TRANSCRIPCION DE DOCUMENTO DE POLITICAS DE INFORMATICA

POLTICAS DE INFORMTICA

1. Presentacin El manual de Polticas Informticas del Instituto nacional de Estadstica, es un instrumento administrativo de observancia obligatoria, para el personal, sobre el uso de los equipos y servicios informticos. El presente documento representa un medio de informacin que permitir eficientar el uso de equipos informticos y servicios. Contienen un objetivo, alcance, las normas que indican su marco de actuacin, la descripcin de las polticas, y un glosario de trminos para su mejor comprensin.

2. Objetivo General y Especficos

Objetivo General Mantener la confiabilidad, disponibilidad e integridad del sistema y de la informacin, as como, la continuidad del servicio y el apoyo a las operaciones del INE, con un mejor aprovechamiento de los recursos informticos y de comunicacin, que son propiedad o que se encuentran al servicio del INE, en apoyo al cumplimiento de la misin institucional.

Objetivos Especficos Utilizar los recursos tecnolgicos de informacin y comunicacin propiedad o al servicio del INE, en forma responsable y apropiada, de conformidad con las polticas contempladas en el presente manual y otros de carcter institucional, as como a lo especificado en la normatividad aplicable en la materia. Estandarizacin e integracin de la informacin y los sistemas de informacin. Minimizar las interrupciones en la disponibilidad de los servicios asociados a los sistemas informticos y de comunicacin, ocasionados por uso inapropiado o por daos causados de manera accidental o intencional.

2.1 Alcance Las polticas contempladas en el presente manual aplican a todos los usuarios de datos, recursos y servicios informticos, sean o no, propiedad del INE, ya sea en forma comparativa o controlada individualmente, que estn aislados o interconectados a redes. En el evento en que haya conflicto entre dos polticas, la ms favorable para los intereses legtimos del Instituto prevalecer.

3. Polticas Generales

Los usuarios deben respetar la confidencialidad, la integridad e integralidad de los recursos, sistemas de informacin e informacin que poseen, as como de generar copias de seguridad. Los usuarios no deben de tener accesos a sistemas o recursos a los que no estn autorizados y tampoco permitir o facilitar que otros lo hagan. Se deben de respetar las condiciones de licencia y copyright o cualquier otro derecho de propiedad intelectual del software que usen en sus equipos. Los usuarios respondern siempre personalmente del uso que le den a los recursos informticos a su cargo. Toda informacin producida, recopilada o almacenada en equipo del INE, es propiedad del INE y para uso exclusivo de las actividades de la competencia del Instituto. Los servicios de correo electrnico e internet son de uso exclusivo para fines de las actividades del INE.

4. Metas de la implementacin de las Polticas La infraestructura de la Direccin de Informtica deber estar diseada para que eficientemente apoye a la institucin en el proceso de produccin estadstica y la comunicacin en el entorno del Sistema Estadstico Nacional. Las actividades de La Direccin de Informtica debern de tener en general los siguientes objetivos: estabilidad, seguridad y operaciones eficientes. La Direccin de Informtica deber ser responsable de la estrategia, y de la metodologa de trabajo y la produccin de estndares y recomendaciones con la respectiva coordinacin en todas las actividades de IT de los estadsticos.

La Direccin de Informtica tambin deber ser responsable de la coordinacin de actividades de outsourcing contratados asegurndose de que la infraestructura coincida con los requerimientos de desarrollo y produccin, y que cumplan con las normas internacionales que se le apliquen por su naturaleza estadstica. La Direccin de Informtica deber participar activamente con las cooperaciones internacionales. Todas las funciones de La Direccin de Informtica debern estar coordinadas con el responsable de casa Direccin, para hacer cumplir los estndares y recomendaciones y asistir a los programas de desarrollo de sistemas. El personal involucrado en el desarrollo de programas deber ser principalmente el responsable del desarrollo y la produccin de sistemas y ser ayuda de primera mano en la produccin de estadsticas. La Direccin de Informtica deber seguir actualizndose monitoreando el resto del mundo para estar al tanto de nuevas metodologas y tcnicas que puedan sobrepasar la metodologa actual de la organizacin. Todo el desarrollo de sistemas de produccin estadstica, deber ser realizado segn un modelo comn de desarrollo de sistemas que le de soporte a los sistemas desarrollados.

