MANUAL DE POLITICAS Y ESTANDARES DE SEGURIDAD INFORMATICA

Propsito: El presente documento tiene como finalidad dar a conocer las polticas y estndares de Seguridad Informtica que debern observar los usuarios de servicios de tecnologas de informacin, para proteger adecuadamente los activos tecnolgicos y la informacin Axpress. Introduccin: La base para que cualquier organizacin pueda operar de una forma confiable en materia de Seguridad Informtica comienza con la definicin de polticas y estndares adecuados. La Seguridad Informtica es una funcin en la que se deben evaluar y administrar los riesgos, basndose en polticas y estndares que cubran las necesidades de Axpress, en materia de seguridad. Este documento se encuentra estructurado en cinco polticas generales de seguridad para usuarios de informtica, con sus respectivos estndares que consideran los siguientes puntos: Seguridad de Personal Seguridad Fsica y Ambiental Administracin de Operaciones de Cmputo Controles de Acceso Lgico Cumplimiento Objetivo: Establecer y difundir las Polticas y Estndares de Seguridad Informtica a todo el personal Axpress, para que sea de su conocimiento y cumplimiento en los recursos informticos asignados. Alcance: El documento define las Polticas y Estndares de Seguridad que debern observar de manera obligatoria todos los usuarios para el buen uso del equipo de cmputo, aplicaciones y servicios informticos Axpress. Justificacin: La Direccin de Informacin Tecnologa de Axpress est facultada para definir Polticas y Estndares en materia informtica. Sanciones por Incumplimiento: El incumplimiento al presente Manual podr presumirse como causa de responsabilidad administrativa y/o penal, dependiendo de su naturaleza y gravedad, cuya sancin ser aplicada por las autoridades competentes. Beneficios: Las Polticas y Estndares de Seguridad Informtica establecidos dentro de este documento son la base para la proteccin de los activos tecnolgicos e informacin de Axpress.

1. POLTICAS Y ESTNDARES DE SEGURIDAD DEL PERSONAL Poltica: Todos los usuarios de bienes y servicios informticos se comprometen a conducirse bajo los principios de confidencialidad de la informacin y de uso adecuado de los recursos informticos de Axpress, as como el estricto apego al Manual de Polticas y Estndares de Seguridad Informtica para usuarios. 1.1. Obligaciones De los Usuarios: Es responsabilidad de los usuarios de bienes y servicios informticos cumplir las Polticas y Estndares de Seguridad Informtica para Usuarios del presente manual. 1.2 Acuerdos de uso y confidencialidad Todos los usuarios de bienes y servicios informticos de Aexpress debern conducirse conforme a los principios de confidencialidad y uso adecuado de los recursos informticos y de informacin, as como comprometerse a cumplir con lo establecido en el Manual de Polticas y Estndares de Seguridad Informtica para Usuarios. 1.3. Entrenamiento en Seguridad Informtica Todo empleado de Axpress de nuevo ingreso deber: Leer el Manual de Polticas y Estndares de Seguridad Informtica para Usuarios Axpress , el cual se encuentra disponible en el listado maestro, donde se dan a conocer las obligaciones para los usuarios y las sanciones que pueden aplicar en caso de incumplimiento. 1.4. Medidas disciplinarias 1.4.1. Cuando la Direccin identifique el incumplimiento al presente Manual remitir el reporte o denuncia correspondiente al rgano Interno de Control, para los efectos de su competencia y atribuciones.

