logia y Estrategia Digit: wy ISSSTE GUIA DE OPERACION PARA USUARIOS DE LOS SERVICIOS DE TECNOLOGIAS DE LA INFORMACION Y COMUNICACION EN EL ISSSTEISSS TE A eal i sat opie seh gots pe seo saci6n y Comunieacion, CONTENIDO: 1 Introduccién: N Objetivo 4 UL, Ambito de aplicaci6n nnn 5 Iv. Responsable... 5 V. _Bitdcora de Control de Cambios y Firmas de AceptaciOn nnn et 8 Politicas de Uso de Equipo de Cémputo, Accesorios y Componentes Tecnolégicos para los Trabajadores del ISSSTE oe ae pea Lo Introducci6n..nssse 8 M—Objetivo:.. 8 ML, Términos y Definiciones: .....nmmsnnnnnnnnnnninn eee IV. Propésito.. 10 V. _Politicas de uso de Equipo de Computo. oe VI. Periodo de Revisién:..... 24 Vil, Bitécora de Control de Cambios y Firmas de Aceptacion: 24 Politicas de Uso y Acceso a Internet para los Trabajadores del ISSSTE.. Introduccion: 28 ih. Objetivo: ce 28 MM, Términos y Definiciones:. ie 28 WV. PROPBSIRO. 29 V. Politicas de Uso y Acceso a Internet... 29 Vi. Periodo de Revisié at VI, Bitécora de Control de Cambios y Firmas de Aceptactén: os see 2 Politicas de Uso del Correo Electrénico, para los Trabajadores del ISSSTE. 1, Introduccién:.... 45, Ml. — Objetivo: 45 Ii, Términos y Definiciones: 45 PaginaIV. Propésito. V. _ Politicas del Uso de Correo Electrénico. Vi. Periodo de Revisién.. 56 VII. Bitécora de Control de Cambios y Firmas de Aceptacién: ar Politicas de Uso de Cuentas Personales en Medios Trabajadores del ISSSTE.. 1. imtroduecién: 60 Me ObjetiVO: as 60 Ii Términos y Definiciones -.60 1V. Propésito. 61 V. _Politcas de Uso de Cuentas Personales en Medios Digitales. 61 Vi. Periodo de Revisién...... 65 Vil. Bitacora de Control de Cambios y Firmas de Aceptacién: 66ISS: STE Direccién de Tecnologia y Estrategia Di Guia de Operacién para Usuarios de los Servicio: = Teenologias dela Informacian y Comunicacion 1. INTRODUCCION: EI término de Tecnologia de la Informacién y Comunicaciones (TIC’s), involucra una amplia gama de servicios como son entre otros, el correo electrénico, internet, y aplicaciones diversas que soportan o sistematizan los procesos sustantivos y criticos del Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado, a través de la gestion adecuada de la infraestructura de cémputo y telecomunicaciones, coadyuvando al desarrollo de las tareas dentro de! ambito institucional. Es por ello que la Direccién de Tecnologia y Estrategia Digital, a través de la Subdireccion de Tecnologia de la Informacién, emite la presente “Guia de Operacién para usuarios de los Servicios de Tecnologias de la Informacién y Comunicacién en el ISSSTE”, con el propésito de que los trabajadores del Instituto que tienen asignado un equipo informatico, cuenten con un documento que defina el contexto de acceso, control disponibilidad y privacidad de la informacién institucional; asi como indicar la utilizacién de los servicios de tecnologias de la informacion y Comunicacién (TIC), generando con ello, un ambiente de seguridad del uso de la informacién institucional y cumplimiento de las medidas de austeridad, modernizacién tecnolégica, transparencia, racionalidad y uso eficiente de los recursos publicos. Derivado de lo anterior y en concordancia con lo establecido en la Estrategia Digital Nacional, que busca democratizar el acceso a instrumentos tecnolégicos con el fin de lograr el maximo aprovechamiento de los mismos, estableciendo la seguridad de la informacién como un pilar fundamental se presentan las presentes politicas cuyo objetivo es el siguiente: Opsetivo Proporcionar a los trabajadores del Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado los criterios de operacién necesarios para el aprovechamiento de las tecnologias de la informacién con las que cuenta el Instituto, garantizando con ello la continuidad de la operacién, mediante un ambiente de seguridad, protegiendo la informacién e infraestructura informatica y definiendo una estructura de operacion que le permita a los usuarios de estos servicios institucionales, el mejor uso posible de los recursosISSS STE Direccién de Tecnologia y Estrategia Digital Guia de Operacion para Usuarios de los Servicios de EnIUTO, pe gREUIPAE Tecnologias d én y Comunicacién Amato DE APLICACION Esta Guia es aplicable a los trabajadores del Instituto sean empleados de base, de confianza, honorarios, interinatos, a quienes les haya sido asignado equipo informatico y dispositivos electrénicos del Instituto y arrendado. Se espera que todos estos usuarios estén familiarizados con esta Guia y la cumplan en su totalidad. Las preguntas sobre la guia deben ser dirigidas al Subdirector de Tecnologia de la Informacién. El incumplimiento a esta Guia puede conducir a la revocacién de privilegios en el sistema o acciones disciplinarias adicionales, IV. RESPONSABLE El responsable de establecer, implementar, monitorear y actualizar esta Guia es la Subdireccién de Tecnologia de la Informacién, con base en las directrices de la Direccién de Tecnologia y Estrategia Digital respecto de su aprobacién, y difusin entre los empleados del ISSSTE involucrados y terceras partes involucradas. V. _ BITACORA DE CONTROL DE CAMBIOS Y FIRMAS DE ACEPTACION: N/A N/A N/A N/A Version: vi Fecha: Mayo 26, 2015 Verénica de Jestis Li. Jorge Antonio Moreno Espinosa Cano Félix Jefa de Departamento en la Subdirector de Tecnol Jefatura de Servicios de Planeacién delainformacion FIRMA ‘Y) FIRMA Pigina lsy Estrategia Digital CD ISSSTE _ ores Te POLITICAS DE USO DE EQUIPO DE COMPUTO, ACCESORIOS Y COMPONENTES TECNOLOGICOS PARA LOS TRABAJADORES DEL ISSSTEDireccién de Tecnologia y Estrategia Digital Guia de Operacién Usuarios de los Servicios de Informacién y Comunieacién CONTENIDO: 1 Introduccién: - 8 . Objetivo... 8 ll, Términos y Definiciones... 8 IV. PropOSitO. nnn edo V. _Politicas de uso de Equipo de COMPULO ain nn VI. Periodo de ReVisiOn.....m Vil. Bitcora de Control de Cambios y Firmas de Aceptacién.... Av. Jests Garcia Corona 140, Col. Buenavista, CP. 06350. Delegacién Cuaubtémoc, México. D ra 2ISS. STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de la Informacion y Comunieacion |. INTRODUCCION: Eluso adecuado de los recursos informaticos y en general todo activo para procesamiento de informacién del Instituto es primordial, por ello éste exige de sus trabajadores no hacer usos distintos a los destinados en beneficio de la Institucién. El uso adecuado adicionalmente proporciona garantia razonable de no exponer a riesgos adicionales a los activos de procesamiento y a la informacion misma. Una gran parte de las actividades del Instituto se realiza con componentes de hardware (servidores, computadoras, laptops, tabletas electrénicas, teléfonos, fijos, inalambricos, Smartphones, impresoras, copiadoras, scanners, camaras, equipo de telecomunicaciones, unidades de almacenamiento, proyectores, monitores, equipo