5. NORMAS INFORMTICAS

5.1 Normas de Seguridad

Los usuarios no deben de tener permisos de administrador de la red. El usuario responsable de cada equipo deber verificar que el software antivirus institucional se encuentre en ejecucin y vigente en forma permanente. Los servicios de red institucionales debidamente autorizados, que se habiliten para su acceso desde internet, debern ponerse en operacin solo despus de que el personal de la Direccin de Informtica aplique medidas de seguridad bsicas, debiendo ser solicitadas va oficio por el director del rea correspondiente a la Direccin de informtica. Cuando se requiera acceder remotamente a los equipos del Instituto, se debern utilizar nicamente conexiones seguras creadas por personal de la Direccin de Informtica. Por razones de seguridad y riesgo asociados, se prohbe el uso de software de mensajera instantnea. Chat y similares.

Est prohibido conectarse a internet o a la red utilizando equipos diferentes por ejemplo, (va telefnica) o los que se encuentran oficialmente en servicio. Por respeto a los compaeros de trabajo y para lograr una mayor concentracin en sus labores, se prohbe escuchar msica a volumen alto y se sugiere, para mayor comodidad, escucharla por medio de audfonos. Para el uso de internet de banda ancha, est prohibido conectar o usar los mdems de las PCs de los usuarios para acceder a internet y recursos informticos; en los casos especiales en los que se requiera el personal de la Direccin de informtica creara los accesos necesarios. Se controlara el acceso a la red mediante el anlisis de los paquetes recibidos y enviados, y la autorizacin o el bloqueo de su trnsito ser funcin de la Direccin IP de su origen y destino. La Direccin de Informtica debe contar con un plan de contingencia, en el caso de desastres o incendios para el cual el Instituto deber mantener los apoyos necesarios para garantizar su cumplimiento. Se tomaran acciones de procesamiento ante violacin de cualquier politica: Eliminar e-mail Notificaciones Restriccin de permisos

5.2 Normas para la utilizacin adquisicin o contratacin de recursos informticos y solicitud de servicios: Todo requerimiento de utilizacin adquisicin y/o contratacin de bienes y servicios informticos debe ser solicitada, exponiendo su justificacin va oficio, por el director del rea correspondiente a la Direccin de informtica, independientemente de la procedencia de los recursos financieros para su adquisicin y contratacin. Toda adquisicin de accesorios de cmputo deber ser solicitada, validada y autorizada por la Direccin de Informtica. Toda donacin y/o comodato de bienes y servicios informticos debe ser notificado previamente, va oficio, a la Direccin de Informtica. Si algn usuario realiza una transferencia de equipo de cmputo, la Direccin de Inventarios deber enviar a la Direccin de Informtica una copia de la actualizacin de la tarjeta de responsabilidad del equipo de esa persona. El objetivo de esta accin es mantener actualizando el inventario de equipo, para efectos de mantenimiento correctivo o preventivo, as como autorizacin de consumibles.

