MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA

Propsito: El presente documento tiene como finalidad dar a conocer las polticas y estndares de Seguridad Informtica que debern observar los usuarios de servicios de tecnologas de informacin, para proteger adecuadamente los activos tecnolgicos y la informacin Axpress.

Introduccin: a base para que cualquier organi!acin pueda operar de una forma confiable en materia de Seguridad Informtica comien!a con la definicin de polticas y estndares adecuados. a Seguridad Informtica es una funcin en la que se deben evaluar y administrar los riesgos, basndose en polticas y estndares que cubran las necesidades de Axpress, en materia de seguridad. Este documento se encuentra estructurado en cinco polticas generales de seguridad para usuarios de informtica, con sus respectivos estndares que consideran los siguientes puntos" Seguridad de #ersonal Seguridad $sica y Ambiental Administracin de %peraciones de &mputo &ontroles de Acceso gico &umplimiento

Ob !ti"o: Establecer y difundir las #olticas y Estndares de Seguridad Informtica a todo el personal Axpress, para que sea de su conocimiento y cumplimiento en los recursos informticos asignados. A#c$nc!: El documento define las #olticas y Estndares de Seguridad que debern observar de manera obligatoria todos los usuarios para el buen uso del equipo de cmputo, aplicaciones y servicios informticos Axpress. %usti&ic$cin: a 'ireccin de Informacin (ecnologa de Axpress est facultada para definir #olticas y Estndares en materia informtica. S$ncion!s por Incu'p#i'i!nto: El incumplimiento al presente )anual podr presumirse como causa de responsabilidad administrativa y*o penal, dependiendo de su naturale!a y gravedad, cuya sancin ser aplicada por las autoridades competentes. (!n!&icios: as #olticas y Estndares de Seguridad Informtica establecidos dentro de este documento son la base para la proteccin de los activos tecnolgicos e informacin de Axpress.

)* POL+TICAS Y EST,NDARES DE SEGURIDAD DEL PERSONAL Po#-tic$: (odos los usuarios de bienes y servicios informticos se comprometen a conducirse ba+o los principios de confidencialidad de la informacin y de uso adecuado de los recursos informticos de Axpress, as como el estricto apego al )anual de #olticas y Estndares de Seguridad Informtica para usuarios. 1.1. Obligaciones De los Usuarios: Es responsabilidad de los usuarios de bienes y servicios informticos cumplir las #olticas y Estndares de Seguridad Informtica para ,suarios del presente manual. 1.2 Acuerdos de uso y confidencialidad (odos los usuarios de bienes y servicios informticos de Aexpress debern conducirse conforme a los principios de confidencialidad y uso adecuado de los recursos informticos y de informacin, as como comprometerse a cumplir con lo establecido en el )anual de #olticas y Estndares de Seguridad Informtica para ,suarios. 1.3. Entrenamiento en Seguridad Informtica (odo empleado de Axpress de nuevo ingreso deber" - eer el )anual de #olticas y Estndares de Seguridad Informtica para ,suarios Axpress , el cual se encuentra disponible en el listado maestro, donde se dan a conocer las obligaciones para los usuarios y las sanciones que pueden aplicar en caso de incumplimiento. 1. . !edidas disci"linarias ../... &uando la 'ireccin identifique el incumplimiento al presente )anual remitir el reporte o denuncia correspondiente al 0rgano Interno de &ontrol, para los efectos de su competencia y atribuciones.

.*/POL+TICAS Y EST,NDARES DE SEGURIDAD F+SICA Y AM(IENTAL #oltica os mecanismos de control y acceso fsico para el personal y terceros deben permitir el acceso a las instalaciones y reas restringidas Axpress, slo a personas autori!adas para la salvaguarda de los equipos de cmputo y de comunicaciones, as como las instalaciones y el 'atacenter de Axpress. .*) R!s0u$rdo 1 prot!ccin d! #$ in&or'$cin 1..... El usuario deber reportar de forma inmediata a la 'ireccion Administrativa, cuando detecte que existan riesgos reales o potenciales para equipos de cmputo o comunicaciones, como pueden ser fugas de agua, riesgo de incendio u otros.

