sospecha que las actividades de una cuenta de directorio activo (cuenta de usuario) pueden comprometer la integridad y seguridad de la información o se está haciendo mal uso de la misma en perjuicio del personal o de la secretaria, dicha cuenta será suspendido temporalmente hasta determinar el riesgo, en caso de que se determine que las actividades se realizaron con dolo, se dará parte al Órgano Interno de Control, a efecto de que se finquen las responsabilidades en las que haya incurrido el Servidor Público responsable de la cuenta.

Las cuentas de directorio activo que se utilizan en equipos de cómputo que no cumplan con la nomenclatura establecida, serán eliminadas de directorio activo.


OFICIALIA MAYOR


Hoja 55 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Se podrá solicitar el bloqueo temporal de cuentas de directorio activo (cuentas de usuario) por un

periodo de tiempo, el cual puede estar motivado por circunstancias como, como vacaciones, licencias, incapacidades o con el propósito de realizar investigación de las actividades que se hayan realizado con dicha cuenta de usuario. Esta solicitud deberá gestionarse mediante oficio dirigido al titular de la UTIC y firmado por el titular o por el Coordinador Administrativo de la unidad administrativa o centro SCT, la justificación del bloqueo deberá ser detallada en el mismo.

Las cuentas de directorio activo (cuenta de usuario) se protegerá mediante una contraseña. La contraseña asociada a la cuenta deberá ser actualizada cada 30 días naturales y debe cumplir con

los criterios de contraseñas seguras: i. El tamaño de la contraseña debe ser de por lo menos de 8 caracteres. ii. Contener caracteres tanto en mayúsculas como en minúsculas. iii. Incluir números y letras iv. Tener al menos un dígito o carácter especial como: _, -, /, *, $, ¡, ¿, =, +, etc.

No se recomienda tomar los siguientes supuestos para establecer una contraseña segura: i. Basarse en información personal como: nombres de familia, amigos, personajes, mascotas,

etc. v. Evitar emplear patrones como 1234, aaabbb, qwerty, zyxwvuts, etc. vi. No utilizar composiciones simples como: MINOMBRE1, 2minombre, etc. vii. No hacer uso de contraseñas en blanco. viii. No debe formarse con números y/o letras que estén adyacentes en el teclado. Ejemplos de

malas contraseñas son: 123456, 1q2w3e o 123QWEasd.

DDA 2 Cuentas en DIRECTORIO ACTIVO En función de las actividades que se realizarán por el servidor público se asignará el tipo de cuenta de usuario, cuyos perfiles se indican a continuación:

Cuenta de Usuario: corresponden a las cuentas empleadas para la autenticación del usuario al dominio de la SCT, a los sistemas institucionales que se encuentren ligados con el directorio activo, a Internet, así como para la asignación de cuenta institucional de correo electrónico en la plataforma de Exchange.

Cuenta de Administración: corresponde a la cuenta de usuario que permite a los administradores del Sistema realizar tareas específicas de usuario a nivel directivo y administrativo, como: agregar, modificar, eliminar, mover o asignar permisos especiales a cuentas de usuario, así como para la administración de la plataforma de Directorio Activo.

Cuenta Común: corresponden a la cuenta de usuario que está asociada a una cuenta de correo electrónico, es empleada en algunas unidades o centros SCT para la administración y coordinación de notificaciones de un área específica.

Cuenta de Servicio: Corresponden a la cuenta de usuario que es empleada para la administración y operación de aplicaciones o servicios que brindan algunas unidades o centros SCT.

DDA 3 Solicitudes para el registro de cuentas de usuario

El registro de cuentas de usuario de Directorio Activo se aplica bajo lo siguiente:

El usuario debe estar previamente registro en SIGTIC para generar una solicitud de cuenta de directorio activo.