El usuario responsable del equipo debe informar a la Direccin de informtica la sustitucin del equipo por parte de la empresa de mantenimiento preventivo y correctivo, independientemente del aviso al rea de del registro de activo fijo del Instituto. Para dar de baja equipo de cmputo, el responsable del equipo debe solicitar la baja a la Direccin de Inventarios, quienes a su vez enviaran una copia a la Direccin de Informtica de la evaluacin y tramite del dictamen correspondiente. Queda prohibido que los usuarios remuevan o agreguen componentes, tanto de software como de hardware, a los equipos de cmputo. En caso de requerir algn cambio, deber solicitarse a la Direccin de Informtica. El uso de los recursos y/o servicios informticos del Instituto est sujeto a monitoreo por parte de la Direccin de Informtica. La configuracin de los equipos realizada por la Direccin de Informtica no deber ser modificada por los usuarios. La Direccin de informtica es la nica facultada para configurar equipos para el acceso a la red e internet. Se eliminaran cuentas dormidas, es decir, que tengan ms de 100 das sin utilizar. Los usuarios de equipo informtico, en forma compartida o individual, son responsables, del uso que se le d a la cuenta de correo electrnico, passwords y del acceso a Internet en su caso. Los horarios de acceso a la red sern establecidos con base al horario oficial de la Institucin, en caso de necesitar que este se ample, se deber solicitar va oficio por el Director del rea correspondiente, dirigido a la Direccin de informtica, exponiendo la justificacin de dicho requerimiento. Para el acceso a las aplicaciones que estn alojadas en los servidores administrativos por la Direccin de Informtica, como bases de datos de aos anteriores solicitar va oficio al Director de Informtica. Las licencias de papelera de software deben de ser resguardados por la Direccin de Informtica, quien proporcionara una etiqueta indicando el nmero de licencia que le corresponde a cada equipo, misma que el usuario debe mantener permanentemente. En caso de que el equipo de cmputo donado o en comodato cuente con licencias, tanto de papelera como de sistema operativo, se deber enviar una copia de las mismas, y de las facturas correspondientes, a la Direccin de Informtica. Toda solicitud de procesamiento de informacin deber presentarse va oficio a la Direccin de Informtica, siendo el usuario responsable de la validacin y de mantener un respaldo de la misma.

El usuario es responsable de seguir las polticas de seguridad y procedimientos para el uso de los servicios y recursos informticos, evitando cualquier prctica o uso inapropiado quien pudiera poner en peligro la informacin o al Instituto. Se consideran inapropiadas las acciones siguientes: Dejar sesiones de trabajo abiertas. Utilizar los recursos para llevar a cabo actividades fuera de la ley. Utilizar los recursos para fines particulares en horario laboral. Utilizar los recursos sin respetar las leyes de derechos de autor, aplicables a textos, elementos multimedios (grficos, fotografas, videos, msica, etc.), datos y software. Utilizar los recursos de tal forma que se violen estas u otras polticas o reglamentos institucionales. Utilizar los recursos sin tener autorizacin o autoridad para hacerlo; permitir o facilitar que usuarios no autorizados hagan usos de los recursos del Instituto. Distribuir datos o informacin confidencial del Instituto, sin la autorizacin debida. Alterar configuraciones de software o hardware del sistema sin autorizacin. Usar, alterar o acceder, sin autorizacin, a los datos de otros usuarios. Leer la correspondencia electrnica ajena, a menos que este especficamente autorizado para hacerlo. Prestar las contraseas o passwords personales. Suplantar a otras personas, haciendo uso de una falsa identidad, utilizando cuentas de acceso ajenas a los servicios, u otros medios. Utilizar los discos duros de las computadoras del INE para almacenar archivos de pornografa, msica en cualquier formato, juegos o similares. Intentar evitar los mecanismos de seguridad de la red o de control impuestos, perjudicar la funcionalidad de la red, o faltar a las restricciones establecida por los administradores de la red. Interceptar o alterar la informacin que se transmite. Sacar o tomar prestados los recursos del Instituto, sin tener la debida autorizacin. Interferir deliberadamente en el sistema o en el trabajo de otros, por ejemplo: Cargando excesivamente un sistema de cmputo. Ejecutando cdigos dainos, tales como virus o malware.

Crear, copiar, enviar o reenviar cadenas de mensajes no relacionados con actividades propias del Instituto. Instalar software sin estar debidamente autorizado para ello, sea o no sea propiedad del Instituto. Toda solicitud de sistemas operativos de informacin deber ser presentada, va oficio, por parte del director correspondiente a la Direccin de Informtica, siendo responsabilidad del rea solicitante el gestionar los recursos presupuestables necesarios para llevar a cabo el proyecto de autorizacin. El propietario del sistema de informacin debe establecer por escrito los usuarios y los niveles de permisos de estos a la aplicacin. Por todo requerimiento de automatizacin, la Direccin solicitante deber designar a un responsable con amplio conocimiento del proceso o procesos, sobre los cuales se va a trabajar para la definicin de requerimientos. L a incorporacin de informacin a la pgina Web del Instituto Nacional de Estadstica est sujeto a los lineamientos establecidos por el comit de la Pagina Web del Instituto, quien est facultado para la supervisin del cumplimiento de los mismos. Utilizar hardware o software no autorizado por el INE para manejar, producir o analizar informacin para o del INE. La Junta Directiva decidi adoptar las polticas Informticas segn acta No. 37-2006 punto nmero cuatro el da mircoles trece de Diciembre de 2006, y estas son validas hasta nueva orden.