1...1. El usuario tiene la obligacin de proteger los &'23%), '4's, memorias ,S5, tar+etas de memoria, discos externos, computadoras y dispositivos porttiles que se encuentren ba+o su administracin, aun cuando no se utilicen y contengan informacin reservada o confidencial. 1...6. Es responsabilidad del usuario evitar en todo momento la fuga de la informacin de Axpress que se encuentre almacenada en los equipos de cmputo personal que tenga asignados. .*.* Contro#!s d! $cc!so &-sico 1.1... &ualquier persona que tenga acceso a las instalaciones Axpress , deber registrar en el Sistema de Ingreso, el equipo de cmputo, equipo de comunicaciones, medios de almacenamiento y 7erramientas que no sean propiedad Axpress , el cual podrn retirar el mismo da, sin necesidad de trmite alguno. En caso de que el equipo que no es propiedad Axpress, permane!ca dentro de la institucin ms de un da 7bil, es necesario que el responsable del rgano Axpress en el que traba+a el due8o del equipo, elabore y firme oficio de autori!acin de salida. 1.1.1. (odos los funcionarios operativos, administrativos, y terceros de otras empresas desarrollando una labor especifica en las instalaciones de Axpress, debern registrar la entrada y salida de las instalaciones cuantas veces los efect9e en el control de acceso 5iom:trico 2.3. Seguridad en reas de traba#o El &entro de &mputo de Axpress" son reas restringidas, por lo que slo el personal autori!ado por la 'ireccin I.(. puede acceder a ellos. 2. . $rotecci%n y ubicaci%n de los e&ui"os 1./... os usuarios no deben mover o reubicar los equipos de cmputo o de telecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin la autori!acin de la 'ireccin, debi:ndose solicitar a la misma en caso de requerir este servicio. 1./.1. El rea de soporte t:cnico de la 'ireccin ser la encargada de generar el resguardo y recabar la firma del usuario informtico como responsable de los activos informticos que se le asignen y de conservarlos en la ubicacin autori!ada por la 'ireccin. 1./.6. El equipo de cmputo asignado, deber ser para uso exclusivo de las funciones asignadas al usuario Axpress. 1././. Ser responsabilidad del usuario solicitar la capacitacin necesaria para el mane+o de las 7erramientas informticas que se utili!an en su equipo, a fin de evitar riesgos por mal uso y para aprovec7ar al mximo las mismas. 1./.;. Es responsabilidad de los usuarios almacenar su informacin 9nicamente en el directorio de traba+o que se le asigne, ya que los otros estn destinados para arc7ivos de programas y sistema operativo. 1./.<. )ientras se permanece en la estacin de traba+o y opera el equipo de cmputo, no se debern consumir alimentos o ingerir lquidos.

1./.=. Se debe evitar colocar ob+etos encima del equipo o cubrir los orificios de ventilacin del monitor o de la &#,. 1./.>. Se debe mantener el equipo informtico en un entorno limpio y sin 7umedad. 1./.?. El usuario debe asegurarse que los cables de conexin no sean pisados o aplastados al colocar otros ob+etos encima o contra ellos. 1./..@. &uando se requiera reali!ar cambios m9ltiples del equipo de cmputo derivado de reubicacin de lugares fsicos de traba+o, :stos debern ser notificados con una semana de anticipacin a la 'ireccin a trav:s de un plan detallado de movimientos debidamente autori!ados por el titular del rea que corresponda. 1./.... Aueda pro7ibido que el usuario abra o desarme los equipos de cmputo, porque con ello perdera la garanta que proporciona el proveedor de dic7o equipo. 1./..1. Aueda pro7ibido ingresar a la estaciones de traba+o del rea operativa y &all &enter con bolsos, maletas, c7aquetas, y dispositivos de almacenamiento externo. 2.'. !antenimiento de e&ui"o 1.;... Bnicamente el personal autori!ado de la 'ireccin podr llevar a cabo los servicios y reparaciones al equipo informtico, por lo que los usuarios debern solicitar la identificacin del personal designado antes de permitir el acceso a sus equipos. 1.;.1. os usuarios debern asegurarse de respaldar la informacin que considere relevante cuando el equipo sea enviado a reparacin y borrar aquella informacin sensible que se encuentre en el equipo previendo as la p:rdida involuntaria de informacin, derivada de proceso de reparacin, solicitando la asesora del personal de la 'ireccin. 2.(. $)rdida o transferencia de e&ui"o 1.<... El usuario que tenga ba+o su resguardo alg9n equipo de cmputo ser responsable de su uso y custodiaC en consecuencia, responder por dic7o bien de acuerdo a la normatividad vigente en los casos de robo, extravo o p:rdida del mismo. 1.<.1. El resguardo para las laptops, tiene el carcter de personal y ser intransferible. #or tal motivo, queda pro7ibido su pr:stamo. 1.<.6. El usuario deber dar aviso de inmediato a la 'ireccin de la desaparicin, robo o extravo del equipo de cmputo o accesorios ba+o su resguardo. 2.*. Uso de dis"ositi+os es"eciales 1.=... El uso de los grabadores de discos compactos es exclusivo para respaldos de informacin que por su volumen as lo +ustifiquen. 1.=.1. a asignacin de este tipo de equipo ser previa +ustificacin por escrito y autori!acin del titular o +efe inmediato correspondiente. 1.=.6. El usuario que tenga ba+o su resguardo este tipo de dispositivos ser responsable del buen uso que se le d:.