de videoconferencia, bocinas, teclados, mouse, diademas), asi como el software de la misma (sistemas operativos, aplicaciones institucionales, paquetes de programas informaticos para oficina, desarrollos internos y de terceros). En el Instituto, la proteccién de todos los medios electrénicos y tecnolégicos que contengan la informacién que se manejan es un elemento esencial y valioso para el mismo. MN, Opsetivo: La presente politica de operacién, establece los criterios para el correcto uso de los Equipos de Cémputo, accesorios y componentes tecnolégicos que proporciona el Instituto, con el fin de evitar el uso indebido o prohibido, propiciando un ambiente de X seguridad del uso de la informacién. II, TéRMINOS Y DEFINICIONES: Activo: Cualquier cosa que tiene valor para el Instituto. Clasificacion de ta| Tene | propésito de proteger la informacién que de ser usada podria | a nal afectar la seguridad de la misma. Esta clasificacién puede ser: exclusiva y | omen confidencial y publica. a one La propiedad por la que la informacion no se pone a disposiciOn o se revela a individuos, entidades 0 procesos no autorizados. mformacién La informacién del Instituto, que puede ser vista Gnicamente por aquellas -onfidencial: personas que por razones inherentes a sus funciones y actividades se encuentran autorizadas a su conocimiento y/o acceso (principio weDireccién de Tecnologia y Estrategia Digital Guia de Ops cin para Usuarios de las Servicios de logias de la Informacién y Comunicacion necesidad de saber), es decir, se encuentra destinada al uso exclusivo por parte de los empleados del Instituto en el desarrollo rutinario de los procesos y actividades de operacién. Eiornacan La informacién del Instituto, que debe ser vista Gnicamente por los agiital Y | propietarios o custodios de la misma o por aquellas personas que estan 1 aaedloee, autorizadas. yO: Re Ta informacin que puede usarse para identificar, contactar o localizar a one una persona en concreto, se puede considerar informacién sensible ya que especifica sexo, religién, estado civil, tipo de sangre de un individuo. La informacién que puede ser vista por personal del Instituto, asi como Informacién personal externo, la cual no tendria un impacto grave en caso de ser publica: divulgada, o inclusive la misma debe ser difundida como parte del objetivo de alguna actividad o proceso. El nombre que recibe una variedad linguistica del habla, usada con Jerga: frecuencia por distintos grupos sociales con intenciones de ocultar el verdadero significado de sus palabras, a su conveniencia y necesidad Los programas que se distribuyen conjuntamente para permitir el acceso a los equipos de cémputo, accesorios y componentes tecnolégicos de! Instituto, los cuales son definidos por la Jefatura de Servicios de Cémputo de acuerdo a las necesidades especificas del mismo. Los componentes de hardware de la institucidn: servidores, computadoras, laptops, tabletas electrénicas, teléfonos, fijos, inalambricos, Smartphones, Paquete de control de acceso autorizad: uete de equipo 5 Faguete de eaie | impresoras, copiadoras, scanners, cAmaras, equipo__de a PUES: | telecomunicaciones, unidades de almacenamiento, _proyectores, eee Y| monitores, equipo de videoconferencia, bocinas, teclados, mouse, componentes a ee diademas, asi como el software de la misma: sistemas operativos, tecnolégicos: : on era aplicaciones institucionales, paquetes de programas informaticos para oficina, desarrollos internos y de terceros. Los archivos necesarios para instalar una aplicacién. Contiene una distribucién de la aplicacién, archivos de configuracién (del proceso de Paquete de i ’ Baten instalacién y de la configuracién inicial de la aplicacién), y las bases de ee a amenazas conocidas. También puede contener un archivo Have de la aplicacién, El Directorio Activo es el servicio de Windows Server 2008 R2 que almacena informacion acerca de objetos de red y facilita la biisqueda y Directorio Active | utilizacién de esa informacién por parte de usuarios y administradores. El servicio de directorio Activo utiliza un almacén de datos estructurado como la base de una organizacién légica y jerérquica de la informacién Pagina |9ecci6n de Tecnologia y Estrategia Digital de Operacién pas Teenologias Usuarios de los Servicios de El conjunto de computadoras conectadas en una red que confian a uno de Dominio los equipos de la misma, la administracién de los usuarios y los privilegios que cada uno de los usuarios tiene en dicha red. IV. Propésito Proporcionar criterios sobre seguridad informatica aplicables a los trabajadores que utilizan los equipos de cémputo personales y dispositivos electronicos asignados por el Instituto durante el desempefio de sus funciones. V. PoLiTIcas DE USO DE EQUIPO DE COMPUTO senavista, CP. 06350, Del 2cs6n Cuauhtéroc, México, DF Pigina |10ISS. BS STE Direccién de Tecnologia y Estrategia Di Guia de Operacién para Usuarios de los Servicios de Usuario(s) 1.1 Solo para.uso institucional: Los sistemas de cémputo y comunicaciones del Instituto estén destinados Gnicamente para fines institucionales; sin embargo, el uso personal adicional esta permitido siempre y cuando: | 11.1 No consuma una cantidad significativa de Fecursos que pudieran de otro modo emplearse ara propésitos institucionales. 1.1.2 No interfiera con la productividad del trabajador, 1.1.3.No ocupe un lugar preferente sobre otras actividades del instituto y no ocasione dificultades ni problemas legales o morales para terceros como (otros trabajadores, proveedores y derechohabientes de los servicios que brinda el Instituto), 2.2 £1 uso adicional licito de una computadora puede comprender responder a un mensaje de correo electrénico sobre un almuerzo, comprar un regalo en linea y uso de servicios a través de Internet, entre otros. 13° Quedan estrictamente prohibides, en todas las computadoras personales del Instituto, los materiales ofensivos que pudieran perjudicar su imagen, incluyendo aquellos cuyo contenido sea sexista, racista, violento u otros informacion y Comunieacion aT Usuarios) 22 i El Instituto tiene una lista de paquetes de Software aprobados para que los usuarios puedan ejecutar en sus. computadoras personales [imagen Institucional] 21.1 Los trabajadores no deben instalar otros paquetes de Software en sus computadoras sino obtienen con antelacién un permiso de la Jefatura de Servicios de Cémputo, dependiente de la Subdireccién de Tecnologfa de la Informacién 2.1.2 Tampoco deben permitir que se ejecuten rutinas automaticas de instalacién de software en las computadoras de la Institucién, a menos que hayan sido autorizadas por la misma Jefatura de Servicios 2.1.3 Salvo en casos de excepcién autorizados por la Jefatura de Servicios de Cémputo, las actualizaciones_al_Software _autorizado_se et P.06350, Delegacién Cuauntémoc, México, DFGuia de Operacién para Usuarios de los Servicios de ISS: S STE Direccién de Tecnologia y Estrategia Digital Taree, er aoe Tecnologias de la informacién y Comunicacion descargaran en forma automatica en. las computadoras de los trabajadores del Instituto. 