5.3 Normas para Backups Los backups debern ser almacenados en una copia fuerte dentro de las instalaciones del INE. Existir una copia de los backups en un edificio alterno. Cuando los backups de informacin se trasladen, estos debern viajar en un vehculo seguro y custodiado por personas de confianza. Se harn copias de seguridad de los resultados que aun estn en proceso. Se harn copias de seguridad de los resultados finales. Todo usuario es responsable de mantener respaldos de seguridad de su informacin (Backups), de acuerdo a sus necesidades. En caso le sean asignados aplicaciones de cliente-servidor, el responsable de los respaldos de seguridad de las bases de datos es el administrador de la base de datos de la red.

Tendr que emitirse una hoja de impresin de operacin del backup (indica que se realizo correctamente), firmada por el operador del mismo y el Director de Informtica. Se lleva un inventario de todos los backups con que se cuenta.

5.4 Normas para contraseas o passwords La Direccin de Informtica asignara una contrasea o password al momento de crear una cuenta de correo electrnico, misma que se le entregara al usuario, quien deber cambiarla al menos cada noventa das de conformidad con lo establecido en las polticas para contraseas o password. El manejo seguro de toda contrasea o password es responsabilidad del usuario. La contrasea o password deber ser cambiada por el usuario cada noventa das. La contrasea o password deber ser de longitud mnima de ocho caracteres. Las contraseas o passwords debern contener al menos tres tipos de los siguientes caracteres: Letras maysculas Letras minsculas Nmeros es sustitucin de letras Signos de puntuacin

Las contraseas o passwords no podrn contener el nombre de usuarios, iniciales ni otra parte del nombre completo de este. No emplear la opcin Recordar contrasea que ofrecen algunas aplicaciones. En relacin a las Contraseas o passwords, no se podrn repetir las ltimas 18 utilizadas. Al momento que existan tres intentos fallidos de ingreso a la red, se llamara la atencin al usuario, y se realizara la investigacin correspondiente. Los permisos de los manejadores de los principales sistemas y aplicaciones tendrn permisos de Sper Usuario. La contrasea del Sper Usuario de la institucin deber estar resguardada en una caja fuerte. La contrasea de los administradores de servidores debern caducar, al igual que las dems, en noventa das.

La contrasea de los servidores solamente las tendr el Director de Informtica y existir una copia bajo llave en la Gerencia. Si alguien ms tuviera conocimiento de la contrasea, se sancionara al usuario. Las medidas las tomara la Direccin de Informtica en coordinacin con la Direccin de Auditoria. Todas las contraseas que le solicitara el administrador de la red, debern ser diferentes, es decir si se le solicitan cinco no puede utilizar la misma para los diferentes accesos.

5.5 Normas de uso de Internet Acceso a sitios de Internet El uso de internet es exclusivamente para las actividades institucionales. El acceso a la red y/o internet debe realizarse con el trabajo de los dems. Por cada departamento en el que se instalen servicios de Internet se creara una cuenta oficial de correo a nombre del titular, en motivo del envi de avisos por parte del administrador de servicios de la red, la cual deber atenderse personalmente. A travs de los equipos de monitoreo y anlisis de trafico instalados en el sitio central de la red, se detectaran a los usuarios que hagan mal uso de los servicios de internet. Queda estrictamente prohibido que los empleados se conecten, va telefnica, a internet a travs de recursos institucionales no relacionados con la Direccin perteneciente, con el fin de participar en actividades no relacionadas con sus trabajos. Se prohbe utilizar internet para consulta de pginas con contenidos pornogrficos, sitios que sintonizan estaciones de radio y televisin, recreativos, deportivos, juegos, chistes, etc.