1.=./. os mdems internos debern existir solo en las computadoras porttiles y no se debern utili!ar dentro de las instalaciones de la compa8a para conectarse a ning9n servicio de informacin externo, excepto cuando lo autorice la 'ireccin. 1.>. 'a8o del equipo" El equipo de cmputo o cualquier recurso de tecnologa de informacin que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario, deber cubrir el valor de la reparacin o reposicin del equipo o accesorio afectado. #ara tal caso la determinar la causa de dic7a descompostura. 2* POL+TICAS3 EST,NDARES OPERACIONES DE C4MPUTO DE SEGURIDAD Y ADMINISTRACI4N DE

#oltica" os usuarios debern utili!ar los mecanismos institucionales para proteger la informacin que reside y utili!a la infraestructura de Axpress. 'e igual forma, debern proteger la informacin reservada o confidencial que por necesidades institucionales deba ser almacenada o transmitida, ya sea dentro de la red interna Axpress o 7acia redes externas como internet. os usuarios Axpress que 7agan uso de equipo de cmputo, deben conocer y aplicar las medidas para la prevencin de cdigo malicioso como pueden ser virus, malDare o spyDare. El usuario puede acudir a la 'ireccin, o al representante de :sta en su !ona, para solicitar asesora. 3.1. Uso de medios de almacenamiento 6..... (oda solicitud para utili!ar un medio de almacenamiento de informacin compartido, deber contar con la autori!acin de la 'ireccion I.(. o Eefatura I.(.. 'ic7a solicitud deber explicar en forma clara y concisa los fines para los que se otorgar la autori!acin, ese documento se presentar con firma de la 'ireccin. 6...1. os usuarios debern respaldar de manera peridica la informacin sensible y crtica que se encuentre en sus computadoras personales o estaciones de traba+o, solicitando asesora de la 'ireccin o al representante de :sta en su !ona, para que dic7os asesores determinen el medio en que se reali!ar dic7o respaldo. 6...6. En caso de que por el volumen de informacin se requiera alg9n respaldo en &', este servicio deber solicitarse por escrito al (itular de la 'ireccin, y deber contar con la firma del titular del rea de adscripcin del solicitante. 6.../. os traba+adores Axpress deben conservar los registros o informacin que se encuentra activa y aquella que 7a sido clasificada como reservada o confidencial, de conformidad a las disposiciones que emita la ,nidad de Acceso a la Informacin #9blica Axpress, en t:rminos de ey de Acceso a la Informacin p9blica, Acuerdo Feneral que establece el rgano, y dems criterios y procedimientos establecidos en esta materia. 6...;. as actividades que realicen los usuarios Axpress en la infraestructura de (ecnologa de la Informacin son registradas y susceptibles de auditora. 3.2. Instalaci%n de Soft,are 6.1... os usuarios que requieran la instalacin de softDare que no sea propiedad de Axpress, debern +ustificar su uso y solicitar su autori!acin a la 'ireccin, a trav:s de un oficio firmado por el titular del rea de su adscripcin, indicando el equipo de cmputo

donde se instalar el softDare y el perodo que permanecer la instalacin, siempre y cuando el due8o del softDare presente la factura de compra del softDare. Si el due8o del softDare no presenta la factura de compra del softDare, el personal asignado por la 'ireccin proceder de manera inmediata a desinstalar el softDare. 6.1.1. Se considera una falta grave el que los usuarios instalen cualquier tipo de programa GsoftDareH en sus computadoras, estaciones de traba+o, servidores, o cualquier equipo conectado a la red de Axpress, que no est: autori!ado por la 'ireccin.