Debe tener asignado un IDTIC previamente en SIGTIC. Las cuentas de directorio activo no pueden sobrepasar los 20 dígitos de acuerdo a la nomenclatura

establecida


OFICIALIA MAYOR


Hoja 56 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DDA 4 Solicitudes para el registro de cuentas comunes o de servicio

El registro de cuentas de usuario comunes de Directorio Activo se aplica bajo lo siguiente:

El usuario debe estar previamente registro en SIGTIC para generar una solicitud de cuenta de directorio activo.

Debe tener asignado un IDTIC previamente en SIGTIC. Todas las cuentas comunes deben tener asignado un funcionario público de la Secretaría responsable

de las actividades realizadas por esta. Las cuentas de directorio activo no pueden sobrepasar los 20 dígitos de acuerdo a la nomenclatura

establecida Especificar un identificador o descripción de la cuenta que haga referencia al servicio que apoyará o

atenderá. Dar una breve justificación del uso de la cuenta.

DDA 5 Solicitudes para el alta de usuarios externos.

Para el registro de las cuentas de usuarios externos es indispensable realizar el siguiente procedimiento

La solicitud debe gestionarse mediante oficio dirigido al titular de la UTIC y firmado por el titular o por el Coordinador Administrativo de la unidad administrativa o centro SCT solicitante, detallando lo siguiente:

Nombre completo del usuario Especificar el tipo de puesto (Honorarios, eventual, fideicomiso, etc.) Unidad y área en la que se encontrará colaborando. Así como una breve descripción de las funciones

que desempeñará. Indicar nombre del Servidor Publicó responsable y quien supervisara las actividades del usuario. Periodo en el que se mantendrá activa la cuenta. Datos del equipo de cómputo que ocupara: marca, modelo, No. de serie, esto con la finalidad de poder

asignar sus servicios. Una vez recibido el oficio, se alimentarán los datos al SIGTIC para generar las solicitudes de los usuarios que requieren cuentas de directorio activo.

DDA 6 Solicitudes de Baja de Cuenta de Directorio Activo

Para solicitar la baja de la cuenta de Directorio Activo, se deberá considerar lo siguiente:

Aplicada la baja de la cuenta, de igual forma se elimina la información contenida en su cuenta de correo electrónico, por lo que los usuarios tendrán el respaldo de su información.

Aplicada la baja de la cuenta, los equipos asociados a la cuenta de directorio que aplico la baja utilizaran una cuenta activa para poder acceder al equipo o en su caso solicitar una nueva cuenta para acceder a la información del equipo.

En casos específicos se tendrá que ingresar nuevamente a dominio el equipo con una cuenta activa.

Todas las Altas, Bajas y Cambios de Cuentas de directorio activo se gestionan a través del SIGTIC


OFICIALIA MAYOR


Hoja 57 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DDA 7 Solicitudes para cambio de Adscripción de cuentas Cuando un servidor público cambie de adscripción, el área responsable de recursos humanos y/o de informática de la unidad administrativa o Centro SCT de la Secretaría que recibe al servidor público deberá realizar el siguiente procedimiento:

El cambio de adscripción de estar reflejado previamente en el sistema Institucional para la Gestión de Tecnologías de la Información y Comunicaciones (SIGTIC).

La solicitud deberá gestionarse a través del responsable de informática de la unidad administrativa o centro SCT.

DDA 8 Solicitudes de para reactivación de cuentas Cuando una cuneta sea desactivada o inhabilitada por las diferentes causas que se han mencionado(DDA1), la reactivación se gestionara a través del SIGTIC como un alta del usuario.

No es posible realizar la reactivación de una cuenta que se encuentre en el supuesto de una investigación por mal uso de la cuenta, en tanto no se hayan concluido las actividades establecidas, deslindando responsabilidades.