2.-POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL Poltica Los mecanismos de control y acceso fsico para el personal y terceros deben permitir el acceso a las instalaciones y reas restringidas Axpress, slo a personas autorizadas para la salvaguarda de los equipos de cmputo y de comunicaciones, as como las instalaciones y el Datacenter de Axpress. 2.1 Resguardo y proteccin de la informacin 2.1.1. El usuario deber reportar de forma inmediata a la Direccion Administrativa, cuando detecte que existan riesgos reales o potenciales para equipos de cmputo o comunicaciones, como pueden ser fugas de agua, riesgo de incendio u otros. 2.1.2. El usuario tiene la obligacin de proteger los CD-ROM, DVDs, memorias USB, tarjetas de memoria, discos externos, computadoras y dispositivos porttiles que se encuentren bajo su administracin, aun cuando no se utilicen y contengan informacin reservada o confidencial. 2.1.3. Es responsabilidad del usuario evitar en todo momento la fuga de la informacin de Axpress que se encuentre almacenada en los equipos de cmputo personal que tenga asignados. 2.2. Controles de acceso fsico 2.2.1. Cualquier persona que tenga acceso a las instalaciones Axpress , deber registrar en el Sistema de Ingreso, el equipo de cmputo, equipo de comunicaciones, medios de almacenamiento y herramientas que no sean propiedad Axpress , el cual podrn retirar el mismo da, sin necesidad de trmite alguno. En caso de que el equipo que no es propiedad Axpress, permanezca dentro de la institucin ms de un da hbil, es necesario que el responsable del rgano Axpress en el que trabaja el dueo del equipo, elabore y firme oficio de autorizacin de salida. 2.2.2. Todos los funcionarios operativos, administrativos, y terceros de otras empresas desarrollando una labor especifica en las instalaciones de Axpress, debern registrar la entrada y salida de las instalaciones cuantas veces los efecte en el control de acceso Biomtrico2.3. Seguridad en reas de trabajo El Centro de Cmputo de Axpress: son reas restringidas, por lo que slo el personal autorizado por la Direccin I.T. puede acceder a ellos. 2.4. Proteccin y ubicacin de los equipos 2.4.1. Los usuarios no deben mover o reubicar los equipos de cmputo o de telecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorizacin de la Direccin, debindose solicitar a la misma en caso de requerir este servicio. 2.4.2. El rea de soporte tcnico de la Direccin ser la encargada de generar el resguardo y recabar la firma del usuario informtico como responsable de los activos informticos que se le asignen y de conservarlos en la ubicacin autorizada por la Direccin. 2.4.3. El equipo de cmputo asignado, deber ser para uso exclusivo de las funciones asignadas al usuario Axpress. 2.4.4. Ser responsabilidad del usuario solicitar la capacitacin necesaria para el manejo de las herramientas informticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para aprovechar al mximo las mismas. 2.4.5. Es responsabilidad de los usuarios almacenar su informacin nicamente en el directorio de trabajo que se le asigne, ya que los otros estn destinados para archivos de programas y sistema operativo. 2.4.6. Mientras se permanece en la estacin de trabajo y opera el equipo de cmputo, no se debern consumir alimentos o ingerir lquidos. 2.4.7. Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilacin del monitor o de la CPU. 2.4.8. Se debe mantener el equipo informtico en un entorno limpio y sin humedad. 2.4.9. El usuario debe asegurarse que los cables de conexin no sean pisados o aplastados al colocar otros objetos encima o contra ellos. 2.4.10. Cuando se requiera realizar cambios mltiples del equipo de cmputo derivado de reubicacin de lugares fsicos de trabajo, stos debern ser notificados con una semana de anticipacin a la Direccin a travs de un plan detallado de movimientos debidamente autorizados por el titular del rea que corresponda. 2.4.11. Queda prohibido que el usuario abra o desarme los equipos de cmputo, porque con ello perdera la garanta que proporciona el proveedor de dicho equipo.2.4.12. Queda prohibido ingresar a la estaciones de trabajo del rea operativa y Call Center con bolsos, maletas, chaquetas, y dispositivos de almacenamiento externo.2.5. Mantenimiento de equipo 2.5.1. nicamente el personal autorizado de la Direccin podr llevar a cabo los servicios y reparaciones al equipo informtico, por lo que los usuarios debern solicitar la identificacin del personal designado antes de permitir el acceso a sus equipos. 2.5.2. Los usuarios debern asegurarse de respaldar la informacin que considere relevante cuando el equipo sea enviado a reparacin y borrar aquella informacin sensible que se encuentre en el equipo previendo as la prdida involuntaria de informacin, derivada de proceso de reparacin, solicitando la asesora del personal de la Direccin. 