2*2* Id!nti&ic$cin d!# incid!nt! 6.6... El usuario que sospec7e o tenga conocimiento de la ocurrencia de un incidente de seguridad informtica deber reportarlo a la 'ireccin o al representante de :sta en su !ona, lo antes posible, indicando claramente los datos por los cuales lo considera un incidente de seguridad informtica. 6.6.1.&uando exista la sospec7a o el conocimiento de que informacin confidencial o reservada 7a sido revelada, modificada, alterada o borrada sin la autori!acin de las unidades administrativas competentes, el usuario informtico deber notificar al titular de su adscripcin. 6.6.6. &ualquier incidente generado durante la utili!acin u operacin de los activos de tecnologa de informacin Axpress, debe ser reportado a la 'ireccin. 6./. Administracin de la configuracin os usuarios de las reas Axpress no deben establecer redes de rea local, conexiones remotas a redes internas o externas, intercambio de informacin con otros equipos de cmputo utili!ando el protocolo de transferencia de arc7ivos G$(#H, u otro tipo de protocolo para la transferencia de informacin empleando la infraestructura de red Axpress, sin la autori!acin por escrito de la 'ireccin. 6.;. Seguridad de la red Ser considerado como un ataque a la seguridad informtica y una falta grave, cualquier actividad no autori!ada por la 'ireccin en la cual los usuarios realicen la exploracin de los recursos informticos en la red Axpress , as como de las aplicaciones que sobre dic7a red operan, con fines de detectar y mostrar una posible vulnerabilidad. 6.<. ,so del correo electrnico 6.<... os usuarios no deben usar cuentas de correo electrnico asignadas a otras personas, ni recibir mensa+es en cuentas de otros. Si fuera necesario leer el correo de alguien ms Gmientras esta persona se encuentra fuera o ausenteH, el usuario ausente debe re direccionar el correo a otra cuenta de correo interno, quedando pro7ibido 7acerlo a una direccin de correo electrnico externa al #oder Eudicial , a menos que cuente con la autori!acin del titular del rea de adscripcin. 6.<.1. os usuarios deben tratar los mensa+es de correo electrnico y arc7ivos ad+untos como informacin que es propiedad Axpress Gsi es propiedad Axpress es informacin p9blicaH. os mensa+es de correo electrnico deben ser mane+ados como una comunicacin privada y directa entre emisor y receptor.

6.<.6. os usuarios no podrn enviar informacin reservada y*o confidencial a trav:s del correo institucional que le proporcion la 'ireccin. 6.<./. a 'ireccion, se reserva el derec7o de acceder y revelar todos los mensa+es enviados por este medio para cualquier propsito y revisar las comunicaciones va correo electrnico de personal que 7a comprometido la seguridad violando polticas de Seguridad Informtica Axpress o reali!ado acciones no autori!adas. &omo la informacin del correo electrnico institucional Axpress es privada, la 9nica forma en la que puede ser revelada es mediante una orden +udicial. 6.<.;. El usuario debe de utili!ar el correo electrnico de Axpress , 9nica y exclusivamente para los recursos que tenga asignados y las facultades que les 7ayan sido atribuidas para el desempe8o de su empleo, cargo o comisin, quedando pro7ibido cualquier otro uso distinto. 6.<.<. a asignacin de una cuenta de correo electrnico externo, deber solicitarse por escrito a la 'ireccin o al representante de :sta en su !ona, se8alando los motivos por los que se desea el servicio. Esta solicitud deber contar con el visto bueno del titular del rea que corresponda. 6.<.=. Aueda pro7ibido falsear, esconder, suprimir o sustituir la identidad de un usuario de correo electrnico. 2*5* Contro#!s contr$ cdi0o '$#icioso 6.=... #ara prevenir infecciones por virus informticos, los usuarios Axpress, deben evitar 7acer uso de cualquier clase de softDare que no 7aya sido proporcionado y validado por la 'ireccin. 6.=.1. os usuarios Axpress, deben verificar que la informacin y los medios de almacenamiento, considerando al menos memorias ,S5, discos flexibles, &', est:n libres de cualquier tipo de cdigo malicioso, para lo cual deben e+ecutar el softDare antivirus autori!ado por la 'ireccin. 6.=.6. El usuario debe verificar mediante el softDare de antivirus autori!ado por la 'ireccin que est:n libres de virus todos los arc7ivos de computadora, bases de datos, documentos u 7o+as de clculo, etc. que sean proporcionados por personal externo o interno, considerando que tengan que ser descomprimidos. 6.=./. Iing9n usuario Axpress debe intencionalmente escribir, generar, compilar, copiar, propagar, e+ecutar o tratar de introducir cdigo de computadora dise8ado para autoreplicarse, da8ar o en otros casos impedir el funcionamiento de cualquier memoria de computadora, arc7ivos de sistema o softDare. (ampoco debe probarlos en cualquiera de los ambientes o plataformas de Axpress. El incumplimiento de este estndar ser considerado una falta grave. 6.=.;. Iing9n usuario ni empleado de Axpress o personal externo podr ba+ar o descargar softDare de sistemas, boletines electrnicos, sistemas de correo electrnico, de mensa+era instantnea y redes de comunicaciones externas, sin la debida autori!acin de la 'ireccin de Informacin y (ecnologas.

6.=.<. &ualquier usuario que sospec7e de alguna infeccin por virus de computadora, deber de+ar de usar inmediatamente el equipo y llamar a la 'ireccin para la deteccin y erradicacin del virus. 6.=.=. &ada usuario que tenga ba+o su resguardo alg9n equipo de cmputo personal porttil, ser responsable de solicitar de manera peridica a la 'ireccin las actuali!aciones del softDare de antivirus. 6.=.>. os usuarios no debern alterar o eliminar las configuraciones de seguridad para detectar y*o prevenir la propagacin de virus que sean implantadas por la 'ireccin en programas tales como" AntivirusC &orreo electrnicoC #aquetera %fficeC IavegadoresC u %tros programas.