Seguridad Se recomienda configurar los parmetros de seguridad del explorador de internet para filtra archivos que puedan daar la computadora, as como los parmetros de contenido para restringir el acceso a sitios de alto riesgo o sitios relacionados con entretenimiento.

Cualquier archivo que se reciba por internet deber revisarse para asegurarse que no contenga virus, ya que existen algunos que pueden destruir toda la informacin del disco duro del equipo. Antes de abrir cualquier archivo recibido por internet, el usuario debe asegurarse de que sea un archivo confiable.

Normas para el uso de correo electrnico y externo Las cuentas de correo electrnico que se asignan a los usuarios son exclusivamente para uso oficial de las actividades de la institucin y no para asuntos personales. Debe delimitarse la distribucin de correo electrnico al grupo ms pequeo de destinatarios posibles para evitar congestin de la red. Esta prohibido abrir archivos adjuntos de correo electrnicos recibidos de remitentes desconocidos, ya que pueden contener virus u otros cdigos dainos. Los usuarios no deben enviar mensajes no solicitados de correo electrnico (correo spam) ni cadenas de mensajes, correos basura o materiales publicitarios. Est prohibido que los usuarios compartan las contraseas o passwords de sus cuentas de correo. Toda sesin de trabajo deber ser cerrada por el usuario que se encuentre disponiendo del equipo y que por un momento deje de hacerlo o al concluir algn trabajo. Se debe revisar el correo peridicamente y depurarlo. Los usuarios debern capacitarse y entender los riesgos asociados al correo electrnico. Se deben atender los requerimientos hechos por el administrador de la red mediante el correo electrnico. El administrador de la red debe estar al pendiente de cualquier falla en los switches u otro equipo para que el error no se convierta en una falla total. Deber existir un listado de todos los switches que posee la institucin, el listado deber estar organizado por Direccin y deber describir a detalle cuales don los puertos usados y los vacos, a que usuarios pertenecen. Despus de que el usuario ingrese la contrasea de su correo electrnico tres veces de manera incorrecta se bloqueara la cuenta. Toda informacin y/o comentario publicado sin la autorizacin debida, en Blogs, Correo electrnico, pginas de internet, etc. Por parte de los trabajadores del INE, ser a ttulo personal; no representara una posicin oficial del Instituto, y se hace bajo la entera

responsabilidad del trabajador en cuestin, desligando de cualquier responsabilidad civil o penal a las autoridades del INE.

Suspensin de las Normas y Polticas Informticas

La supervisin al cumplimiento de las polticas informticas queda a cargo de la Direccin de Informtica y de la Direccin de Auditoria, por lo cual estn facultadas para: Supervisar en cualquier momento el cumplimiento de estas polticas informticas, de la normatividad vigente en materia de tecnologas de informacin y comunicacin, Derechos de autor y propiedad intelectual. Suspender los servicios de red a los usuarios que se les detecte uso inapropiado, hasta la aclaracin del mismo, o de proceder a la inhabilitacin del servicio. Bloquear el servicio de red e internet a aquellos usuarios que resulten afectados por algn virus informtico y pongan en riesgo la operacin de la red del Instituto, hasta que sean desinfectados totalmente. Emplear herramientas para monitorear la utilizacin de los recursos y detectar usos inapropiados de los recursos y/o servicios. Emplear el software necesario para evaluar y eficientar la seguridad de la informacin. Reportar, a las reas correspondientes, los casos de incumplimiento a las polticas. En el caso de la unidades administrativas ubicadas fuera de oficinas centrales que cumplen en estructura con reas de sistematizacin o informtica, es responsabilidad del titular de la misma el cumplimiento de la normatividad vigente en tecnologas de la informacin y comunicaciones, as como la implementacin de las presentes polticas y, en su caso, la propuesta de adicionales de acuerdo a sus necesidades de operacin e infraestructura, debiendo documentarlos para su anlisis, validacin e inclusin en el presente documento. En caso de no contar con titular de sistematizacin o informtica, es responsabilidad del jefe de la direccin correspondiente vigilar su cumplimiento en coordinacin con la Direccin de Informtica.