2.6. Prdida o transferencia de equipo 2.6.1. El usuario que tenga bajo su resguardo algn equipo de cmputo ser responsable de su uso y custodia; en consecuencia, responder por dicho bien de acuerdo a la normatividad vigente en los casos de robo, extravo o prdida del mismo. 2.6.2. El resguardo para las laptops, tiene el carcter de personal y ser intransferible. Por tal motivo, queda prohibido su prstamo. 2.6.3. El usuario deber dar aviso de inmediato a la Direccin de la desaparicin, robo o extravo del equipo de cmputo o accesorios bajo su resguardo. 2.7. Uso de dispositivos especiales 2.7.1. El uso de los grabadores de discos compactos es exclusivo para respaldos de informacin que por su volumen as lo justifiquen. 2.7.2. La asignacin de este tipo de equipo ser previa justificacin por escrito y autorizacin del titular o jefe inmediato correspondiente. 2.7.3. El usuario que tenga bajo su resguardo este tipo de dispositivos ser responsable del buen uso que se le d. 2.7.4. Los mdems internos debern existir solo en las computadoras porttiles y no se debern utilizar dentro de las instalaciones de la compaa para conectarse a ningn servicio de informacin externo, excepto cuando lo autorice la Direccin. 2.8. Dao del equipo: El equipo de cmputo o cualquier recurso de tecnologa de informacin que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario, deber cubrir el valor de la reparacin o reposicin del equipo o accesorio afectado. Para tal caso la determinar la causa de dicha descompostura. 3. POLTICAS, ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE OPERACIONES DE CMPUTO Poltica: Los usuarios debern utilizar los mecanismos institucionales para proteger la informacin que reside y utiliza la infraestructura de Axpress. De igual forma, debern proteger la informacin reservada o confidencial que por necesidades institucionales deba ser almacenada o transmitida, ya sea dentro de la red interna Axpress o hacia redes externas como internet. Los usuarios Axpress que hagan uso de equipo de cmputo, deben conocer y aplicar las medidas para la prevencin de cdigo malicioso como pueden ser virus, malware o spyware. El usuario puede acudir a la Direccin, o al representante de sta en su zona, para solicitar asesora. 3.1. Uso de medios de almacenamiento 3.1.1. Toda solicitud para utilizar un medio de almacenamiento de informacin compartido, deber contar con la autorizacin de la Direccion I.T. o Jefatura I.T.. Dicha solicitud deber explicar en forma clara y concisa los fines para los que se otorgar la autorizacin, ese documento se presentar con firma de la Direccin. 3.1.2. Los usuarios debern respaldar de manera peridica la informacin sensible y crtica que se encuentre en sus computadoras personales o estaciones de trabajo, solicitando asesora de la Direccin o al representante de sta en su zona, para que dichos asesores determinen el medio en que se realizar dicho respaldo. 3.1.3. En caso de que por el volumen de informacin se requiera algn respaldo en CD, este servicio deber solicitarse por escrito al Titular de la Direccin, y deber contar con la firma del titular del rea de adscripcin del solicitante. 3.1.4. Los trabajadores Axpress deben conservar los registros o informacin que se encuentra activa y aquella que ha sido clasificada como reservada o confidencial, de conformidad a las disposiciones que emita la Unidad de Acceso a la Informacin Pblica Axpress, en trminos de Ley de Acceso a la Informacin pblica, Acuerdo General que establece el rgano, y dems criterios y procedimientos establecidos en esta materia. 3.1.5. Las actividades que realicen los usuarios Axpress en la infraestructura de Tecnologa de la Informacin son registradas y susceptibles de auditora. 3.2. Instalacin de Software 3.2.1. Los usuarios que requieran la instalacin de software que no sea propiedad de Axpress, debern justificar su uso y solicitar su autorizacin a la Direccin, a travs de un oficio firmado por el titular del rea de su adscripcin, indicando el equipo de cmputo donde se instalar el software y el perodo que permanecer la instalacin, siempre y cuando el dueo del software presente la factura de compra del software. Si el dueo del software no presenta la factura de compra del software, el personal asignado por la Direccin proceder de manera inmediata a desinstalar el software. 3.2.2. Se considera una falta grave el que los usuarios instalen cualquier tipo de programa (software) en sus computadoras, estaciones de trabajo, servidores, o cualquier equipo conectado a la red de Axpress, que no est autorizado por la Direccin.