6.=.?. 'ebido a que algunos virus son extremadamente comple+os, ning9n usuario Axpress debe intentar erradicarlos de las computadoras, lo indicado es llamar al personal de la 'ireccin para que sean ellos quienes lo solucionen. 6.>. #ermisos de uso de Internet 6.>... El acceso a internet provisto a los usuarios Axpress es exclusivamente para las actividades relacionadas con las necesidades del puesto y funcin que desempe8a. a asignacin del servicio de internet, deber solicitarse por escrito a la 'ireccin, se8alando los motivos por los que se desea el servicio. Esta solicitud deber contar con el visto bueno del titular del rea correspondiente. 6.>.6. (odos los accesos a internet tienen que ser reali!ados a trav:s de los canales de acceso provistos por Axpress. 6.>./. os usuarios con acceso a Internet de Axpress tienen que reportar todos los incidentes de seguridad informtica a la 'ireccion, inmediatamente despu:s de su identificacin, indicando claramente que se trata de un incidente de seguridad informtica. 6.>.;. El acceso y uso de la conexin Ji$i de Axpress tiene que ser previamente autori!ado por la 'ireccin. 6.>.=. os usuarios con servicio de navegacin en internet al utili!ar el servicio aceptan que"

Sern su+etos de monitoreo de las actividades que reali!an en internet. Saben que existe la pro7ibicin al acceso de pginas no autori!adas.

Saben que existe la pro7ibicin de transmisin de arc7ivos reservados o confidenciales no autori!ados. Saben que existe la pro7ibicin de descarga de softDare sin la autori!acin de la 'ireccin. a utili!acin de internet es para el desempe8o de su funcin y puesto en Axpress y no para propsitos personales.

6.>.>. os esquemas de permisos de acceso a internet y servicios de mensa+era instantnea son" II4E ." Sin restricciones" os usuarios podrn navegar en las pginas que as deseen, as como reali!ar descargas de informacin multimedia en sus diferentes presentaciones y acceso total a servicios de mensa+era instantnea interna. II4E 1" Internet restringido y mensa+era instantnea" os usuarios podrn 7acer uso de internet y servicios de mensa+era instantnea interna, aplicndose las polticas de seguridad y navegacin. II4E 6" Internet restringido y sin mensa+era instantnea interna" os usuarios slo podrn 7acer uso de internet aplicndose las polticas de seguridad y navegacin II4E /" El usuario no tendr acceso a Internet, y tendra acceso a servicios de mensa+era instantnea interna.

6* POL+TICAS Y EST,NDARES DE CONTROLES DE ACCESO L4GICO Po#-tic$: &ada usuario es responsable del mecanismo de control de acceso que le sea proporcionadoC esto es, de su identificador de usuario GuserI'H y contrase8a GpassDordH necesarios para acceder a la informacin y a la infraestructura tecnolgica Axpress, por lo cual deber mantenerlo de forma confidencial. a 'ireccion de I.(. , es el 9nico que puede otorgar la autori!acin para que se tenga acceso a la informacin que se encuentra en la infraestructura tecnolgica Axpress , otorgndose los permisos mnimos necesarios para el desempe8o de sus funciones, con apego al principio KIecesidad de saberL. /... &ontroles de acceso lgico /..... El acceso a la infraestructura tecnolgica Axpress para personal externo debe ser autori!ado al menos por un titular de rea Axpress, quien deber notificarlo por oficio a la 'ireccin, quien lo 7abilitar. /...1. Est pro7ibido que los usuarios utilicen la infraestructura tecnolgica de Axpress para obtener acceso no autori!ado a la informacin u otros sistemas de informacin de Axpress. /...6. (odos los usuarios de servicios de informacin son responsables por su identificador de usuario y contrase8a que recibe para el uso y acceso de los recursos. /.../. (odos los usuarios debern autenticarse por los mecanismos de control de acceso provistos por la 'ireccin antes de poder usar la infraestructura tecnolgica Axpress.