Violacin a las normas y polticas informticas.

La infraccin a las polticas informticas establecidas por el INE ser notificado a Subgerencia y la Direccin a la cual este adscrito el usuario, a fin de que estas determinen la sancin correspondiente, segn sea el caso y tomando como base la normativa de procesos administrativos. Exceptuando el siguiente agravio: Causas de despido inmediato

Si algn usuario incurriera en: o almacenamiento de material pornogrfico, se establece el Despido automtico del trabajador. Distribucin y revelacin de informacin confidencial de la Institucin sin la autorizacin correspondiente. Falsificacin de datos de informacin del INE. Recibo de informacin, equipo u otros recursos informticos. Dao intencional a los recursos informticos del INE. Almacenamiento de la informacin pornogrfica, discriminatoria, o cualquier otra ofensiva a la dignidad de las personas. Reincidencia en la violacin a las normas establecidas en este reglamento.

ANEXOS

8.1 Administracin de Software Los empleados de la institucin utilizaran los programas informticos solo en virtud de los acuerdos de licencia y no instalaran copias no autorizadas de los programas informticos comerciales. Los empleados de la Institucin no descargaran ni cargaran programas informticos no autorizados a travs de Internet. Los empleados de la Institucin que se enteren de cualquier uso inadecuado que se haga en la institucin de los programas informticos o la documentacin vinculada a estos, debern notificar a Subgerencia, al Director de Informtica y/o Asesor Legal de la Institucin. Se prohbe que los empleados de la institucin que realicen, adquieran o utilicen copias no autorizadas de programas informticos. Los empleados de la institucin que realicen, adquieran o utilicen copias no autorizadas de programas informticos estarn sujetos a sanciones disciplinarias internas de acuerdo a las leyes vigentes de derechos de autor, las personas involucradas en la reproduccin en la reproduccin ilegal de programas informticos pueden estar sujetos a suspensiones y despidos justificados. Se asignara un encargado, con conocimiento informtico, para que realice una auditorita de software en todas las maquinas aleatoriamente, junto a una persona de la Auditora Interna de la institucin, de esta manera se podr corroborar si el usuario est siguiendo las instrucciones dadas.

Cualquier duda respecto a si cualquier empleado puede copiar o utilizar un determinado programa informtico, debe plantearse ante Subgerencia o al Director de Informtica. El usuario ser responsable del software en la computadora que tiene asignada, por lo que se eliminara todo software que no est justificado por su Director y se aplicaran las respectivas sanciones administrativas. Es responsabilidad de los usuarios estar capacitados en el uso y manejo de los programas o paquetes a utilizar, los operadores estn para prestar ayuda solo en situaciones particulares. Segn el acuerdo mencionado con los Directores de la Institucin, ellos decidirn por sus subordinados si para alguna o varias de las computadoras a su cargo se les deshabilitaran las disqueteras de CD-Rom y puertos USB de dichas maquinas, esto con el fin de evitar la instalacin de Software prohibido y evitar de esta manera que el usuario pueda extraer informacin, quedando a consideracin de los Directivos. Queda prohibido almacenar archivos personales obtenidos va internet (msica, fotos, correos) en el disco duro de computadoras individuales o en los servicios de archivos de la Red. Nos e deben descargar de Internet archivos de video, msica, informacin no vinculada con el rea laboral excepto cuando sean utilizados para servir una funcin departamental previamente apropiada.

Monitoreo de Aplicaciones De todas las instalaciones de software que se realicen, se elaborara un manual tcnico, con la cual se organizara una biblioteca de manuales de la Direccin de Informtica de software de instalacin. De esta biblioteca se resguardara una copia fuera de las instalaciones de la Institucin, en un lugar restringido y bajo llave. Esta medida tiene como fin limitar el acceso a los manuales de instalacin de software al personal no autorizado, as como evitar su extravo. Esta biblioteca tiene como objetivo principal mantener una gua de procedimientos en los cuales se basen los tcnicos de la Direccin de informtica para cuando se necesite revisar la instalacin de software, o que ocurra una falta en el sistema.

