PDF de programación - Políticas de Seguridad en Cómputo

Asociación de Universidades e Instituciones

de Educación Superior

Consejo Regional Noroeste



PPPOOOLLLÍÍÍTTTIIICCCAAASSS IIINNNSSSTTTIIITTTUUUCCCIIIOOONNNAAALLLEEESSS
DDDEEE SSSEEEGGGUUURRRIIIDDDAAADDD EEENNN CCCÓÓÓMMMPPPUUUTTTOOO



Red de Seguridad en Cómputo

del Consejo Regional Noroeste de la ANUIES



Nuestro reconocimiento: Documento basado en el trabajo desarrollado por la

Red de Seguridad en Cómputo en el año 2003,
del Consejo Regional Sur-Sureste de la ANUIES



Red de Seguridad en Cómputo del Consejo Regional Noroeste de la ANUIES Octubre 2004

CAPÍTULO 1

DISPOSICIONES GENERALES
Artículo 1. Ámbito de aplicación y fines

Artículo 2. Definiciones

Artículo 3. Frecuencia de evaluación de las políticas.

CAPÍTULO 2

POLÍTICAS SEGURIDAD FÍSICA
Artículo 4. Acceso Físico

Artículo 5. Robo de Equipo

Artículo 6. Protección Física

Artículo 7. Respaldos

CAPÍTULO 3

POLÍTICAS DE SEGURIDAD LÓGICA

DE LA RED DE LA INSTITUCIÓN DE EDUCACIÓN SUPERIOR
Artículo 8. De la Red-IES

Artículo 9. De las Dependencias de la Institución de Educación Superior

Artículo 10. Políticas de uso aceptable de los usuarios

Artículo 11. De los servidores de la Red-IES

Artículo 12. Del Sistema Institucional de Información

CAPÍTULO 4

POLÍTICAS DE SEGURIDAD LÓGICA

ii

6

6

6

6

7

8

8

8

8

8

9

10

10

10

10

10

11

11

12

14

14

PARA ADMINISTRACIÓN DE LOS RECURSOS DE CÓMPUTO
Artículo 13. Área de Seguridad en Cómputo

Artículo 14. Administradores de Tecnologías de Información

Artículo 15. Renovación de Equipo

CAPÍTULO 5

POLÍTICAS DE SEGURIDAD LÓGICA

PARA EL USO DE SERVICIOS DE RED
Artículo 16. Servicios en las dependencias universitarias

Artículo 17. Uso de los Servicios de red por los usuarios

CAPÍTULO 6

POLÍTICAS DE SEGURIDAD LÓGICA

PARA EL USO DEL ANTIVIRUS INSTITUCIONAL
Artículo 18. Antivirus de la Red-IES

Artículo 19 Políticas antivirus de las dependencias universitarias

Artículo 20. Uso del Antivirus por los usuarios

CAPÍTULO 7

POLÍTICAS DE OPERACIÓN DE LOS CENTROS DE CÓMPUTO

CAPÍTULO 8

SANCIONES
Artículo 21. Generales

ANEXO 1

iii

14

14

14

15

16

16

16

16

16

18

18

18

18

18

18

20

20

21

21

21

22

REGLAMENTO DE LOS CENTROS DE CÓMPUTO
Capítulo I. Generales

Capítulo II. Derechos

Capítulo III. Obligaciones

Capítulo IV. Restricciones

Capítulo V. Sanciones

ANEXO RCC1 del Artículo 13b

Equipo Multimedia

Responsabilidad
Uso

De las Impresiones

Impresión de trabajos.
Procedimiento para solicitar servicio de Impresión.
Tipos de impresión que se permiten.

De las Instalaciones

Limpieza
Escaleras y pasillos.
Sanitarios

Transitorios

Primero.
Segundo

Imprevistos
Vigencia

ANEXO 2

22

22

24

24

25

25

26

26
26
26

26
26
26
26

26
26
27
27

27
27
27

28

MODELO DE PROTECCIÓN ELÉCTRICA EN INSTALACIONES
DE SISTEMAS DE CÓMPUTO Y COMUNICACIONES
28

1. Capturar la descarga atmosférica en un punto designado.

2. Conducir sin riesgo la descarga a tierra en forma segura.

3. Disipar la energía a tierra.

4. Crear un plano de tierra equipotencial.

5. Proteger contra transitorios entrantes por los circuitos de potencia.

6. Proteger contra transitorios entrantes por los circuitos de comunicación/datos.

28

28

28

28

31

31

iv

MODELO DE PROTECCIÓN ELÉCTRICA EN INSTALACIONES DE SISTEMAS DE CÓMPUTO Y COMUNICACIONESREQUISITOS DE TELECOMUNICACIONES



32

v

CAPÍTULO 1

DISPOSICIONES GENERALES


Artículo 1 Ámbito de aplicación y fines

1.1 Las políticas de seguridad en cómputo tienen por objeto establecer las medidas de índole
técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de
información (equipos de cómputo, sistemas de información, redes de telemática) y
personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a
todos los usuarios de cómputo de las Instituciones de Educación Superior del consejo
regional Noroeste de la ANUIES.

1.2 Cada Institución de Educación Superior es la responsable de dar a conocer y hacer cumplir

estas políticas de seguridad internamente.