/...;. os usuarios no deben proporcionar informacin a personal externo, de los mecanismos de control de acceso a las instalaciones e infraestructura tecnolgica Axpress, a menos que se tenga autori!acin de la 'ireccin. /...<. &ada usuario que accede a la infraestructura tecnolgica Axpress debe contar con un identificador de usuario 9nico y personali!ado, por lo cual no est permitido el uso de un mismo identificador de usuario por varios usuarios. /...=. os usuarios tienen pro7ibido compartir su identificador de usuario y contrase8a, ya que todo lo que ocurra con ese identificador y contrase8a ser responsabilidad exclusiva del usuario al que pertene!can, salvo prueba de que le fueron usurpados esos controles. /...>. os usuarios tienen pro7ibido usar el identificador de usuario y contrase8a de otros, aunque ellos les insistan en usarlo. 6*.* Ad'inistr$cin d! pri"i#!0ios /.1... &ualquier cambio en los roles y responsabilidades de los usuarios que modifique sus privilegios de acceso a la infraestructura tecnolgica Axpress , debern ser notificados por escrito o va correo electrnico a la 'ireccin con el visto bueno del titular del rea solicitante, para reali!ar el a+uste. /.6. Equipo desatendido os usuarios debern mantener sus equipos de cmputo con controles de acceso como contrase8as y protectores de pantalla Gpreviamente instalados y autori!ados por la 'ireccin, como una medida de seguridad cuando el usuario necesita ausentarse de su escritorio por un tiempo. 6*6* Ad'inistr$cin 1 uso d! contr$s!7$s /./... a asignacin de la contrase8a para acceso a la red y la contrase8a para acceso a sistemas, debe ser reali!ada de forma individual, por lo que queda pro7ibido el uso de contrase8as compartidas est pro7ibido. /./.1. &uando un usuario olvide, bloquee o extrave su contrase8a, deber reportarlo por escrito a la 'ireccin, indicando si es de acceso a la red o a mdulos de sistemas desarrollados por la 'ireccin, para que se le proporcione una nueva contrase8a. /./.6. a obtencin o cambio de una contrase8a debe 7acerse de forma seguraC el usuario deber acreditarse ante la 'ireccin como empleado de Axpress. /././. Est pro7ibido que los identificadores de usuarios y contrase8as se encuentren de forma visible en cualquier medio impreso o escrito en el rea de traba+o del usuario, de manera de que se permita a personas no autori!adas su conocimiento. /./.;. (odos los usuarios debern observar los siguientes lineamientos para la construccin de sus contrase8as" Io deben contener n9meros consecutivosC 'eben estar compuestos de al menos seis G>H caracteres. Estos caracteres deben ser alfanum:ricos, o sea, n9meros y letrasC

'eben ser difciles de adivinar, esto implica que las contrase8as no deben relacionarse con el traba+o o la vida personal del usuarioC y 'eben ser diferentes a las contrase8as que se 7ayan usado previamente.

/./.=. a contrase8a podr ser cambiada por requerimiento del due8o de la cuenta. /./.>. (odo usuario que tenga la sospec7a de que su contrase8a es conocido por otra persona, tendr la obligacin de cambiarlo inmediatamente. /./.?. os usuarios no deben almacenar las contrase8as en ning9n programa o sistema que proporcione esta facilidad. /./..@. os cambios o desbloqueo de contrase8as solicitados por el usuario a la 'ireccin sern solicitados mediante oficio sellado y firmado por el +efe inmediato del usuario que lo requiere. 6*8* Contro# d! $cc!sos r!'otos /.;... Est pro7ibido el acceso a redes externas por va de cualquier dispositivo, cualquier excepcin deber ser documentada y contar con el visto bueno de la 'ireccin. /.;.1. a administracin remota de equipos conectados a internet no est permitida, salvo que se cuente con la autori!acin y con un mecanismo de control de acceso seguro autori!ado por la 'ireccin.

8* POL+TICAS Y EST,NDARES DE CUMPLIMIENTO DE SEGURIDAD INFORM,TICA K a 'ireccin de Informacin y (ecnologa, es la encargada de fi+ar las bases de la poltica informtica que permitan conocer y planear el desarrollo tecnolgico al interior de AxpressL ;... 'erec7os de #ropiedad Intelectual ;..... Est pro7ibido por las leyes de derec7os de autor y por el #oder Eudicial , reali!ar copia no autori!adas de softDare, ya sea adquirido o desarrollado por Axpress. ;...1. os sistemas desarrollados por personal, interno o externo, que sea parte de la 'ireccin, o sea coordinado por :sta, son propiedad intelectual Axpress o en du defecto por el due8o registrado del softDare. ;.1. 3evisiones del cumplimiento ;.1... a 'ireccin reali!ar acciones de verificacin del cumplimiento del )anual de #olticas y Estndares de Seguridad Informtica para usuarios. ;.1.1. a 'ireccin podr implementar mecanismos de control que permitan identificar tendencias en el uso de recursos informticos del personal interno o externo, para revisar la actividad de procesos que e+ecuta y la estructura de los arc7ivos que se procesan. El mal uso de los recursos informticos que sea detectado ser reportado conforme a lo indicado en la #oltica de Seguridad del #ersonal. ;.6. 4iolaciones de seguridad informtica

;.6... Est pro7ibido el uso de 7erramientas de 7ardDare o softDare para violar los controles de seguridad informtica. A menos que se autorice por la 'ireccin. ;.6.1. Est pro7ibido reali!ar pruebas de controles de los diferentes elementos de (ecnologa de la Informacin. Iinguna persona puede probar o intentar comprometer los controles internos a menos de contar con la aprobacin de la 'ireccin, con excepcin de los 0rganos reguladores. ;.6.6. Iing9n usuario de Axpress debe probar o intentar probar fallas de la Seguridad Informtica identificadas o conocidas, a menos que estas pruebas sean controladas y aprobadas por la 'ireccin. ;.6./. Io se debe intencionalmente escribir, generar, compilar softDare o macros.