2.1.4 El Software no autorizado podra ser removido del equipo de trabajo involucrado sin previo aviso. 2.2 Modificaciones a las configuraciones del sistema ‘operativo 2.2.1 En el Hardware de la computadora proporcionada por el Instituto, los trabajadores no deben modificar las configuraciones del sistema operative, actualizar los sistemas operatives existentes o instalar nuevos sistemas operativos 2.2.2 De requerirse dichos cambios, los mismos deben ser realizados por personal de la Mesa de Ayuda institucional de TIC (MAITIC), en — forma presencial o mediante el uso de Software de mantenimiento de sistemas remotos. 2.3 Modificaciones al Hardware 2.3.1 Los equipos de cémputo proporcionados por el Instituto no deben alterarse o modificarse, sin la autorizacién de la Jefatura de Servicios de | Cémputo. ‘CONTROL DE ACCESO al Usuario(s) mT 3.1.1 Todos los equipos de cémputo del Instituto ef Instituto deben conectarse en el Dominio | institucional, es decir ejecutar el control de acceso autorizado por la Jefatura de Servicios de Cémputo para cada usuario. La contrasefia fija para el momento en que se inicia su equipo de cémputo, accesorios. ~y_—_-componentes tecnolégicos y nuevamente después de cierto periodo de inactividad, sera la misma de su correo electrénico. 3.1.2 Los usuarios deben fijar el lapso de tiempo para ese periodo de inactividad en 15 minutos o menos, el cual una vez transcurrido obscurece el contenido de la pantalla 3.13 Si un equipo de cémputo, accesorios Componentes _tecnolégicos. ~—_contienen informacién confidencial, la pantalla se debe proteger de inmediato con este paquete de control de acceso 0 apagar el equipo cada vez que lun trabajador se ausente del lugar en donde la computadora personal se encuentra en uso. 3.2 _Seleccién de contrasefias SS eT suiémac, México, OFGuia de Operacién para Usuarios de los Servicios de ene, ee Sean Teenelogi [SSE Direccién de Tecnologia y Estrategia Digital je la Informacion y Comunicacion, 3.2.1 Las contrasefias elegidas por el usuario y empleadas por los paquetes de Software de control de acceso, y las claves empleadas por los paquetes de ciftado, deben de cumplir con los Fequerimientos establecidos por la Subdireccién de Tecnologia de la Informacién-" 3.2.2. No se deben emplear palabras del diccionari derivaciones de los identificadores de usuario y secuencias de caracteres comunes, como por ejemplo, "123456" 3.2.3 Los datos personales tales como el nombre del cényuge, el niimero de la placa de! automévil, el mero de seguro social y la fecha de cumpleafios tampoco se deben usar, salvo que estén acompafiados por caracteres adicionales no relacionados, 3.2.4 Las contrasefias y claves elegidas por el usuario no deben ser partes gramaticales que incluyan nombres propios, ubicaciones geograficas 0 siglas comunes. 33 3.3.1 Los trabajadores deben mantener un control exclusivo de sus contrasefias personales y no deben, en ningén momento, compartirlas con otras personas, 3.3.2. Las contrasefias no se deben guardar en formato legible, en comandos automatics de entrada, en macros en teclas de funcién, en computadoras sin controles de acceso o en alguna otra ubicacién en donde las personas no autorizadas podrian descubririas. 34 Cifrs informacié 3.4.1 Toda la informacién confidencial que esté computarizada debe cifrarse cuando no se encuentre en uso activo; por ejemplo, cuando no la esté utilizando un software 0 no la esté viendo un usuario autorizado. * La1queva contrasefia que establezca debe cumplir con los siguientes requerimientos ‘+ Lalongitud de la contrasena tiene que ser estrictamente de ocho caracteres, ‘+ Contener al menos un caracter de cada uno de los siguientes cuatros grupos: ¥ Mayisculas (A-Z) ¥ Mindsculas (A-Z) ¥ Caracteres Especiales (17 # $ %&'C)*+- ¥Nimeras (0-9) + Toda contrasefia tendré una vigencia de 120 dias a partir de la fecha de actualizacién ‘© Validar el acceso al sistema por zona geografica. @ INIA (1)="ei-e>"d ‘Av Jestis Garéla Corona 140, Col Buenavista, P 06350, Detegaciin Cuauntémoc, Mabxico,Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servic Tecnologias de la informacidn y Comuni 3.4.2. Se recomienda el empleo de medidas fisicas de seguridad, tales como cajas fuertes y el cierre de mobiliario y de las puertas de oficina con lave como medidas adicionales para proteger la informacion secreta 3.5 Registro__con eventos relacionados _con ened 3.5.1 Los equipos de cémputo que manejen informacién secreta deben registrar de manera segura todos los eventos _relevantes relacionados con la seguridad del equipo. 3.5.2. Algunos de los eventos son: intentos para descifrar la contrasefia o para usar privilegios que no hayan sido autorizados, modificaciones al software de las aplicaciones para la operacién cambios en el software del sistema TAR aL = ae ne 4.1.1 Los equipos de cémputo deben ejecutar continuamente la versién actual del paquete de antivirus autorizado por la Jefatura de Servicios de Cémputo, 4.1.2 La versién actual de este paquete antivirus se debe descargar en forma automatica a cada equipo de cémputo, accesorios y componentes tecnolégicos cuando el equipo se conecte ala red interna del Instituto. 4.1.3 Los trabajadores no deben abortar este proceso de descarga. 4.1.4 Como minimo, este paquete se debe ejecutar cada vez que se proporcionen medios externos de almacenamiento, 4.2 Descompresién antes de la verificacién 4.2.1 No deben usarse medios de almacenamiento removibles suministrados por una fuente externa, R Usuario(s) a menos que hayan sido verificados con Software antivirus 4.2.2 Los archivos que puedan ser leldos por la computadora, los programas de Software, las bases de datos, los documentos de procesadores de palabras y las hojas de célculo provenientes de fuentes externas deben descomprimirse antes de someterlos a un proceso antivirus autorizado. aISSSTE 43 44 Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Teenologias de la infarmacién y Comunieacion 4.2.3 Si los archivos han sido cifrados, tienen que ser descifrados antes de ejecutar el software antivirus. pAeacueen gocvidus 4.3.1 Los trabajadores no deben intentar eliminar los virus sin contar con ayuda de expertos. 4.3.2 Cuando se sospeche de una infeccion o cuando el software antivirus sefiale que existe una infeccién, los trabajadores deben dejar de usar el equipo de cémputo, accesorios y componentes tecnoldgicos de inmediato, desconectar de forma fisica el equipo de todas las redes y llamar a la Mesa de Ayuda institucional de TIC (MAITIC) ala extensién de Red 18181. 