3.3. Identificacin del incidente 3.3.1. El usuario que sospeche o tenga conocimiento de la ocurrencia de un incidente de seguridad informtica deber reportarlo a la Direccin o al representante de sta en su zona, lo antes posible, indicando claramente los datos por los cuales lo considera un incidente de seguridad informtica. 3.3.2.Cuando exista la sospecha o el conocimiento de que informacin confidencial o reservada ha sido revelada, modificada, alterada o borrada sin la autorizacin de las unidades administrativas competentes, el usuario informtico deber notificar al titular de su adscripcin. 3.3.3. Cualquier incidente generado durante la utilizacin u operacin de los activos de tecnologa de informacin Axpress, debe ser reportado a la Direccin. 3.4. Administracin de la configuracin Los usuarios de las reas Axpress no deben establecer redes de rea local, conexiones remotas a redes internas o externas, intercambio de informacin con otros equipos de cmputo utilizando el protocolo de transferencia de archivos (FTP), u otro tipo de protocolo para la transferencia de informacin empleando la infraestructura de red Axpress, sin la autorizacin por escrito de la Direccin. 3.5. Seguridad de la red Ser considerado como un ataque a la seguridad informtica y una falta grave, cualquier actividad no autorizada por la Direccin en la cual los usuarios realicen la exploracin de los recursos informticos en la red Axpress , as como de las aplicaciones que sobre dicha red operan, con fines de detectar y mostrar una posible vulnerabilidad. 3.6. Uso del correo electrnico 3.6.1. Los usuarios no deben usar cuentas de correo electrnico asignadas a otras personas, ni recibir mensajes en cuentas de otros. Si fuera necesario leer el correo de alguien ms (mientras esta persona se encuentra fuera o ausente), el usuario ausente debe re direccionar el correo a otra cuenta de correo interno, quedando prohibido hacerlo a una direccin de correo electrnico externa al Poder Judicial , a menos que cuente con la autorizacin del titular del rea de adscripcin. 3.6.2. Los usuarios deben tratar los mensajes de correo electrnico y archivos adjuntos como informacin que es propiedad Axpress (si es propiedad Axpress es informacin pblica). Los mensajes de correo electrnico deben ser manejados como una comunicacin privada y directa entre emisor y receptor. 3.6.3. Los usuarios no podrn enviar informacin reservada y/o confidencial a travs del correo institucional que le proporcion la Direccin.3.6.4. La Direccion, se reserva el derecho de acceder y revelar todos los mensajes enviados por este medio para cualquier propsito y revisar las comunicaciones va correo electrnico de personal que ha comprometido la seguridad violando polticas de Seguridad Informtica Axpress o realizado acciones no autorizadas. Como la informacin del correo electrnico institucional Axpress es privada, la nica forma en la que puede ser revelada es mediante una orden judicial. 3.6.5. El usuario debe de utilizar el correo electrnico de Axpress , nica y exclusivamente para los recursos que tenga asignados y las facultades que les hayan sido atribuidas para el desempeo de su empleo, cargo o comisin, quedando prohibido cualquier otro uso distinto. 3.6.6. La asignacin de una cuenta de correo electrnico externo, deber solicitarse por escrito a la Direccin o al representante de sta en su zona, sealando los motivos por los que se desea el servicio. Esta solicitud deber contar con el visto bueno del titular del rea que corresponda. 3.6.7. Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un usuario de correo electrnico. 3.7. Controles contra cdigo malicioso 3.7.1. Para prevenir infecciones por virus informticos, los usuarios Axpress, deben evitar hacer uso de cualquier clase de software que no haya sido proporcionado y validado por la Direccin. 