#ara los efectos del presente manual, se escribe el presente glosario de t:rminos" GLOSARIO DE T9RMINOS T9RMINO SIGNIFICADO GAH Acc!so Es el privilegio de una persona para utili!ar un ob+eto o infraestructura. Acc!so F-sico Es la actividad de ingresar a un rea. Acc!so L0ico Es la 7abilidad de comunicarse y conectarse a un activo tecnolgico para utili!arlo. Acc!so R!'oto &onexin de dos dispositivos de cmputo ubicados en diferentes lugares fsicos por medio de lneas de comunicacin, ya sean telefnicas o por medio de redes de rea amplia, que permiten el acceso de aplicaciones e informacin de la red. Este tipo de acceso normalmente viene acompa8ado de un sistema robusto de autenticacin. Anti"irus #rograma que busca y eventualmente elimina los virus informticos que pueden 7aber infectado un disco rgido, o cualquier sistema de almacenamiento electrnico de informacin. At$:u! Actividades encaminadas a quebrantar las protecciones establecidas de un activo especfico, con la finalidad de obtener acceso a ese arc7ivo y lograr afectarlo.

G5H ($s! d! d$tos &oleccin almacenada de datos relacionados, requeridos por las organi!aciones e individuos para que cumplan con los requerimientos de proceso de informacin y recuperacin de datos. G&H Con&id!nci$#id$d Se refiere a la obligacin de los servidores +udiciales a no divulgar copiar, coleccionar, propagar, e+ecutar, introducir cualquier tipo de cdigo GprogramaH conocidos como virus, malDare, spyDare, o similares dise8ado para auto replicarse, da8ar, afectar el desempe8o, acceso a las computadoras, redes e informacin Axpress. Informacin a personal no autori!ado para su conocimiento. Contr$s!7$ Secuencia de caracteres utili!ados para determinar que un usuario especfico requiere acceso a una computadora personal, sistema, aplicacin o red en particular. Contro# d! Acc!so Es un mecanismo de seguridad dise8ado para prevenir, salvaguardar y detectar acceso no autori!ado y permitir acceso autori!ado a un activo. Cop1ri0;t 'erec7o que tiene un autor, incluido el autor de un programa informtico sobre todas y cada una de sus obras y que le permite decidir en qu: condiciones 7an de ser :stas reproducidas y distribuidas. Aunque este derec7o es legalmente irrenunciable puede ser e+ercido de forma tan restrictiva o tan generosa como el autor decida. G'H Dir!ccin Se refiere a la 'ireccin de Informacin y (ecnologa de Axpress. Disponibi#id$d Se refiere a que la informacin est: disponible en el momento que se necesite. GEH Est<nd$r os estndares son actividades, acciones, reglas o regulaciones obligatorias dise8adas para proveer a las polticas de la estructura y direccin que requieren para ser efectivas y significativas. G$H F$#t$ $d'inistr$ti"$ Accin u omisin contemplada por la normatividad aplicable a la actividad de un funcionario, mediante la cual se ad+udica responsabilidad y se sanciona esa accin u omisin. FTP #rotocolo de transferencia de arc7ivos. Es un protocolo estndar de comunicacin que proporciona un camino simple para extraer y colocar arc7ivos compartidos entre computadoras sobre un ambiente de red. GFH Gus$no #rograma de computadora que puede replicarse a s mismo y enviar copias de una computadora a otra a trav:s de conexiones de la red, antes de su llegada al nuevo sistema, el gusano debe estar activado para replicarse y propagarse nuevamente,

adems de la propagacin, el gusano desarrolla en los sistemas de cmputo funciones no deseadas. GMH =$rd>$r! Se refiere a las caractersticas t:cnicas y fsicas de las computadoras. =!rr$'i!nt$s d! s!0urid$d Son mecanismos de seguridad automati!ados que sirven para proteger o salvaguardar a la infraestructura tecnolgica de una &omisin. GIH Id!nti&ic$dor d! Usu$rio Iombre de usuario Gtambi:n referido como ,serI'H 9nico asignado a un servidor +udicial para el acceso a equipos y sistemas desarrollados, permitiendo su identificacin en los registros. os nombres de usuario se compondrn de .@ caracteres los cuales estn compuestos por" etra inicial del primer nombre #rimer apellido completo Gmximo ? caracteresH Bltimos n9meros de la cedula 7asta completar los .@ caracteres