4.3.3 En caso de que el virus sospechoso pareciera estar ecasionando dafios en la informacion o en el Software, se debe apagar el equipo de cémputo, accesorios y componentes tecnolégicos de inmediato. Diversion con virus 4.4.1 Los usuarios no deben escribir, compilar, copiar, propagar, ejecutar o intentar introducir en forma intencional agin c6digo de programacién disefiado para auto-duplicarse, dafiar 0 entorpecer el desempefio de cualquier sistema de cémputo de la Institucién. a Mt e i Eh Sa 5.1.1 Todo Software para equipos de cémputo distinto al Software normativo del Instituto debe copiarse con anterioridad a su uso inicial y almacenarse en un sitio seguro, 5.1.2 Estas copias maestras, posible mente, los mismos ‘medios suministrados por el proveedor, no deben usarse para actividades institucionales ordinarias, sino mas bien reservarse para realizar la recuperacién en caso de producirse infecciones por virus, colapsos del disco duro y otros problemas. 5.1.3 la documentacién sobre las licencias del mencionado Software se debe guardar para obtener apoyo técnico, recibir descuentos en actualizaciones y verificar la validez legal de las licencias, Respaldo periédico AKital TSSS RE Direccién de Tecnologia y Estrategia Dij Guia de Operacién para Usuarios delas Servicios de nanrure. pe Savaman Tecnologias dela Informacién y Comunicacion $2.1 Toda la informacién importante, valiosao confidencial que resida en los sistemas de computacién del Instituto debe respaldarse periédicamente, por lo menos semanalmente. 5.2.2 Amenos que se cuente con sistemas automaticos de respaldo, todos los usuarios finales tienen la responsabilidad de hacer por lo menos una copia de respaldo actualizada de los archivos importantes, valiosos o confidenciales. 5.2.3 Las copias separadas de respaldo deberén hacerse cada vez que se guarda un nimero significativo de cambios 5.2.4 Los respaldos generados por el usuario deben almacenarse fuera de la oficina en un lugar fisicamente seguro. 5.2.5 Algunos archivos respaldados deben ser restaurados periddicamente para demostrar la eficacia de cada proceso de respaldo. Jefes de Servicio 0 puestos 526los Jefes de Servicio de los distintos similares departamentos deben verificar que se realizan Fespaldos adecuados en todos los equipos de cémputo personales utilizados para las actividades institucionales de operacién 5.2.7 El soporte técnico de la MAITIC esta disponible para aquellos trabajadores que tengan dificultad para especificar, configurar o de algun otro modo establecer sistemas de respaldo. 5.2.8 Es responsabilidad del usuario el mantener las copias de seguridad bajo su resguardo y debidamente informado su jefe inmediato para el control de la informacién 53 I 5.3.1 Todas las compras efectuadas por los departamentos usuarios de software para equipos de cémputo que no hayan sido canalizados a través de la Subdirecci6n de Tecnologia de la Informacién (STI), deben informarse con prontitud a la Jefatura de Servicios de Cémputo de la STI. 5.4 Proteccién de derechos reservados 5.4.1 Queda prohibido realizar copias de software que tengan licencias y derechos reservados, atin con propésitas de “evaluacion” 5.4.2 El Instituto permite la reproduccién de materiales con derechos reservados siempre que se cuente Ta om 16ISS: Ss STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de igunte, ce emer Tecnol fas de la Informacién y Comunieacion ‘con permiso del autor 0 propietario 0 su uso sea razonable 5.4.3 Salvo que reciban informacién que indique lo contrario, los trabajadores deben asumir que el Software y otros materiales tienen derechos 6.1.1 No deben mantener informacién en sus equipos de cémputo si consideran que ya no se necesita 0 6.1.2 £1 uso de una sola opci6n de borrado no es suficiente para’ eliminar la informacion confidencial, puesto que ésta puede ser recuperable y debe eliminarse con un programa de reescritura autorizado por la Jefatura de Servicios de Cémputo, 6.2 Destruccién de la informacion 6.2.1 Antes de desecharse, los discos externos defectuosos que —contengan _informacién confidencial deben destruirse usando métodos autorizados por la Jefatura de Servicios de Cémputo para un borrado seguro de la informacién, 6.2.2 Otros medios de almacenamiento que contengan informacién confidencial se deben desechar en los recipientes de destruccién cerrados bajo ave que se encuentran en las oficinas de la Institucidn. 6.2.3 Todas las copias en papel que contengan informacién confidencial se deben desechar, bien ntes 0 en las maquinas trituradoras de papel autorizadas para tal fin. Fee ce eee ea Ee Usuario(s) n 7.1.1 Todo usuario que desarrolle o implemente software o hardware para uso del Instituto en sus actividades operativas, debe documentar el sistema previo a su utllizacién, 7.1.2 La documentacién debe escribirse en forma tal que pueda ser utilizada por personas que no estén familiarizadas con el sistema, 7.1.3 La documentacin debe prepararse ain en aquellos casos en los que se emplee un software ‘comtin, como por ejemplo un programa de hoja de calculo. ‘nv. Jess Garcia Corona 140, Cok Buenavista, CP 06350, Delepacion Cuauhtemoc, México, sia my Estrategia jos de Tee informacién y Comunicacion 7.2 Convenciones de desarrollo de sistemas de Ea 7.2.1 Todos los trabajadores que desarrollen o actualicen aplicaciones para la operacién del Instituto que se ejecutan en los equipos de ‘cémputo, deben cumplir con los requerimientos abreviados de desarrollo de sistemas de la Jefatura de Servicios de Sistemas de informacién? de la Direccién de Tecnologia y Estrategia Digital 7.2.2 Los requerimientos abreviados debe ser preparados especificamente para los equipos de cémputo por lo que requieren mucho menos esfuerzo que los sistemas multiusuario. 7.2.3 Los requerimientos deben incluir una evaluacién de riesgo, una revision répida para asegurar que dicho sistema de operacién cumple con las normas técnicas existentes y el uso de nombres de archivos normalizados. 7.3 Planes de contingencia 7.3.1 Cuando se utiliza un equipo de cémputo, accesorios y componentes tecnolégicas como parte fundamental de cualquier aplicacién institucional para la operacién, debe existir un plan de contingencia documentado y probado. 