DDA 9 Nomenclatura de cuentas de directo

La nomenclatura de las cuentas de usuario, están conformadas de la siguiente manera:

Primer Nombre del usuario “más” . (punto) “mas” Apellido Paterno

ejemplo.apellido

En caso de que al utilizar esta nomenclatura se obtenga una duplicidad de la cuenta de directorio activo, se aplica lo siguiente:

Primer Nombre del usuario “más”. (punto) “mas” Apellido Paterno “más” la Primera letra del Apellido Materno

ejemplo.apellidob

DDA 10 Nomenclatura para cuentas de directorio activo para cuentas comunes o externos

siglas de la unidad “más” . (punto) “más” las siglas del área “más” dos posiciones para número consecutivo

utic.dgetic01

El número consecutivo es asignado respecto el total de cuentas externas existentes en la unidad solicitante

En el caso de que el usuario tenga dos nombres y les solicite la asignación del segundo en su cuenta de usuario, estará sujeto a disponibilidad.

En el caso de que al aplicar las nomenclaturas mencionadas la cuenta de usuario exceda los 20 dígitos, se dejara incompleto el apellido paterno.

Las cuentas de usuario serán gestionadas a través del SIGTIC

DDA 11 Nomenclatura de cuentas de directorio activo para equipo de computo

La nomenclatura para cuentas de directorio activo de equipó aplica como sigue:


OFICIALIA MAYOR


Hoja 58 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Clave de Unidad “más” Primera Letra del Primer Nombre “más” Apellido Materno Completo “más” Consecutivo del número de equipos que tenga el usuario (en 2 posiciones)

713aejemplo01

Solo en el caso en que se repita el nombre de equipo, se deberá considerar la siguiente nomenclatura:

713aejemplo02 713aejemplo03

El nombre de la cuenta directorio activo para equipo de cómputo no deberá exceder los 15 dígitos, de lo contrario no permitirá asignar el nombre.

En caso de que el usuario tenga un segundo nombre, se tomara en cuenta solo el primero. En el caso de que el usuario cuente con un equipo portátil se deberá agregar la letra “L” al final, lo cual

nos ayudara a identificar que cuenta con una Laptop.

DDA 12 Consola de dominio

Los encargados de Informática como responsable de los servicios de los usuarios de su Unidad, contará con herramientas para la atención de sus usuarios, por lo que será necesario gestionar estas herramientas de acuerdo a lo siguiente:

La solicitud para instalación, reinstalación o desinstalación se deberá realizar vía SIGTIC, mediante el responsable de informática o de recursos humanos de la unidad administrativa o centro SCT.

Solo se podrá instalar una consola por unidad, en aquellos casos que se requerirá la instalación de una consola adicional se tendrá que gestionar dicha solicitud mediante SIGTIC, en la cual se deberá justificar la instalación y autorización de la misma, la consola se autorizara en base a la justificación planteada.

La consola solo permitirá el restablecimiento de contraseñas de los usuarios. Solo se instalará la consola a el responsable del área de informática de la unidad o centro SCT. El responsable de informática y/o de recursos humanos deberá realizar la solicitud de actualización de

manera oportuna para bajas y cambios en las cuentas de usuario y equipo que se encuentran adscritos a su unidad administrativa o centro SCT.


OFICIALIA MAYOR


Hoja 59 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


ANEXO IV DIRECTRICES DE USO Y OPERACIÓN DE SERVICIOS DE

TELEFONÍA CONVENCIONAL

DTC 1 Responsabilidades de los Servicios ________________________________________________________ 60 DTC 2 Directrices Generales ___________________________________________________________________ 62 DTC 3 Directrices para acceder a información de Tarificación. _______________________________________ 63 DTC 4 Directrices de contratación de los servicios de telefonía fija ___________________________________ 63 DTC 5 Cancelación del Servicio. ________________________________________________________________ 64 DTC 6 Notificación y Atención relativas al servicio de telefonía convencional. __________________________ 64 DTC 7 Sanciones. ____________________________________________________________________________ 64


OFICIALIA MAYOR


Hoja 60 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Descripción Técnica del Servicio de Telefonía Convencional.

El servicio de telefonía convencional es una herramienta de comunicación de voz, que permite a los usuarios realizar llamadas telefónicas, a través de los sistemas de comunicación públicos (PSTN) y la red de voz de la Secretaría.