Prevencin de Virus Los siguientes procesos se recomiendan para prevenir posibles ataques de virus informticos:

Se instalara un software antivirus en cada equipo de cmputo. As mismo, no ser necesario cancelar la actualizacin automtica del anti-virus, podr seguir ejecutando otras aplicaciones mientras se realiza la actualizacin. Se adjunta este documento la cotizacin de la compra del antivirus Mc Afee y Trend Micro. Siempre deber escanear sus diskettes con su anti-virus antes de usarlos. De aviso a la Direccin de informtica si nota la aparicin y desaparicin de archivos, incluso temporales, injustificadamente, lentitud del sistema, bloqueos o re*inicios continuos, inicializacin o finalizacin de programas o procesos sin justificacin, la bandeja del CD/DVD se abre y cierra sin motivo alguno, el teclado, mouse u otro perifrico dejan de funcionar, porque puede que nuestro equipo est en amenaza de virus. En este caso, la Direccin de Informtica escaneara inmediatamente sus discos con sus anti-virus actualizando. Deber hacer Backups (copias de seguridad de informacin importante) para que sus documentos se almacenen en un lugar seguro. No deber compartir carpetas con archivos de sistema ni particiones o discos completos. No ejecutar ningn archivo contenido en un mensaje de correo no solicitado o enviado por un remitente desconocido, as ofrezca atractivos premios o temas provocativos. Mucho menos si estos archivos tienen las extensiones siguientes: EXE, .DOT, .PIF, .VBS, .BAT, .COM, .SCR, .CDF, .DLL, .WSH, .CMD, .IS, .PWZ, .OVL, .OVY, .DLL, .DOC, .XLS, PPT, ,DB. La extensin son las ULTIMAS tres letras de cada archivo. Sepa tambin que ciertas extensiones no pueden contener virus por la forma que los programas abren estos archivos los formatos .TXT (texto puro) .PDF (Acrobat) .TIF, .GIF, .BMP, .JPG, .PCX, (formatos de fotos) .CDR, .CMX, (Corel) .DXF, DWG, (Autocad) .MPG, .MP2, MPA, .MPE, .M1V, .QR, .AVI (formatos de video) .WAV, .MP3, .M3U (audio) .RTF (texto con formato). No contestar los mensajes SPAM. Ya que al hacerlo se re-confirmara su direccin IP, ni prestar informacin a los mensajes con falsos contenidos, tales como ofertas de permisos, dinero, solicitudes de ayuda caritativa, advertencia de virus de fuentes desconocidas. Se han establecido por lo menos los siguientes puntos de entrada de los virus, as como las soluciones a implementar:

Vas Correos personales

Soluciones Restricciones de descarga de archivos para cualquier correo. Restricciones de todos los sitios que el Director del usuario no haya aprobado su navegacin. Restringir el uso de discos lser, diskettes, USB en usuarios no autorizados, e instalar un antivirus de calidad para quitar posibles infecciones.

Pgina Web

Dispositivos de Entrada de la Computadora

Correo de Microsoft Exchange (Interno) y Restricciones de espacio y para archivos Correo Oficial del ine.gob.gt ejecutables y un antivirus para el mismo. Software de Servicios de Mensajera Eliminar de todas las computadoras los servicios de mensajera interna y externa, bloqueando su uso desde el servidor.