I'p$cto )agnitud del da8o ocasionado a un activo en caso de que se materialice. Incid!nt! d! S!0urid$d &ualquier evento que represente un riesgo para la adecuada conservacin de confidencialidad, integridad o disponibilidad de la informacin utili!ada en el desempe8o de nuestra funcin. Int!0rid$d Se refiere a la p:rdida deficiencia en la autori!acin, totalidad exactitud de la informacin de la organi!acin. Es un principio de seguridad que asegura que la informacin y los sistemas de informacin no sean modificados de forma intencional. Int!rn!t Es un sistema a nivel mundial de computadoras conectadas a una misma red, conocida como la red de redes GDorld Dide DebH en donde cualquier usuario consulta informacin de otra computadora conectada a esta red e incluso sin tener permisos. Intrusin Es la accin de introducirse o acceder sin autori!acin a un activo. G)H M$#tr$to Son todas aquellas acciones que de manera voluntaria o involuntaria el usuario e+ecuta y como consecuencia da8a los recursos tecnolgicos propiedad Axpress. Se contemplan dentro de :ste al descuido y la negligencia. M$#>$r! &digo malicioso desarrollado para causar da8os en equipos informticos, sin el consentimiento del propietario. 'entro de estos cdigos se encuentran" virus, spyDare, troyanos, rootNits, bacNdoors, adDare y gusanos. M!c$nis'os d! s!0urid$d Es un control manual o automtico para proteger la informacin, activos tecnolgicos, instalaciones, etc. que se utili!a para disminuir control la probabilidad de que una vulnerabilidad exista, sea explotada, o bien ayude a reducir el impacto en caso de que sea explotada.

M!dios d! $#'$c!n$'i!nto '$0n?ticos Son todos aquellos medios en donde se pueden almacenar cualquier tipo de informacin GdisNettes, &'Os, '4'Os, etc.H Md!' Es un aparato electrnico que se adapta una terminal o computadora y se conecta a una red de. os mdems convierten los pulsos digitales de una computadora en frecuencias dentro de la gama de audio del sistema telefnico. &uando act9a en calidad de receptor, un mdem decodifica las frecuencias entrantes. GIH @N!c!sid$d d! s$b!rA Es un principio o base de seguridad que declara que los usuarios deben tener exclusivamente acceso a la informacin, instalaciones o recursos tecnolgicos de informacin entre otros que necesitan para reali!ar o completar su traba+o cumpliendo con sus roles y responsabilidades dentro de la labor contratada. Nor'$ti"id$d &on+unto de lineamientos que debern seguirse de manera obligatoria para cumplir un fin dentro de una organi!acin. G#H P$ss>ord 4:ase &ontrase8a. G3H R!sp$#do Arc7ivos, equipo, datos y procedimientos disponibles para el uso en caso de una falla o p:rdida, si los originales se destruyen o quedan fuera de servicio. Ri!s0o Es el potencial de que una amena!a tome venta+a de una debilidad de seguridad GvulnerabilidadH asociadas con un activo, comprometiendo la seguridad de :ste. ,sualmente el riesgo se mide por el impacto que tiene. GSH S!r"idor &omputadora que responde peticiones o comandos de una computadora cliente. El cliente y el servidor traba+an con+untamente para llevar a cabo funciones de aplicaciones distribuidas. El servidor es el elemento que cumple con la colaboracin en la arquitectura cliente2servidor. Sitio B!b El sitio Deb es un lugar virtual en el ambiente de internet, el cual proporciona informacin diversa para el inter:s del p9blico, donde los usuarios deben proporcionar la direccin de dic7o lugar para llegar a :l. So&t>$r! #rogramas y documentacin de respaldo que permite y facilita el uso de la computadora. El softDare controla la operacin del 7ardDare. Sp1>$r! &digo malicioso desarrollado para infiltrar a la informacin de un equipo o sistema con la finalidad de extraer informacin sin la autori!acin del propietario. G,H Us!rID 4:ase Identificador de ,suario. Usu$rio Este t:rmino es utili!ado para distinguir a cualquier persona que utili!a alg9n sistema, computadora personal o dispositivo G7ardDareH.

G4H Cirus #rogramas o cdigos maliciosos dise8ados para esparcirse y copiarse de una computadora a otra por medio de los enlaces de telecomunicaciones o al compartir arc7ivos o medios de almacenamiento magn:tico de computadoras. Cu#n!r$bi#id$d Es una debilidad de seguridad o brec7a de seguridad, la cual indica que el activo es susceptible a recibir un da8o a trav:s de un ataque, ya sea intencional o accidental.