DTC 1 Responsabilidades de los Servicios

La UTIC es la responsable de la gestión, administración, operación y mantenimiento del servicio de telefonía convencional. Es responsabilidad de la UTIC:

Contar con la infraestructura de hardware y software para proporcionar el servicio. La instalación, configuración, operación y mantenimiento de los servidores, infraestructura y de los

elementos de hardware y software que componen el servicio de telefonía convencional institucional. Elaborar y administrar los planes técnicos necesarios para la eficiente interconexión e interoperabilidad

de las redes de telecomunicaciones. Homologar los aparatos telefónicos, conmutadores telefónicos y equipos de telecomunicaciones que

se pretendan adquirir para la prestación del servicio de telefonía convencional. Regular la adquisición de equipos diferentes a los requeridos para la operación del servicio telefónico,

a través de los prestadores de servicio de telefonía; cuando se requiera aparatos telefónicos o dispositivos especiales para el servicio contratado, se deberá solicitar aprobación de la UTIC.

El control y administración de los conmutadores telefónicos que formen parte de la red de voz de la SCT.

Contar con la supervisión del personal autorizado por la Dirección de Comunicaciones y el visto bueno de la UTIC para toda modificación a las redes de telefonía de la Secretaría de Comunicaciones y Transportes.

Establecer y dar a conocer a los usuarios las políticas de uso del servicio descritas en este documento, cuyas modificaciones serán convenientemente notificadas.

Diseñar todas las medidas técnicas y organizativas de seguridad y control que sean de obligación, de conformidad con lo establecido en el MAAGTICSI y la legislación vigente, a fin de garantizar al máximo la integridad, disponibilidad y seguridad de las comunicaciones.

La UTIC se reserva la facultad de limitar, total o parcialmente, el acceso a los servicios de telefonía convencional a los usuarios, así como de cancelar, suspender, bloquear o eliminar extensiones telefónicas, si tuviese conocimiento efectivo de que la utilización el servicio es ilícita o de que afecta bienes o derechos de terceros, o que incumplen las directrices aquí establecidas.

Los permisos de telefonía que se pueden solicitar son: i. Llamadas locales. ii. Llamadas a celular. iii. Llamadas a celular nacional iv. Llamadas de larga distancia internacional.

Recibir y atender las solicitudes de instalación de extensiones generadas a través del Sistema Institucional para la Gestión de Tecnologías de Información y Comunicaciones (SIGTIC).

Autorizar la solicitud o, si fuera el caso, rechazar la solicitud basada en una justificación que deberá documentar, así como dar aviso al usuario.

Proporcionar las facilidades de marcación, previa justificación del uso de este servicio. Administrar, operar y asegurar el funcionamiento adecuado de la infraestructura de telefonía

convencional de la SCT. Coordinar el soporte y asesoría especializada que los usuarios requieran sobre el servicio de telefonía

convencional.


OFICIALIA MAYOR


Hoja 61 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


No proporcionar asesoría en servicios de telefonía diferentes al institucional o que quebranten las

Directrices de Uso o las Directrices de Seguridad de la Información de la SCT. Asignar y administrar los servicios de telefonía convencional, las cuales contarán con la validación del

Director del Área requirente. Coadyuvar en el establecimiento de las directrices e implementar los controles necesarios, que

garanticen la seguridad y calidad del servicio. Recabar y entregar a las autoridades legales competentes, la información necesaria cuando se

trasgreda alguna ley o se cometa un probable ilícito, en este caso se proporcionará el apoyo necesario a las autoridades de la Institución que hayan solicitado oficialmente la información, en apego a la normatividad de la Secretaría.

La actualización y revisión de las presentes directrices mínimo una vez al año, o cuando exista un cambio importante que requiera su modificación para poder entregar el servicio y será responsabilidad de la Subdirección publicarlas para que los usuarios tengan acceso a ellas.

Integrar el servicio al catálogo de servicios de la UTIC, de acuerdo a lo que establece el Proceso de Administración de Servicios (ADS) del MAAGTICSI.

Eliminar del servicio de telefonía convencional de la SCT a los usuarios que durante un periodo de 90 días no presenten actividad o hayan causado baja.