1.3 Las

Instituciones de Educación Superior pueden agregar guías particulares

complementarias de acuerdo a su naturaleza y funciones.


Artículo 2. Definiciones
ABD: Administrador de las bases de datos del Sistema Institucional de Información de la IES.
ASC-IES: Área de Seguridad en Cómputo de la Institución de Educación Superior. Se encarga
de definir esquemas y políticas de seguridad en materia de cómputo para la Institución.
ATI: Administrador de Tecnologías de Información. Responsable de la administración de los
equipos de cómputo, sistemas de información y redes de telemática de una dependencia de la
Institución de Educación Superior.
Base de datos: Colección de archivos interrelacionados.
CAV: Central Antivirus.
Centro de cómputo: Salas de cómputo y/o salas de procesamiento de información que
cuenten con equipamiento de cómputo.
Centro de Operaciones: Es la dependencia que se encarga del funcionamiento y operación de
las Tecnologías de Información y comunicaciones de la IES.
Centro de telecomunicaciones: Espacio designado en la dependencia a los equipos de
telecomunicaciones y servidores. 7
Contraseña: Conjunto de caracteres que permite el acceso de un usuario a un recurso
informático.
Dependencia: Es toda Facultad, Escuela, Dirección, Subdirección, Departamento y Centro de
Investigaciones de la IES.
IES: Institución de Educación Superior
NOC: Network Operation Center.
Recurso informático: Cualquier componente físico o lógico de un sistema de información.
Red-IES: Equipos de cómputo, sistemas de información y redes de telemática de una
Institución de Educación Superior.

Página6

RSC-ANUIESNW: Red de Seguridad en Cómputo del consejo Regional Noroeste de la
ANUIES.
SII-IES: Sistema Institucional de Información de la Institución de Educación Superior.
Solución Antivirus: Recurso informático empleado en la IES para solucionar problemas con
virus.
TIC: Tecnologías de Información y Comunicaciones
Usuario: Cualquier persona que haga uso de los servicios proporcionados por la Institución de
Educación Superior, responsables de los equipos de cómputo, sistemas de información y
redes de telemática.

Virus informático: Pieza de código ejecutable con habilidad de reproducirse, regularmente
escondido en documentos electrónicos, que causan problemas al ocupar espacio de
almacenamiento, así como destrucción de datos y reducción del desempeño de un equipo de
cómputo.


Artículo 3. Frecuencia de evaluación de las políticas.

3.1 Se evaluarán las políticas del presente documento, con una frecuencia anual por la Red de
Seguridad en Cómputo del consejo regional Noroeste
3.2 Las políticas de cada Institución de Educación Superior serán evaluadas por el Área de
seguridad en cómputo de la IES con una frecuencia semestral.



Página7

CAPÍTULO 2
POLÍTICAS SEGURIDAD FÍSICA

Artículo 4. Acceso Físico

4.1 Todos los sistemas de comunicaciones estarán debidamente protegidos con infraestructura
apropiada de manera que el usuario no tenga acceso físico directo. Entendiendo por
sistema de comunicaciones: el equipo activo y los medios de comunicación.

4.2 Las visitas deben portar una identificación con un código de colores de acuerdo al área de

visita, que les será asignado por el centro de cómputo.

4.3 Las visitas internas o externas podrán acceder a las áreas restringidas siempre y cuando se
encuentren acompañadas cuando menos por un responsable del área con permiso de la
autoridad correspondiente.

4.4 Se deberán establecer horarios de acceso a instalaciones físicas, especificando los

procedimientos y en qué casos se deberá hacer excepciones.

4.5 Se debe definir qué personal está autorizado para mover, cambiar o extraer equipo de la
IES a través de identificaciones y formatos de E/S; y se debe informar de estas
disposiciones a personal de seguridad.


Artículo 5. Robo de Equipo



5.1 La IES deberá definir procedimientos para inventario físico, firmas de resguardo para
préstamos y usos dedicados de equipos de tecnología de información.
5.2 El resguardo de los equipos de comunicaciones deberá quedar bajo el área o persona que
los usa, permitiendo conocer siempre la ubicación física de los equipos.
5.3 El centro de operaciones, así como las áreas que cuenten con equipos de misión crítica
deberán contar con vigilancia y/o algún tipo de sistema que ayude a recabar evidencia de
accesos físicos a las instalaciones.

Artículo 6. Protección Física

6.1 Las puertas de acceso a las salas de cómputo deben ser preferentemente de vidrio
transparente, para favorecer el control del uso de los recursos de cómputo.
6.2 El centro de telecomunicaciones de la IES debe:

• Recibir limpieza al menos una vez por semana, que permita mantenerse libre de

polvo.

• Ser un área restringida.
• Estar libre de contactos e instalaciones eléctricas en mal estado
• Contar por lo menos con un extinguidor de incendio adecuado y cercano al centro

de telecomunicaciones.

6.3 El centro de telecomunicaciones deberá seguir los estándares vigentes para una protección
adecuada de los equipos de telecomunicaciones y servidores (Anexo 2).

Página8

6.4 Los sistemas de tierra física, sistemas de protección e instalaciones eléctricas del centro de
telecomunicaciones deberán recibir mantenimiento anual con el fin de determinar la efectividad
del sistema.
6.5 Cada vez que s