Propsito..................................................................................................................................... 1
Introduccin............................................................................................................................... 1
Objetivo ....................................................................................................................................... 1
Alcance ........................................................................................................................................ 2
Justificacin ................................................................................................................................ 2
Beneficios .................................................................................................................................... 2
Poltica ......................................................................................................................................... 2
Poltica ......................................................................................................................................... 3
Poltica ......................................................................................................................................... 7
Poltica ....................................................................................................................................... 14
Poltica ....................................................................................................................................... 17
Introduccin La base para que cualquier organizacin pueda operar de una forma
confiable en materia de Seguridad Informtica comienza con la
definicin de polticas y estndares adecuados.
Seguridad de Personal
Seguridad Fsica y Ambiental
Administracin de Operaciones de Cmputo
Controles de Acceso Lgico
Cumplimiento
Pgina 1
Alcance El documento define las Polticas y Estndares de Seguridad que
debern observar de manera obligatoria todos los usuarios para el
buen uso del equipo de cmputo, aplicaciones y servicios
informticos del Poder Judicial del Estado de Sinaloa.
1.2 Acuerdos de Todos los usuarios de bienes y servicios informticos del Supremo
uso y Tribunal de Justicia debern conducirse conforme a los principios
confidencialidad de confidencialidad y uso adecuado de los recursos informticos y
de informacin del Poder Judicial del Estado de Sinaloa, as como
comprometerse a cumplir con lo establecido en el Manual de
Pgina 2
Polticas y Estndares de Seguridad Informtica para Usuarios.
Pgina 3
fuga de la informacin del Poder Judicial que se encuentre
almacenada en los equipos de cmputo personal que tenga
asignados.
2.2. Controles de 2.2.1. Cualquier persona que tenga acceso a las instalaciones del
acceso fsico Poder Judicial del Estado de Sinaloa, deber registrar en el Sistema
de Ingreso (cuando ya se encuentre instalado), el equipo de
cmputo, equipo de comunicaciones, medios de almacenamiento y
herramientas que no sean propiedad del Poder Judicial del Estado
de Sinaloa, el cual podrn retirar el mismo da, sin necesidad de
trmite alguno.
2.3. Seguridad en Los Centros de Cmputo del Poder Judicial del Estado son reas
reas de trabajo restringidas, por lo que slo el personal autorizado por la Direccin
puede acceder a ellos.
2.4. Proteccin y 2.4.1. Los usuarios no deben mover o reubicar los equipos de
ubicacin de los cmputo o de telecomunicaciones, instalar o desinstalar
equipos dispositivos, ni retirar sellos de los mismos sin la autorizacin de la
Direccin, debindose solicitar a la misma en caso de requerir este
servicio.
Pgina 4
2.4.4. Ser responsabilidad del usuario solicitar la capacitacin
necesaria para el manejo de las herramientas informticas que se
utilizan en su equipo, a fin de evitar riesgos por mal uso y para
aprovechar al mximo las mismas.
2.4.7. Se debe evitar colocar objetos encima del equipo o cubrir los
orificios de ventilacin del monitor o del gabinete.
2.6. Prdida o 2.6.1. El usuario que tenga bajo su resguardo algn equipo de
transferencia de cmputo ser responsable de su uso y custodia; en consecuencia,
equipo responder por dicho bien de acuerdo a la normatividad vigente en
los casos de robo, extravo o prdida del mismo.
Pgina 6
2.8. Dao del El equipo de cmputo o cualquier recurso de tecnologa de
equipo informacin que sufra alguna descompostura por maltrato,
descuido o negligencia por parte del usuario, deber cubrir el valor
de la reparacin o reposicin del equipo o accesorio afectado. Para
tal caso la determinar la causa de dicha descompostura.
Los usuarios del Poder Judicial del Estado de Sinaloa que hagan
uso de equipo de cmputo, deben conocer y aplicar las medidas
para la prevencin de cdigo malicioso como pueden ser virus,
malware o spyware. El usuario puede acudir a la Direccin , o al
representante de sta en su zona, para solicitar asesora.
Pgina 7
para que dichos asesores determinen el medio en que se realizar
dicho respaldo.
3.1.5. Las actividades que realicen los usuarios del Poder Judicial
del Estado de Sinaloa en la infraestructura de Tecnologa de la
Informacin son registradas y susceptibles de auditora.