Implementar mecanismos continuos para mejora del servicio; así como para su seguridad. Implementar políticas de auditoria del servicio (Tarificación).

Responsabilidades de los Responsables de Informática de las Unidades Administrativas Centrales y de los Centros SCT:

Conocer y promover con los usuarios de su área de competencia, las presentes Directrices. Conocer los procesos correspondientes y los vinculados al servicio de telefonía convencional

institucional para el apoyo en la gestión de las necesidades de sus usuarios. Apoyar a la UTIC en cualquier actividad que requiera de soporte a los usuarios del servicio de telefonía

y de aplicación de las presentes Directrices. Recibir las peticiones por parte del usuario y/o el jefe inmediato de este, y gestionar a través del SIGTIC

la solicitud del servicio. Dar seguimiento e informar oportunamente al usuario la respuesta a su solicitud, así como verificar el

funcionamiento correcto el servicio en el equipo del usuario. Proporcionar la asesoría y el soporte que los usuarios de la Secretaría requieran. Gestionar la seguridad e integridad de los espacios destinados a la infraestructura de red de voz. Gestionar la adecuación de las condiciones eléctricas y ambientales dictadas por la Dirección de

Comunicaciones, para la adecuada operación de sus Sites de Telecomunicaciones. Gestionar las acciones necesarias para garantizar a la Dirección de Comunicaciones el acceso a los

Sites durante las 24 horas del día, los 365 días del año. Proporcionar cualquier información que le sea requerida por la UTIC respecto de los recursos de

telecomunicaciones. No brindar acceso a terceros a los Sites de Telecomunicaciones sin autorización del Titular de la UTIC

y/o Dirección de Comunicaciones. No brindar información referente a la infraestructura de telecomunicaciones a terceros sin autorización

por escrito de la UTIC. Responsabilidades de los Usuarios del Servicio de Telefonía Convencional:

Toda actividad realizada a través del servicio de telefonía es responsabilidad del usuario. Podrán ser usuarios de los servicios de telefonía convencional institucional siempre y cuando exista

autorización por escrito del Director General de su área de Adscripción o equivalente, gestionada mediante el SIGTIC.

Los servicios de telefonía fija no podrán usarse con fines lucrativos, comerciales y/o personales.


OFICIALIA MAYOR


Hoja 62 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


Queda prohibido utilizar los servicios telefónicos de líneas de entretenimiento. Para solicitar los servicios de telefonía fija, el titular de la unidad de administración debe hacer su

solicitud por medio del sistema de control de gestión a la UTIC, indicando: i. Nombre del funcionario a quien se le dará el servicio. ii. Departamento al que pertenece el funcionario. iii. Dirección a la que pertenece el funcionario. iv. Centro de costo al que pertenece el funcionario. v. Permisos de telefonía solicitados. vi. Tipo de teléfono o extensión a operar.

Es responsabilidad de la persona a la cual se le ha asignado un aparato telefónico su uso adecuado. Se entiende por uso adecuado:

i. El realizar un uso moderado del mismo, no excediéndose en el tiempo de llamada ni en el número de llamadas.

ii. El cuidar físicamente el aparato telefónico, así como sus accesorios. El servicio de telefonía se otorga como herramienta de trabajo institucional al personal de la Secretaría

que lo requiera para el mejor desempeño de las funciones encomendadas a su puesto. El servicio de telefonía se otorga como herramienta de trabajo institucional al personal de terceros de

acuerdo al servicio que presten a la Institución, por ejemplo, los auditores externos. No está permitido el desvío de llamadas hacia teléfonos celulares o teléfonos de larga distancia, salvo

que se justifique el uso de estas facilidades para el mejor desempeño de las actividades de trabajo del funcionario que requiera de este servicio.

Cualquier deficiencia o funcionamiento anómalo del servicio de telefonía fija que observe el usuario, deberá comunicarlo a su responsable de Unidad Informática y este a su vez deberá reportarlo con personal de la Dirección de Comunicaciones, para su atención y seguimiento.