7.3.2 Los planes de contingencia deben prepararse de acuerdo con los criterios establecidos por la Jefatura de Servicios de Computo 74 etis iform i 7.4.1 Desde el momento en que se genera la \ informacion confidencial hasta que se destruye se autoriza el libre acceso a ella, debe etiquetarse con una identificacién correspondiente a su contenido, la cual debe aparecer en las versiones impresas y en las etiquetas de los medios de almacenamiento que —_contengan_—_dicha , informacién, Usuario(s) 8.1 Internet 8.1.1 Quedan prohibidas las conexiones entrantes de Internet a los equipos de cémputo de la Institucién, salvo que dichas conexiones empleen un paquete de software de red privada virtual De Acuerdo a la Arquitectura Teenol6gica establecida por la DTED, asi como a las metodologias para el desarrollo de soluciones tecnolégicas definidas, vests Garcia Corona 140, Col, Buenavista, CP: 06350, Deleyac inalISSSTE Ce Direccién de Tecnologia y Estrategia Digital (VPN por sus siglas en inglés) autorizado por el departamento de Seguridad Informatica 8.1.2 Estos sistemas de VPN deben contar con las, siguientes dos caracteristicas: opciones de autenticacién de usuario con por lo menos contrasefias fijas, y opciones de prevencién de interpretacién de datos como, por ejemplo, el cifrado, 7 52 3 8.2.1 Lainformacién confidencial del Instituto se puede descargar desde un sistema multiusuario a un ‘equipo de cémputo, accesorios y componentes tecnolégicos nicamente si se _establece claramente que es necesaria para la operacién, si los controles de proteccién adecuados estan instalados actualmente en el equipo de cémputo, accesorios y componentes tecnolégicos y si se obtiene el permiso del Propietario de la informacién 8.2.2 Esta politica no comprende el correo electrénico ni los memos pero si las bases de datos, los archivos maestros y otros datos almacenados en los servidores y otros equipos multiusuario, independientemente de los medios en que se encuentre almacenada la informacion, la gente que la maneja 0 los procesos mediante los cuales se maneja 8.3.1 Los trabajadores y los proveedores no deben hacer arregios para la instalacién de lineas de datos 0 de voz con ninguna empresa de telecomunicaciones, sino han obtenido la autorizacién del Subdirector de Tecnologia de la Informacion, Subdireccién de Tecnologia de la Informacion a4 as Establecimiento de redes 8.4.1 Los trabajadores no deben establecer sistemas de foros 0 boletines electrénicos, redes de area local, sistemas de comercio por Internet y otros sistemas multiusuario para comunicar informacién, sin la autorizacién especifica de la Subdireccién de Tecnologla de la Informacion, 85.1No deben activarse los sistemas que intercambian datos de forma automatica entre dispositivos, como por ejemplo un asistente digital _personal_y un equipo de _cémputo, P 06350, Delegacién Cuauhtémor, México, DF Pigina L19Guia de Operacién para Usuarios de los Servicios de Teenologias de la informacidn y Comunieacion ISS: STE. Direccién de Tecnologia y Estrategia Digital accesorios y componentes tecnol6gicos, a menos Usuario(s) y Coordinadores | 9.1 J ‘Administrativos 9.1.1 Los equipos de cémputo portitiles, deben asegurarse a los escritorios con dispositivos autorizados, tales como sujetadores o placas que inmovilicen el equipo 9.1.2 Los equipos deben marcarse y mantenerse con datos de identificacién visibles que. indiquen claramente que son propiedad del instituto 9.1.3 Se deben llevar a cabo. inventarios fisicos periédicos para seguir el movimiento de los equipos de cémputo y los periféricos correspondientes, 9.1.4 Al detectar la falta de algin equipo de cémputo se deberd dar avisoa la MAITIC a. la extension18181 ya su Coordinador Administrative correspondiente y sera responsabilidad del usuario el seguimiento, comprobaciones y explicaciones necesarias para el esclarecimiento de la falta del equipo de cémputo, accesorios. yy componentes tecnolégicos Enlace Técnico o de sistemas | 9.2 Donaci 9.2.1 Antes de entregar a un tercero los equipos de cémputo o los medios de almacenamiento que hayan sido utiizados por e! Instituto, la Jefatura de’ Servicios de Cémputo debe ‘sclcitar al responsable técnico © de sistemas del area \ correspondiente una inspeccién fisica para determinar que toda la informacién confidencial ha sido eliminada mediante procedimientos de borrado seguro Usuarios) 9.3 Préstamo de equipos de cémputo personales a otros 9.3.1 Los trabajadores nunca deben prestar a otra persona un equipo de cémputo, accesorios y Componentes tecnolégicos de! Instituto que contenga informacién confidencial, a menos que esa persona haya recibido autorizacién previa por parte del Propietario de la informacién para acceder a ella _|__________|94_Sustodio de tos equipos _ i 20ISSS STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de pani, Reena Tecnologias de la informacion y Comunieacion 94.1 El usuario primario de un equipo de compute, accesorios "ycomponentes. tecnoldgicas es considerado el custodio del equipo. 9.42 Siel equipo ha sido dafado, perdido, robado o no esta disponible por algiin otro motivo para las actividades normales ‘de la operacién. del Instituto, el custodio debe informar con prontitud al Jefe de Servicios correspondiente y registrar un reporte ala MAITIC. 9.4.3 A excepcién delos equipos portétils, el equipo de cémputo, accesorios y componentes ‘tecnoldgicos no debe moverse o ubicarse en otro lugar sin el conocimiento y autorizacion del Jefe del departamento 9.5 Uso de equipos personales 9.5.1 Los trabajadores no deben traer_ a las instalaciones del Instituto’ sus equipos de cémputo personales, periféricos, o software sin la autorizaci6n previa del Jefe inmediato superior, ni tampoco usar sus computadoras para. ias actividades de operacién del Instituto, a menos Que estos. sistemas hayan sido evaluados y Autorizados por la Jefatura de Servicios, de Comput. 9.6 Autorizacic ri 9.6.1 Las computadoras, portatiles y otros equipos de sistemas informaticos similares, asi como los equipos que pertenecen alos trabajadores y que hayan sido trafdos a las oficinas dela lnstitucion nna deben salir de las mismas a menos que estén acompafiados de una autorizacién firmada por el \ Jefe de Servicios correspondiente 9.6.2 El personal de seguridad ubicado en la entrada de los edificios del instituto debe revsar el contenido de los maletines, las maletas, los bolsos y otro tipo de equipaje para asegurarse de que todos los equipos que salen de las oficinas del institute tienen un pase autorizado, 97 9.7.1 Las pantallas de las computadoras que manejan datos confidenciales 0 valiosos deben colocarse de tal manera que la informacién no pueda ser vista con facilidad a través de una ventana ni por personas que caminen por el pasillo 0 que se encuentren esperando en la recepcién y areas similares. is Garcia Coron 140, Col Buenavista, CP. 06350, Deke Tel: (55) 5140 9617 wwwissste gol _- LoISSSTE Direccién de Tecnologia y Estrategia Digital ade Operacién para Usuarios de los Servicios de Tecnologias de la Informacion y Comumnicacion FIT usta eos teen enoear eeteteres palate eee mtr PGES Seon entrees mientras éstos ingresan sus contrasefias, sus CME pAOs Pid cre oo hes. ae septa 9.8 Resguardo de la informacién confidencial 9.8.1 El material impreso que contenga informacién Sa eeinea See ser wees CohstPie ales Martell bratipo Ge robes clan led ftanreoceamneseck pole eas tft apiatae na RESETS cal Gedteatrepondlen EVER a casos mefihaaos oat atintoniad esteriog seiucknitns Ginenermamaiiecrects CSM ain SMES ee puiees 2% i 9.9.1 Los equipos de cémputo de las oficinas del Fe ee cen thee ce iat RAMEN SIY cener i neCEe ie icecapilen esse ote sncrec us| energia ininterrumpida autorizados por la Jefatura de Servicios de Cémputo. 