3.7.2. Los usuarios Axpress, deben verificar que la informacin y los medios de almacenamiento, considerando al menos memorias USB, discos flexibles, CD, estn libres de cualquier tipo de cdigo malicioso, para lo cual deben ejecutar el software antivirus autorizado por la Direccin. 3.7.3. El usuario debe verificar mediante el software de antivirus autorizado por la Direccin que estn libres de virus todos los archivos de computadora, bases de datos, documentos u hojas de clculo, etc. que sean proporcionados por personal externo o interno, considerando que tengan que ser descomprimidos. 3.7.4. Ningn usuario Axpress debe intencionalmente escribir, generar, compilar, copiar, propagar, ejecutar o tratar de introducir cdigo de computadora diseado para autoreplicarse, daar o en otros casos impedir el funcionamiento de cualquier memoria de computadora, archivos de sistema o software. Tampoco debe probarlos en cualquiera de los ambientes o plataformas de Axpress. El incumplimiento de este estndar ser considerado una falta grave. 3.7.5. Ningn usuario ni empleado de Axpress o personal externo podr bajar o descargar software de sistemas, boletines electrnicos, sistemas de correo electrnico, de mensajera instantnea y redes de comunicaciones externas, sin la debida autorizacin de la Direccin de Informacin y Tecnologas. 3.7.6. Cualquier usuario que sospeche de alguna infeccin por virus de computadora, deber dejar de usar inmediatamente el equipo y llamar a la Direccin para la deteccin y erradicacin del virus. 3.7.7. Cada usuario que tenga bajo su resguardo algn equipo de cmputo personal porttil, ser responsable de solicitar de manera peridica a la Direccin las actualizaciones del software de antivirus. 3.7.8. Los usuarios no debern alterar o eliminar las configuraciones de seguridad para detectar y/o prevenir la propagacin de virus que sean implantadas por la Direccin en programas tales como: Antivirus; Correo electrnico; Paquetera Office; Navegadores; u Otros programas. 3.7.9. Debido a que algunos virus son extremadamente complejos, ningn usuario Axpress debe intentar erradicarlos de las computadoras, lo indicado es llamar al personal de la Direccin para que sean ellos quienes lo solucionen. 3.8. Permisos de uso de Internet 3.8.1. El acceso a internet provisto a los usuarios Axpress es exclusivamente para las actividades relacionadas con las necesidades del puesto y funcin que desempea. La asignacin del servicio de internet, deber solicitarse por escrito a la Direccin, sealando los motivos por los que se desea el servicio. Esta solicitud deber contar con el visto bueno del titular del rea correspondiente. 3.8.3. Todos los accesos a internet tienen que ser realizados a travs de los canales de acceso provistos por Axpress. 3.8.4. Los usuarios con acceso a Internet de Axpress tienen que reportar todos los incidentes de seguridad informtica a la Direccion, inmediatamente despus de su identificacin, indicando claramente que se trata de un incidente de seguridad informtica. 3.8.5. El acceso y uso de la conexin WiFi de Axpress tiene que ser previamente autorizado por la Direccin. 3.8.7. Los usuarios con servicio de navegacin en internet al utilizar el servicio aceptan que: Sern sujetos de monitoreo de las actividades que realizan en internet. Saben que existe la prohibicin al acceso de pginas no autorizadas. Saben que existe la prohibicin de transmisin de archivos reservados o confidenciales no autorizados. Saben que existe la prohibicin de descarga de software sin la autorizacin de la Direccin. La utilizacin de internet es para el desempeo de su funcin y puesto en Axpress y no para propsitos personales. 