Los titulares de administración podrán solicitar cambios a las claves de autorización, previa su justificación correspondiente. La Dirección de Comunicaciones, por su parte, comunicará al titular de administración solicitante por oficio o correo electrónico, la activación de los permisos correspondientes, haciéndole llegar la clave de autorización.

Es responsabilidad del usuario proteger su clave de autorización de servicios de telefonía fija. Queda prohibido el uso de claves de autorización por personas distintas al usuario asignado. Los titulares de administración deberán revisar al menos una vez al año si los permisos de telefonía

asignados a sus usuarios, aún corresponden a los requeridos para sus funciones. Cuando el usuario cambie de adscripción o deje de laborar en la Secretaría de Comunicaciones y

Transportes, el Titular de Administración de su Unidad Administrativa, debe informarlo por medio de oficio a la UTIC, para que se proceda a dar de baja los permisos de telefonía del usuario.

DTC 2 Directrices Generales

El usuario debe conocer, aceptar y respetar la Directriz General y las Directrices de uso del servicio de telefonía convencional para tener derecho al uso del servicio.

El usuario debe conocer, aceptar y respetar la Directriz de Seguridad de la Información de la SCT. El usuario debe tramitar el servicio de telefonía a través de su encargado o responsable de informática

para que este lo gestione mediante el SIGTIC. El usuario recibirá y firmará el documento de Directrices de uso del servicio de telefonía convencional

al momento de recibir el equipo y extensión que se le asignó para que esta pueda activarse y pueda hacer uso del mismo. El uso del servicio es una evidencia de que conoce y respetará las presentes políticas y que acepta las sanciones que resulten procedentes por el mal uso dado al servicio.

El usuario debe solicitar a su enlace informático el requerimiento de la baja del servicio, en caso de terminar la relación laboral con la Secretaría.

Ante cualquier acto ilícito, que quebrante las actuales Políticas o que agreda el objetivo sustancial del presente servicio, la UTIC, se reserva el derecho de intervenir, auditar e investigar para constatar el


OFICIALIA MAYOR


Hoja 63 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


uso inadecuado del mismo, estando facultado para suspender o cancelar, temporal o permanentemente, el servicio al usuario.

Las presentes Directrices podrán ser actualizadas sin previo aviso y es responsabilidad de los usuarios mantenerse informados de las mismas a través del portal de seguridad de la información de la SCT.

DTC 3 Directrices para acceder a información de Tarificación.

Se debe contar con un responsable del servicio telefónico, el cual siempre será un servidor público de la SCT.

La UTIC podrá solicitar la revisión de los archivos de facturación de las Unidades Administrativas y Centros SCT.

Los titulares de Administración de las Centros SCT y Unidades Administrativas deben proporcionar la facturación telefónica al Titular de la Dirección De Comunicaciones cuando éste se las requiera.

Corresponde a la Dirección de Comunicaciones proporcionar las facilidades técnicas a su alcance, que permitan a las Unidades Administrativas y Centros SCT identificar a aquellos usuarios que hacen un uso inadecuado de los servicios de telefonía.

Es responsabilidad de los Titulares de Administración promover y fomentar el uso adecuado de la telefonía fija.

Todas las Unidades Administrativas y Centros SCT deberán hacer uso del medio o sistema de control y/o registro de llamadas telefónicas que permita llevar una bitácora confiable de las mismas, proporcionado por la Dirección de Comunicaciones.

Es responsabilidad del Titular de Administración supervisar el consumo telefónico e investigar las llamadas que por su duración o frecuencia reflejen probables casos de abuso del uso de telefonía.

Los titulares de administración deben comparar la facturación telefónica proporcionada por su proveedor de servicios de telefonía contra los reportes de consumo proporcionados por el medio de control y tarificación implementado por la UTIC y solicitar a quien corresponda la aclaración de los conceptos que consideren pertinentes y en su caso, la aplicación del cobro correspondiente.