3.2. Instalacin 3.2.1. Los usuarios que requieran la instalacin de software que no
de Software sea propiedad del Poder Judicial del Estado de Sinaloa, debern
justificar su uso y solicitar su autorizacin a la Direccin, a travs de
un oficio firmado por el titular del rea de su adscripcin,
indicando el equipo de cmputo donde se instalar el software y el
perodo que permanecer dicha instalacin, siempre y cuando el
dueo del software presente la factura de compra de dicho
software.
Pgina 8
estaciones de trabajo, servidores, o cualquier equipo conectado a
la red del Poder Judicial del Estado de Sinaloa, que no est
autorizado por la Direccin.
3.4. Los usuarios de las reas del Poder Judicial del Estado de Sinaloa
Administracin no deben establecer redes de rea local, conexiones remotas a
de la redes internas o externas, intercambio de informacin con otros
configuracin equipos de cmputo utilizando el protocolo de transferencia de
archivos (FTP), u otro tipo de protocolo para la transferencia de
informacin empleando la infraestructura de red del Poder Judicial
del Estado de Sinaloa, sin la autorizacin por escrito de la
Direccin.
Pgina 9
3.6. Uso del 3.6.1. Los usuarios no deben usar cuentas de correo electrnico
correo asignadas a otras personas, ni recibir mensajes en cuentas de otros.
electrnico Si fuera necesario leer el correo de alguien ms (mientras esta
persona se encuentra fuera o ausente), el usuario ausente debe
redireccionar el correo a otra cuenta de correo interno, quedando
prohibido hacerlo a una direccin de correo electrnico externa al
Poder Judicial del Estado de Sinaloa, a menos que cuente con la
autorizacin del titular del rea de adscripcin.
Pgina 10
3.6.6. La asignacin de una cuenta de correo electrnico externo,
deber solicitarse por escrito a la Direccin o al representante de
sta en su zona , sealando los motivos por los que se desea el
servicio. Esta solicitud deber contar con el visto bueno del titular
del rea que corresponda.
3.7. Controles 3.7.1. Para prevenir infecciones por virus informticos, los usuarios
contra cdigo del Poder Judicial del Estado de Sinaloa, deben evitar hacer uso de
malicioso cualquier clase de software que no haya sido proporcionado y
validado por la Direccin.
3.7.2. Los usuarios del Poder Judicial del Estado de Sinaloa, deben
verificar que la informacin y los medios de almacenamiento,
considerando al menos memorias USB, discos flexibles, CDs, estn
libres de cualquier tipo de cdigo malicioso, para lo cual deben
ejecutar el software antivirus autorizado por la Direccin.
3.7.4. Ningn usuario del Poder Judicial del Estado de Sinaloa debe
intencionalmente escribir, generar, compilar, copiar, propagar,
ejecutar o tratar de introducir cdigo de computadora diseado
para autoreplicarse, daar o en otros casos impedir el
funcionamiento de cualquier memoria de computadora, archivos
de sistema o software. Tampoco debe probarlos en cualquiera de
los ambientes o plataformas del Poder Judicial del Estado de
Sinaloa. El incumplimiento de este estndar ser considerado una
falta grave.
Pgina 11
3.7.5. Ningn usuario ni empleado del Poder Judicial del Estado de
Sinaloa o personal externo podr bajar o descargar software de
sistemas, boletines electrnicos, sistemas de correo electrnico, de
mensajera instantnea y redes de comunicaciones externas, sin la
debida autorizacin de la Direccin de Tecnologas de Informacin
y Comunicaciones del Supremo Tribunal de Justicia.
Antivirus;
Correo electrnico;
Paquetera Office;
Navegadores; u
Otros programas.
3.8. Permisos de 3.8.1. El acceso a internet provisto a los usuarios del Poder Judicial
uso de Internet del Estado de Sinaloa es exclusivamente para las actividades
relacionadas con las necesidades del puesto y funcin que
desempea. En caso de dao a la imagen de la institucin se
proceder de acuerdo a lo que determine el rgano Interno de
Control del Supremo Tribunal de Justicia del Estado de Sinaloa.
Pgina 12
3.8.2. La asignacin del servicio de internet, deber solicitarse por
escrito a la Direccin, sealando los motivos por los que se desea
el servicio. Esta solicitud deber contar con el visto bueno del
titular del rea correspondiente.