Medidas de contingencia en caso de infeccin de virus Se aislaran maquinas sin parches para el sistema operativo de Microsoft, antes o durante una epidemia, para detener la propagacin del virus. Se revisaran que los dispositivos que tengan patrones de virus, y se controlaran con los software antivirus mas recientes para controlar el acceso a la red de los dispositivos no regulados. Se deber evitar la propagacin de virus y el atasco del trfico de la red. Se realizara una constante tarea de limpieza, hasta encontrar los resultados de los reportes donde se encuentran las vulnerabilidades y da seguimiento a los sistemas que ya han sido limpiados. Se instalaran Reuters para el acceso de internet. Los Reuters permiten compartir internet con menos problemas y son un excelente firewall (protector de ataques va la conexin de Internet)

Glosario de Trminos

9.1 GLOSARIO

Administrador: Todo personal (s) responsable (s) por la operacin da a da de un sistema de cmputo o recursos de una red de cmputo. Automatizacin: Ejecucin automtica de ciertas tareas, con el fin de agilizar el desarrollo de los procesos. Autorizacin: Proceso de conceder privilegios a los usuarios. Confidencialidad: Caracterstica de los datos y la informacin de ser revelados nicamente a personas o entidades autorizadas, en la forma y horarios autorizados. Correo basura: Correo indeseado. Correo electrnico: Redaccin, envo o recepcin de mensajes sobre sistema de ca. Correo no solicitado: Correo electrnico en el cual no existe relacin previa entre las partes y el destinatario no ha consentido explcitamente en recibir la comunicacin. Correo Spam: Correo electrnico en el cual no existe relacin o una combinacin previa entre las partes y el destinatario especifico, si su consentimiento u aprobacin,

generalmente comerciales. Cortafuegos (firewall):

en

forma

masiva

con

fines

Un sistema (hardware, software o una combinacin de los dos) que se instala entre una red privada y/o una red pblica para impedir accesos no autorizados, hasta o desde la red privada. Cuenta de correo: Identificador nico con una contrasea o password asociada, que se asigna a un usuario par que pueda utilizar el servicio de correo electrnico. Datos: Presentacin de hechos, conceptos o instrucciones en una manera, apropiada para comunicacin interpretacin o procesamiento manual o automtico. Datos personales: Informacin que identifica o describe a un individuo. Disponibilidad: Caracterstica de los datos, la informacin y los sistemas de informacin de estar accesibles en forma oportuna y de la manera requerida. Informacin: Es el significado asignado a los datos por medio de convenciones aplicadas a ellos. Integridad: Caractersticas de los datos y la informacin de ser y permanecer exactos y completos. Poltica: Es una declaracin formal de las reglas que los usuarios de los recursos tecnolgicos y de informacin de una organizacin deben acatar.

Propietario (a): rea responsable de un sistema de informacin. Proceso: Conjunto de instrucciones para el cumplimiento de una etapa especifica sealada. Recursos informticos: Hardware, software (datos e informacin), incluyendo equipos de computo y telecomunicaciones. Responsabilidad: Cargo u obligacin moral de responder por un posible error en una cosa o asunto determinado. Riesgo: Es una prdida o dao futuro potencial que puede surgir por alguna accin presente. Seguridad: Medidas tomadas para reducir el riesgo de: 1) acceso y uso no autorizada 2) dao o perdida de los recursos, por algn desastre, error humano, fallo en los sistemas, o accin maliciosa. Servidor: Computadora, no necesariamente multiusuario multitarea, que desempea una funcin especfica, generalmente en forma dedicada y desatendida. En un servidor no trabajan los usuarios. Servidor intermediario (proxy): Es un servidor que acta como intermediario entre una estacin de trabajo de un usuario y el internet, que se instala por seguridad, control administrativo y servicio de cache, disminuyendo el trafico de internet e incrementando la velocidad de acceso. Sistema: Termino genrico utilizado para hacer referencia a sistema de informacin.

Sistema de informacin: Personas, equipos informticos, software, mtodos y procedimientos de operacin, utilizados para colectar, almacenar, procesar, recuperar o transmitir datos e informacin de los usuarios. Uso particular: No laboral. Es el uso eventual de los recursos para fines no laborales, no relacionados con el Instituto. Usuario: Termino utilizado por brevedad para referirse a usuario autorizado. Usuario autorizado: Persona que mantiene alguna relacin oficial o formal con el Instituto, a quien se le ha concedido una debida autorizacin para acceder a un recurso informtico con el propsito de desempear sus deberes laborales u otras gestiones relacionadas directamente con los intereses del Instituto.