DTC 4 Directrices de contratación de los servicios de telefonía fija

Los centros SCT deben evaluar las contrataciones de servicios de telefonía fija, a fin de justificar su necesidad y verificar que las mismas resulten indispensables y congruentes con los objetivos y metas establecidas en los programas presupuestarios promoviendo la eficiencia, eficacia y economía.

Los Centros SCT deben informar vía oficio al Titular de la UTIC las contrataciones, propuestas de contratación, bajas y modificaciones de sus líneas telefónicas.

La UTIC informará al Titular de Administración de la Unidades Administrativas o Centro SCT que haya dado aviso de la propuesta de contratación de líneas telefónicas sobre la viabilidad técnica para la adquisición, instalación y operación de los servicios de telefonía fija.

En toda contratación de líneas telefónicas analógicas o digitales debe solicitarse el bloqueo de llamadas a servicios de entretenimiento (01 900); adicionalmente, se podrá solicitar el bloqueo de aquellos tipos de llamada que no se requieran.

Las Unidades Administrativas y Centros SCT que requieran la contratación y activación de los servicios digitales tales como conferencia, correo de voz, desvío, llamada en espera e identificador de llamadas, deben solicitarlo vía oficio anexando la justificación para la aprobación de la UTIC.

En todas las Unidades Administrativas y Centros SCT que cuenten con conmutador telefónico, deberán conectar sus líneas telefónicas al mismo, no permitiéndose o reduciendo al mínimo indispensable líneas telefónicas fijas directas a escritorio.

Queda prohibida la contratación de servicios de acceso a Internet tipo Dialup en las Unidades Administrativas y Centros SCT que forman parte de la red de voz de la SCT.

La Dirección de Comunicaciones podrá verificar en cualquier momento que las instalaciones telefónicas se ajusten a las normas técnicas autorizadas.


OFICIALIA MAYOR


Hoja 64 de 64

Proceso ASI

Versión 2

Fecha Octubre 2014


DTC 5 Cancelación del Servicio.

Los servicios de telefonía convencional podrán ser cancelados por los siguientes motivos:

A solicitud del usuario responsable y/o a solicitud del enlace informático a través del SIGTIC. Por permanecer más de 90 días inactivo. Por incumplimiento de cualquiera de las directrices de uso del servicio de telefonía convencional

institucional. Por utilizar el servicio con el fin de realizar algún tipo de acoso, difamación, calumnia, con intención de

intimidar, insultar o cualquier otra forma de actividad hostil o maliciosa. Si, en el ejercicio de sus funciones, el personal de la UTIC detecta cualquier anomalía que muestre

indicios de usos ilícitos. Para reactivar el servicio, el usuario deberá presentar un oficio firmado por el Director General de la

Unidad Administrativa donde se encuentra inscrito, el cual avale la reactivación del servicio telefónico del usuario y funja como responsable solidario.

Cuando un servidor público cause baja en la Institución, el titular de administración deberá solicitar la baja del servicio de telefonía.

DTC 6 Notificación y Atención relativas al servicio de telefonía convencional.

Las incidencias, consultas o sugerencias relativas al servicio de telefonía convencional serán atendidas a través del Centro de Atención Tecnológica, mediante los siguientes medios:

Correo electrónico [email protected] Extensión 34900 en un horario de lunes a domingo de 08:00 a 20:00 horas Si se quiere reportar cualquier acto ilícito o de abuso del servicio telefónico que contravenga las

presentes políticas, puede enviar un correo electrónico a la cuenta [email protected]

DTC 7 Sanciones.

Se envira un reporte al OIC de las violaciones a las Directrices de Seguridad detectadas y documentadas para que este OIC, aplique las medidas que juzgue necesarias a los funcionarios que incurrieron en la violación de las Directrices de Seguridad Establecidas.

',5(&75,&(6 '( 6(*85,'$' '( /$ ,1)250$&,21 '( 7,&...

Documents

Transcript of ',5(&75,&(6 '( 6(*85,'$' '( /$ ,1)250$&,21 '( 7,&...