3.8.8. Los esquemas de permisos de acceso a internet y servicios de mensajera instantnea son: NIVEL 1: Sin restricciones: Los usuarios podrn navegar en las pginas que as deseen, as como realizar descargas de informacin multimedia en sus diferentes presentaciones y acceso total a servicios de mensajera instantnea interna. NIVEL 2: Internet restringido y mensajera instantnea: Los usuarios podrn hacer uso de internet y servicios de mensajera instantnea interna, aplicndose las polticas de seguridad y navegacin. NIVEL 3: Internet restringido y sin mensajera instantnea interna: Los usuarios slo podrn hacer uso de internet aplicndose las polticas de seguridad y navegacin NIVEL 4: El usuario no tendr acceso a Internet, y tendra acceso a servicios de mensajera instantnea interna. 4. POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICO Poltica: Cada usuario es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, de su identificador de usuario (userID) y contrasea (password) necesarios para acceder a la informacin y a la infraestructura tecnolgica Axpress, por lo cual deber mantenerlo de forma confidencial. La Direccion de I.T. , es el nico que puede otorgar la autorizacin para que se tenga acceso a la informacin que se encuentra en la infraestructura tecnolgica Axpress , otorgndose los permisos mnimos necesarios para el desempeo de sus funciones, con apego al principio Necesidad de saber. 4.1. Controles de acceso lgico 4.1.1. El acceso a la infraestructura tecnolgica Axpress para personal externo debe ser autorizado al menos por un titular de rea Axpress, quien deber notificarlo por oficio a la Direccin, quien lo habilitar. 4.1.2. Est prohibido que los usuarios utilicen la infraestructura tecnolgica de Axpress para obtener acceso no autorizado a la informacin u otros sistemas de informacin de Axpress. 4.1.3. Todos los usuarios de servicios de informacin son responsables por su identificador de usuario y contrasea que recibe para el uso y acceso de los recursos. 4.1.4. Todos los usuarios debern autenticarse por los mecanismos de control de acceso provistos por la Direccin antes de poder usar la infraestructura tecnolgica Axpress. 4.1.5. Los usuarios no deben proporcionar informacin a personal externo, de los mecanismos de control de acceso a las instalaciones e infraestructura tecnolgica Axpress, a menos que se tenga autorizacin de la Direccin. 4.1.6. Cada usuario que accede a la infraestructura tecnolgica Axpress debe contar con un identificador de usuario nico y personalizado, por lo cual no est permitido el uso de un mismo identificador de usuario por varios usuarios. 4.1.7. Los usuarios tienen prohibido compartir su identificador de usuario y contrasea, ya que todo lo que ocurra con ese identificador y contrasea ser responsabilidad exclusiva del usuario al que pertenezcan, salvo prueba de que le fueron usurpados esos controles. 4.1.8. Los usuarios tienen prohibido usar el identificador de usuario y contrasea de otros, aunque ellos les insistan en usarlo. 4.2. Administracin de privilegios 4.2.1. Cualquier cambio en los roles y responsabilidades de los usuarios que modifique sus privilegios de acceso a la infraestructura tecnolgica Axpress , debern ser notificados por escrito o va correo electrnico a la Direccin con el visto bueno del titular del rea solicitante, para realizar el ajuste. 4.3. Equipo desatendido Los usuarios debern mantener sus equipos de cmputo con controles de acceso como contraseas y protectores de pantalla (previamente instalados y autorizados por la Direccin, como una medida de seguridad cuando el usuario necesita ausentarse de su escritorio por un tiempo. 4.4. Administracin y uso de contraseas 4.4.1. La asignacin de la contrasea para acceso a la red y la contrasea para acceso a sistemas, debe ser realizada de forma individual, por lo que queda prohibido el uso de contraseas compartidas est prohibido. 4.4.2. Cuando un usuario olvide, bloquee o extrave su contrasea, deber reportarlo por escrito a la Direccin, indicando si es de acceso a la red o a mdulos de sistemas desarrollados por la Direccin, para que se le proporcione una nueva contrasea. 