929 Sava Cianig as craceresaa terete edificacién representen un riesgo significativo de GescorntlUlecr calles Vee eoaperee cémputo deben estar provistos de un equipo anti ealierfiri tian yataieetarcinee es Cémputo. pata Ug tet [eel uid eetbsatenagraics tales como cintas magnéticas deben guardarse a ia dee ile CaeeeeRe ores take \? Pea tdcriccs eaaARESMS tome por imanes y teléfonos, oan 9.11.1 Los trabajadores deben abstenerse de fumar, comer o beber cuando estén usando los equipos de cémputo. Usuario(s) 10.1 Derechos sobre programas desarrollados 10.1.1 Salvo que exista una excepcién especifica por escrito, todos los programas de computacién y la documentacién generada o suministrada por los isi ooISSS iE Direccién de Tecnologia y Estrategia Digital Guia de Oper: Teenol én para Usuarios de los Servicios de fas de la Informacién y Comunicacion trabajadores para el beneficio del Instituto son propiedad de ésta, al igual que todos los materiales, incluyendo _patentes, derechos reservados y marcas registradas desarrollados Por los trabajadores del Instituto en sus equipos de cémputo. 10.1.2 Los trabajadores no deben explorar los sistemas de computacion o las redes del Instituto. 10.1.3 Las gestiones que el trabajador realice para encontrar en forma legitima la_informacién necesaria para llevar a cabo su trabajo y el uso de a Intranet del Instituto el Instituto no se considera exploracién, 10.2 Herramientas que competen ala seguridad de los sistemas 10.2.1 Amenos que la Subdireccién de Tecnologia de la Informacién lo autorice, los trabajadores del Instituto no deben adquirir, poseer, intercambiar © usar herramientas de hardware o software que pudiesen emplearse para evaluar o comprometer la seguridad de los sistemas informaticos; entre ellas, aquellas que pudiesen vulnerar la proteccién contra el copiado del software, descifrar contrasefias secretas, identificar vulnerabilidades en la seguridad o descifrar archivos cifrados. 10.3. Informe de problemas 10.3.1 Los usuarios deben informar con prontitud todas las alertas de seguridad, las advertencias y las sospechas de vulnerabilidades a la MAITIC, y ‘no deben usar los sistemas del Instituto para enviar esta informacién a otros usuarios, sin importar si son internos o externos. 10.4.1 Cada Subdireccién de Area o similar debe designar a un Enlace Técnico o de Sistemas, quien debera ser la persona a la cual el lector se dirigira en primer término, en caso de que requiera informacién adicional. 10.4.2 _Sieste enlace no puede responder a la persona © brindar una resolucién satisfactoria al problema, el préximo paso es llamar a la Jefatura de Servicios de Cémputo del Instituto. “keTISSSTE Sap getiapibaion Nata VI. PeRioD0 DE REVISION: ra modificar por alguna Esta politica se revisaré una vez al afo, o bien cuando se req mejora significativa en el Instituto. BrTAcora DE CONTROL DE CAMBIOS Y FIRMAS DE ACEPTACION: N/A N/A bn Cuauhtémoc, México, DDireccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de os Servicios de ‘dea Informacion y Comunieacién Versién: vi Fecha: Mayo 20, 2015, Ing. Jorge Luis Pineda Cardenas Lic. Obdulia Castafieda Li. Jorge A. Cano Fé Jefe de Departamento del Segundo Subdirector de Tecnologia, ata a Usuarios Jefa de Servicios de la Informacién de AN auenavista, CP. 06350, DePOLITICAS DE USO Y ACCESO A INTERNET PARA LOS TRABAJADORES DEL ISSSTE ris Leireccién de Tecnologia y Estrategia Digital {de Operacién para Usuarios de los Servicios de Tecnologias de a Informacion y Comunicacign |. Introduccién: 27, I. Objetivo... 27 I Términos y Definiciones.. IV. Propésito.. V. Politicas de uso y Accesos a Internet... VI. Periodo de Revisidn.. oh) VIL. Bitacora de Control de Cambios y Firmas de Aceptacion:.... 40 Av. Jess Garcia Corona 140, Col Buenavista, CP. 06350, Delegaciin Cuauhtémoc, México, DF A isin 7Spel Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Teenologias de ta inform: én y Comunieacion 1. IntRopuccién: La amplia variedad de nuevos recursos, servicios e interconectividad disponibles a través de Ia Internet plantean nuevas oportunidades de negocio, asi como nuevos riesgos en materia de seguridad y privacidad. La politica oficial del Instituto de Seguridad y Servicios de los Trabajadores del Estado aqui descrita en relacién con la seguridad en Internet es una respuesta a estos riesgos. Ossetivo: La siguiente politica establece los lineamientos para el correcto uso de Internet que proporciona el Instituto, con el fin de evitar el uso indebido 0 prohibido, propiciando un ambiente de seguridad del uso de la informacion TERMINOS Y DEFINICIONES: ‘Autenticacién | Act? © Proceso para el establecimiento o confirmacién de algo (o alguien) como real : EI medio que permite garantizar técnica y legalmente la identidad una ene persona en Internet. Es un requisito indispensable para que las instituciones puedan ofrecer servicios de Internet. El procedimiento que utiliza un algoritmo con cierta clave y tiene la capacidad de transformar un mensaje, sin atender a su estructura Cifrado | linguistica o significado, de tal forma que sea incomprensible, o al menos dificil de comprender a toda persona que no tenga la clave secreta del algoritmo. | File Transfer Protocol por sus siglas en inglés (Protocolo de Transferencia Ftp | 0 Archivos). Es un protocolo de red para transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol) basado en la arquitectura cliente-servidor. | Http | Hypertext Transfer protocol por sus siglas en inglés (En espafol protocolo de transferencia de hipertexto) es el protocolo usado en cada transaccién Y ests Ga 140, Col Buenavista, CP 06350, Delegacién Cuauhtemoc. México, OF $) $140 9617 wwwissste gol inx iti oeDireccién de Tecnologia y Estrategia Digital Usuarios de los Servicios de informacion y Comwunicacion de la World Wide Web, Es un protocolo orientado a las transacciones y sigue el esquema de peticién-respuesta entre un cliente y un servidor. Unix to Unix CoPy, por sus siglas en inglés (copiador de Unix a Unix) hace uuep | 8eneralmente referencia a una serie de programas de computadoras y Protocolos que permiten la ejecucién remota de comandos y transferencia de archivos y correo electrdnico entre computadoras, En informatica, la World Wide Web (WWW) cominmente conocida como Web | la Web, es un sistema de distribucién de documentos de hipertexto o hipermedios interconectados y