3.8.4. Los usuarios con acceso a Internet del Poder Judicial del
Estado de Sinaloa tienen que reportar todos los incidentes de
seguridad informtica a la, inmediatamente despus de su
identificacin, indicando claramente que se trata de un incidente
de seguridad informtica.
Pgina 13
las pginas que as deseen, as como realizar descargas de
informacin multimedia en sus diferentes presentaciones y
acceso total a servicios de mensajera instantnea.
Pgina 14
4.1.2. Est prohibido que los usuarios utilicen la infraestructura
tecnolgica del Poder Judicial del Estado para obtener acceso no
autorizado a la informacin u otros sistemas de informacin del
Poder Judicial del Estado de Sinaloa.
4.3. Equipo Los usuarios debern mantener sus equipos de cmputo con
desatendido controles de acceso como contraseas y protectores de pantalla
(previamente instalados y autorizados por la Direccin, como una
medida de seguridad cuando el usuario necesita ausentarse de su
escritorio por un tiempo.
Pgina 16
Deben ser difciles de adivinar, esto implica que las
contraseas no deben relacionarse con el trabajo o la vida
personal del usuario; y
4.5. Control de 4.5.1. Est prohibido el acceso a redes externas por va de cualquier
accesos remotos dispositivo, cualquier excepcin deber ser documentada y contar
con el visto bueno de la Direccin.
Pgina 17
5.1. Derechos de 5.1.1. Est prohibido por las leyes de derechos de autor y por el
Propiedad Poder Judicial del Estado de Sinaloa, realizar copia no autorizadas
Intelectual de software, ya sea adquirido o desarrollado por el Poder Judicial
del Estado de Sinaloa.
5.3.3. Ningn usuario del Poder Judicial del Estado debe probar o
intentar probar fallas de la Seguridad Informtica identificadas o
conocidas, a menos que estas pruebas sean controladas y
aprobadas por la Direccin.
Pgina 18
copiar, coleccionar, propagar, ejecutar, introducir cualquier tipo de
cdigo (programa) conocidos como virus, malware, spyware, o
similares diseado para autoreplicarse, daar, afectar el
desempeo, acceso a las computadoras, redes e informacin del
Poder Judicial del Estado.
Para los efectos del presente manual, se escribe el presente glosario de trminos:
GLOSARIO DE TRMINOS
TRMINO SIGNIFICADO
(A)
Acceso Es el privilegio de una persona para utilizar un objeto o
infraestructura.
Acceso Fsico Es la actividad de ingresar a un rea.
Acceso Lgico Es la habilidad de comunicarse y conectarse a un activo
tecnolgico para utilizarlo.
Acceso Remoto Conexin de dos dispositivos de cmputo ubicados en diferentes
lugares fsicos por medio de lneas de comunicacin, ya sean
telefnicas o por medio de redes de rea amplia, que permiten el
acceso de aplicaciones e informacin de la red. Este tipo de acceso
normalmente viene acompaado de un sistema robusto de
autenticacin.
Antivirus Programa que busca y eventualmente elimina los virus informticos
que pueden haber infectado un disco rgido, o cualquier sistema de
almacenamiento electrnico de informacin.
Ataque Actividades encaminadas a quebrantar las protecciones
establecidas de un activo especfico, con la finalidad de obtener
acceso a ese archivo y lograr afectarlo.
(B)
Base de datos Coleccin almacenada de datos relacionados, requeridos por las
organizaciones e individuos para que cumplan con los
requerimientos de proceso de informacin y recuperacin de
datos.
(C)
Confidencialidad Se refiere a la obligacin de los servidores judiciales a no divulgar
Pgina 19
informacin a personal no autorizado para su conocimiento.
Pgina 20
propagacin, el gusano desarrolla en los sistemas de cmputo
funciones no deseadas.
(H)
Hardware Se refiere a las caractersticas tcnicas y fsicas de las
computadoras.
Herramientas de Son mecanismos de seguridad automatizados que sirven para
seguridad proteger o salvaguardar a la infraestructura tecnolgica de una
Comisin.
(I)
Identificador de Nombre de usuario (tambin referido como UserID) nico asignado
Usuario a un servidor judicial para el acceso a equipos y sistemas
desarrollados, permitiendo su identificacin en los registros.
Impacto Magnitud del dao ocasionado a un activo en caso de que se
materialice.