accesibles via Internet. IV. Propostto Proteger la confidencialidad, autenticidad o integridad de la informacién. Deben utilizarse sistemas y técnicas criptograficas para la proteccién de la informacion que se considera en estado de riesgo y para la cual otros controles no suministra una adecuada protecci6n. V. Potiticas DE Uso Y ACCESO A INTERNET Subdireccién de Tecnologia de | 1.1. Implantar la politica de internet para usuarios. la Informacién a través de la| 3.2. i ir 1 Soeeee ace coe | oe) correo electrénico, Se debe otorgar solamente a Telecomunicaciones aquellos trabajadores que tienen una necesidad justificada por razones laborales y basadas en las rormas Institucionales. | 1.2.1, La capacidad de acceder y de participar en otras actividades de Internet no es un incentivo al cual todos los trabajadores tienen derecho 1.2.2. Para recibir privilegios de acceso a Internet, todos los trabajadores deben completar un formato el cual deberd estar autorizado por su Subdirector de Area o en su caso, el Director de ssu centro de trabajo. craneISSSTE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologias dea Informacion y Comunicacion ‘nae 2.1, Confiabilidad de la informacin aa] 2.1.1 Toda la informacién adquirida de internet debe considerarse NO confiable hasta que se confirme con informacién proveniente de otra fuente. 2.1.2 Antes de emplear informacién suministrada Bratuitamente por internet para la toma de Gecisiones. institucionales, os trabajadores deben corroborar la informacién consultando otras fuentes 2.2. Verificacién antivirus 2.2.1. Todos los archivos no texto, (imagenes, PDF. presentaciones, archivos descargados de Internet) deben ser examinados con software antivirus institucional antes de usarlos. 2.1.3 Cuando el proveedor externo del software no es confiable, el software descargado debe probarse en una maquina independiente, no empleada para el trabajo cotidiano, que haya sido respaldada recientemente. Los archivos descargados deben—descifrarse descomprimirse antes de ser sometidos a la verificacién antivirus institucional 2.1.4 Los usuarios no podran desinstalar o cambiar el producto de antivirus institucional existente en 'u equipo, asi como ninguna de las aplicaciones precargadas 2.3. Descarga de software 2.3.1.6 ISSSTE ha implementado un sistema ‘automatic de distribucién de software para instalarlas versiones autorizadas mas recientes fen sus computadoras, tal como actualizaciones de antivirus, de sistema operativo y paqueteria de Microsoft por lo que en caso de detectarse software adicional al instalado podra ser sancionado de manera inmediata. 2.3.2. Los trabajadores no deben instalar software en los equipos de cmputo que no hubiesen sido suministrados por el Instituto que se descargaron de la internet o se hayan obtenido de otro modo, y que puedan provocar alguna vuinerabilidad en el equipo o inestabilidad en los servicios del mismo. 2.3.3.La utilizaci6n de software sin restriccién de licencia (software de dominio publico) o esarrollos Instituconales 0 particulares | \yJ l deberdn ser notificados a su area técnica o de émoc, México, DFISS. S STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de ecnologias de informacion y Comuni sistemas, mismo que deberd solicitar su registro y autorizacion ala STI (Texto tomado de las politicas basicas de uso de equipo de cémputo). 24. mai 2.4.1. Queda prohibida la actualizaci6n automatica de software 0 de informacién en los equipos de ‘cémputo del fabricante, a menos que el sistema del proveedor haya sido probado y autorizado por la Subdireccién de Tecnologia de la Informacién. 2.5. Confirmacién de identidad 25.1.Antes de que los trabajadores revelen informacién interna del Instituto, ya sea que celebren contratos 0 hagan pedidos de productos a través de redes publicas, debe asegurarse de la identidad de las personas y las organizaciones contactadas, Lo ideal es hacerlo mediante firmas 0 certificados digitales; sin embargo cuando éstos no estén disponibles, Podran emplearse cartas de crédito, referencias de terceros y conversaciones telefénicas. 2.6. Anonimato del usuario 2.6.1.Queda prohibido falsear, ocultar o sustituir ta identidad de un usuario en cualquier equipo de cémputo, en caso de que el usuario ya no labore en el Instituto por ningtin motivo debera ingresar con usuario y password de otra Persona, ya que esto representara una sancion inmediata, debera solicitar con su enlace informatico el cambio de usuario en el equipo 6 Internet 0 en cualquier sistema de Comunicaciones electrénicas del Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado. 2,6.2.E1 nombre del usuario, la direccién de correo electrénico, la afiliacién a la organizacion y otros detalles incluidos los mensajes o transcripciones deben seflalar al verdadero autor de los mismos. 2.6.3.5i los usuarios tienen necesidad de enviar 6 despachar correo y otras facilidades anénimas, deben hacerlo en su tiempo libre, con sus propios sistemas informaticos y cuentas de proveedores de servicio de Internet externos al Instituto. 2.6.4.NO se permite el uso de conexiones anénimas | \y/ FTP. UUCP, HTTP 0 exploracién de la web \ ‘Av Jesis Garcia Corona 140, Col Buenavista, CP. 06350, Delegacién Cuauhtémoc. México, D:ISSSTE 27, Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologia dea Informacion y Comuicacisn ‘otros métodos de acceso establecidos donde se supone que los usuarios son anénimos y que Pongan en riesgo la informacién o pueda ser vulnerable informacién del Instituto, 2.7.1.Los usuarios deben abstenerse de abrir los archivos adjuntos a su correo electrénico salvo que provengan de un remitente confiable MO que es responsabilidad del usuario validar. 2.7.2.Cuando los trabajadores reciban archivos adjuntos de remitentes conocidos confiables, deben usar paquete antivirus institucional antes de abrirlos, 2.7.3, No responder, ni enviar correos tipo cadena. sin importar que tan plausible parezca su Propésito. (Texto tomado de las politicas basicas de uso de equipo de cmputo). 2.7.4.£n caso de necesitar enviar correos “muy pesados” estos no pueden exceder los 20Mb, Por lo cual se recomienda comprimir los archivos, Departamento de Publ Electrénica 29. 