Cualquier evento que represente un riesgo para la adecuada
Incidente de
conservacin de confidencialidad, integridad o disponibilidad de la
Seguridad
informacin utilizada en el desempeo de nuestra funcin.
Integridad Se refiere a la prdida deficiencia en la autorizacin, totalidad
exactitud de la informacin de la organizacin. Es un principio de
seguridad que asegura que la informacin y los sistemas de
informacin no sean modificados de forma intencional.
Internet Es un sistema a nivel mundial de computadoras conectadas a una
misma red, conocida como la red de redes (world wide web) en
donde cualquier usuario consulta informacin de otra
computadora conectada a esta red e incluso sin tener permisos.
Intrusin Es la accin de introducirse o acceder sin autorizacin a un activo.
(M)
Maltrato Son todas aquellas acciones que de manera voluntaria o
involuntaria el usuario ejecuta y como consecuencia daa los
recursos tecnolgicos propiedad del Supremo Tribunal de Justicia.
Se contemplan dentro de ste al descuido y la negligencia.
Malware Cdigo malicioso desarrollado para causar daos en equipos
informticos, sin el consentimiento del propietario. Dentro de estos
cdigos se encuentran: virus, spyware, troyanos, rootkits, backdoors,
adware y gusanos.
Mecanismos de Es un control manual o automtico para proteger la informacin,
seguridad o de activos tecnolgicos, instalaciones, etc. que se utiliza para disminuir
Pgina 21
control la probabilidad de que una vulnerabilidad exista, sea explotada, o
bien ayude a reducir el impacto en caso de que sea explotada.
Medios de Son todos aquellos medios en donde se pueden almacenar
almacenamiento cualquier tipo de informacin (diskettes, CDs, DVDs, etc.)
magnticos
Mdem Es un aparato electrnico que se adapta una terminal o
computadora y se conecta a una red de. Los mdems convierten
los pulsos digitales de una computadora en frecuencias dentro de
la gama de audio del sistema telefnico.
Cuando acta en calidad de receptor, un mdem decodifica las
frecuencias entrantes.
(N)
Necesidad de Es un principio o base de seguridad que declara que los usuarios
saber principio deben tener exclusivamente acceso a la informacin, instalaciones
o recursos tecnolgicos de informacin entre otros que necesitan
para realizar o completar su trabajo cumpliendo con sus roles y
responsabilidades dentro de la Comisin.
Normatividad Conjunto de lineamientos que debern seguirse de manera
obligatoria para cumplir un fin dentro de una organizacin.
(P)
Password Vase Contrasea.
(R)
Respaldo Archivos, equipo, datos y procedimientos disponibles para el uso
en caso de una falla o prdida, si los originales se destruyen o
quedan fuera de servicio.
Riesgo Es el potencial de que una amenaza tome ventaja de una debilidad
de seguridad (vulnerabilidad) asociadas con un activo,
comprometiendo la seguridad de ste. Usualmente el riesgo se
mide por el impacto que tiene.
(S)
Servidor Computadora que responde peticiones o comandos de una
computadora cliente. El cliente y el servidor trabajan
conjuntamente para llevar a cabo funciones de aplicaciones
distribuidas.
El servidor es el elemento que cumple con la colaboracin en la
arquitectura cliente-servidor.
Sitio Web El sitio web es un lugar virtual en el ambiente de internet, el cual
Pgina 22
proporciona informacin diversa para el inters del pblico, donde
los usuarios deben proporcionar la direccin de dicho lugar para
llegar a l.
Software Programas y documentacin de respaldo que permite y facilita el
uso de la computadora. El software controla la operacin del
hardware.
Spyware Cdigo malicioso desarrollado para infiltrar a la informacin de un
equipo o sistema con la finalidad de extraer informacin sin la
autorizacin del propietario.
(U)
UserID Vase Identificador de Usuario.
Usuario Este trmino es utilizado para distinguir a cualquier persona que
utiliza algn sistema, computadora personal o dispositivo
(hardware).
(V)
Virus Programas o cdigos maliciosos diseados para esparcirse y
copiarse de una computadora a otra por medio de los enlaces de
telecomunicaciones o al compartir archivos o medios de
almacenamiento magntico de computadoras.
Vulnerabilidad Es una debilidad de seguridad o brecha de seguridad, la cual indica
que el activo es susceptible a recibir un dao a travs de un ataque,
ya sea intencional o accidental.
Pgina 23