2.8.1.Los trabajadores no deben establecer nuevas paginas de Instituto externas sin una autorizacién por parte del area de Comunicacién Social del Instituto, en conjunto con el rea del Departamento de Publicacién Electrénica, la cual pertenece a la Subdirecci6n de Tecnologia de la Informacién 2.9.1.El Responsable del Departamento de Publicacién Electronica (Administrador Web), debe resguardar cada versién del sitio de Internet sugiriendo resguardarse en dos ubicaciones fisicamente separadas, para que en caso de necesitar presentar copias de paginas histéricas, lo pueda hacer. ea a Tana 31 Intercambio de Informacion 3.11 £1 software, la documentacién y toda tal informaci6n interna del Instituto no debe venderse ni transferirse de algin otro modo a ningun tercero que no pertenezca al Instituto para ningn propésito distinto a los propésitosISSSTE Direccién de Tecnologia y Estrategia Digi Guia de Operacién para Usuarios de los Servicios de de servicio expresamente autorizados por el Instituto, 3.1.2 Elintercambio de software o de datos entre el Instituto y cualquier tercero no debe proceder, ‘a menos que se haya suscrito un acuerdo por escrito que especifique los téminos del intercambio y la manera en que el software o los datos se van a manejar y proteger. a “ls B 3.2.1 Lainformacién del instituto no debe colocarse en ninguna computadora externa al mismo, a menos que las personas que tienen acceso a ella tengan necesidades justificadas por razones del servicio _expresamente autorizadas por la Direccién de su area. a a 3.3.1 La informacién secreta, privada 0 propiedad del Instituto no debe enviarse por Internet, a menos que haya sido cifrada con métodos autorizados. Salvo que se sepa que es del dominio publico, el cédigo fuente siempre debe cifrarse antes de enviarlo por Internet. Por las mismas razones, los servicios de teléfono de Internet no deben emplearse para los servicios del Instituto a menos que se sepa que la conexién esta cifrada. 3.4 Para 3.4.1 Los procesos de cifrado estan permitidos si estan autorizados por la Subdireccién de Tecnologia de la informa: 4.1.1 Se prohibe el copiado de software que no se Fealice conforme a la licencia del proveedor cuando el trabajador esté en su lugar de trabajo o cuando se estén empleando recursos de cémputo o de redes de la Institucién, al igual que la participacién en boletines de | anuncios de software pirata y actividades similares fuera del horario de trabajo, debido a que crean un conflicto de intereses con la Institucién, 4.12 La reproduccién, el reenvio 0 cualquier otro modo de re publicacién o redistribucién de palabras, graficos o cualquier otro material y Av. Jess Garcia Corona 140, Col Suienavista, CP 06350, Delegaciin Cuauntémoc, México, DF Tol. (55) $140 9617 www iesste goo ix a Lastal ISS) S S T E Direccién de Tecnologia y Estrategia Ade Operacién para Usuarios de los Servicios de Tecnologias de la Informacion y Comunicacion oe 4.2 Directorios modificables publicamente piblicamente en las computadoras del cémputo del Instituto no deben involucrarse olie euasy camera ce Usuario(s) Ss... icacié i cémputo internos del Instituto el Instituto a (Departamento de Redes) el cual puede cifrar | oid ees aat meer 5.12 Este software de VPN también deben 5.13 El proceso de autentificacién debe ica ‘Av ests Garcia Corona 140, Col. uensavista, CP. 06350, Delegacién Cuauhtémoc, México, DF Tel, (55) S140 9617 wwwissste isiny Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologias de la Informacién y Comunicacion ISSSTE 5.1.4 Los sistemas publicos designados no requleren de procesos de autentificacién de usuario Porque se supone que las interacciones son anénimas. 52 i 5.2.1 Los trabajadores que no hayan instalado las mejoras 0 parches requeridos al software o cuyos sistemas estén infectados por virus deben desconectarse automaticamente de la red del Instituto hasta que se restablezca una ambiente seguro de computacién, 5.2.2 Los equipos de cémputo usados por todos los trabajadores que empleen tecnologia VPN deben ser rastreados remotamente en forma automatica para determinar sie software est actualizado y si el sistema has sido protegido adecuadamente. 5.3 Restriccién de acceso de terceros 5.3.1 No deben otorgarse privilegios entrantes de acceso a Internet a terceros, incluyendo Proveedores, contratistas, "consultores, Personal temporal o personal de. organizaciones externas u otros terceros a menos que un Subdirector de area determine que estos individuos tienen una necesidad justificada de negocios para dicho acceso dentro del Instituto, 5.3.2 Los privilegios deben habilitarse Gnicamente para ciertos individuos y solo por el periodo de tiempo requerido para completar las tareas autorizadas 5.3.3 Endicho periodo deberdn ser tratados como un trabajador por lo que aplicaré cualquier recomendacién e inclusive podrén ser desalojados, en caso de recurrir en algun acceso indebido. 5.4 Autentificacién de usuario de explorador 541 Los trabajadores no deben guardar contrasefias fijas en sus exploradores web o en sus clientes de correo electrénico 54.2 Las contrasefas fijas debe ser suministradas cada vez que se invoca un explorador 0 un lente de correo electrénico. 5.43 Las contrasefias de explorador pueden ser guardadas cuando debe suministrarse una Contraseha_de aranque_cada_vez_que se] J ‘oronia 140, Col Buenavista, CP. 06350, Delegacién Cuauhtemoc. México, Tel, (55) 5140 9617 wwwissste gob mx iiaISS: STE Direccién de Tecnologia y Estrategia Digital Guia de Operacién para Usuarios de los Servicios de Tecnologias de la informacién y Comunieacién ‘enciende el equipo de cémputo y cuando se solicita una contrasefia de protector de pantalla cada vez que el sistema permanece inactive después de un periodo especifico de tiempo, 5.4.4 Los usuarios de los equipos de cémputo del Instituto deben _rechazar todos los ofrecimientos del software de colocar cookies fen su equipo de cémputo para que puedan conectarse en forma automatica la préxima vez que visiten un sitio en particular de Internet. 55 5.5.1 Los trabajadores no deben suministrar sus identificadores de usuarios de Internet y las contrasefias a agrupadores de datos, a servicios de resumen de datos y de formato ni a ningiin otro tercero. 5.6 Proveedores de servicio de Internet 5.6.1 A excepcién de los usuarios de equipos de cémputo méviles, los trabajadores no deben emplear cuentas de proveedores de servicio de Internet y lineas de discado para acceder a Internet para acceder a Internet con los equipos de cémputo de la Institucién. 5.6.2 Toda la actividad en Internet debe atravesar los firewalls 6 contrafuegos del Instituto y los demas mecanismos de seguridad. 5.6.3 Los usuarios deben emplear la direccién de correo electrénico del institute el Instituto para el correo electrénico de internet. 5.6.4 Queda prohibido el uso de la direccién personal de correo electrénico para este propésito. 5.7 Establecimiento de conexiones de red | 5.7.1 Amenos que se haya obtenido la autorizacion previa de la Subdirecci6n de Tecnologia de la Informacién, a través de la Jefatura de Servicios de Telecomunicaciones, los trabajadores no deben establecer conexiones de Internet 0 de otras redes externas que pudiesen permitir que usuarios no pertenecientes a la Institucién, obtengan acceso alos sistemas y ala informacién de la | \y) Institucién. Estas conexiones incluyen el establecimiento de sistemas de_archivo multi