4.4.3. La obtencin o cambio de una contrasea debe hacerse de forma segura; el usuario deber acreditarse ante la Direccin como empleado de Axpress. 4.4.4. Est prohibido que los identificadores de usuarios y contraseas se encuentren de forma visible en cualquier medio impreso o escrito en el rea de trabajo del usuario, de manera de que se permita a personas no autorizadas su conocimiento. 4.4.5. Todos los usuarios debern observar los siguientes lineamientos para la construccin de sus contraseas: No deben contener nmeros consecutivos; Deben estar compuestos de al menos seis (8) caracteres. Estos caracteres deben ser alfanumricos, o sea, nmeros y letras; Deben ser difciles de adivinar, esto implica que las contraseas no deben relacionarse con el trabajo o la vida personal del usuario; y Deben ser diferentes a las contraseas que se hayan usado previamente. 4.4.7. La contrasea podr ser cambiada por requerimiento del dueo de la cuenta. 4.4.8. Todo usuario que tenga la sospecha de que su contrasea es conocido por otra persona, tendr la obligacin de cambiarlo inmediatamente. 4.4.9. Los usuarios no deben almacenar las contraseas en ningn programa o sistema que proporcione esta facilidad. 4.4.10. Los cambios o desbloqueo de contraseas solicitados por el usuario a la Direccin sern solicitados mediante oficio sellado y firmado por el jefe inmediato del usuario que lo requiere. 4.5. Control de accesos remotos 4.5.1. Est prohibido el acceso a redes externas por va de cualquier dispositivo, cualquier excepcin deber ser documentada y contar con el visto bueno de la Direccin. 4.5.2. La administracin remota de equipos conectados a internet no est permitida, salvo que se cuente con la autorizacin y con un mecanismo de control de acceso seguro autorizado por la Direccin.

5. POLTICAS Y ESTNDARES DE CUMPLIMIENTO DE SEGURIDAD INFORMTICA La Direccin de Informacin y Tecnologa, es la encargada de fijar las bases de la poltica informtica que permitan conocer y planear el desarrollo tecnolgico al interior de Axpress 5.1. Derechos de Propiedad Intelectual 5.1.1. Est prohibido por las leyes de derechos de autor y por el Poder Judicial , realizar copia no autorizadas de software, ya sea adquirido o desarrollado por Axpress. 5.1.2. Los sistemas desarrollados por personal, interno o externo, que sea parte de la Direccin, o sea coordinado por sta, son propiedad intelectual Axpress o en du defecto por el dueo registrado del software. 5.2. Revisiones del cumplimiento 5.2.1. La Direccin realizar acciones de verificacin del cumplimiento del Manual de Polticas y Estndares de Seguridad Informtica para usuarios. 5.2.2. La Direccin podr implementar mecanismos de control que permitan identificar tendencias en el uso de recursos informticos del personal interno o externo, para revisar la actividad de procesos que ejecuta y la estructura de los archivos que se procesan. El mal uso de los recursos informticos que sea detectado ser reportado conforme a lo indicado en la Poltica de Seguridad del Personal. 5.3. Violaciones de seguridad informtica 5.3.1. Est prohibido el uso de herramientas de hardware o software para violar los controles de seguridad informtica. A menos que se autorice por la Direccin. 5.3.2. Est prohibido realizar pruebas de controles de los diferentes elementos de Tecnologa de la Informacin. Ninguna persona puede probar o intentar comprometer los controles internos a menos de contar con la aprobacin de la Direccin, con excepcin de los rganos reguladores. 5.3.3. Ningn usuario de Axpress debe probar o intentar probar fallas de la Seguridad Informtica identificadas o conocidas, a menos que estas pruebas sean controladas y aprobadas por la Direccin. 5.3.4. No se debe intencionalmente escribir, generar, compilar software o macros.

Para los efectos del presente manual, se escribe el presente glosario de trminos: GLOSARIO DE TRMINOS TRMINO SIGNIFICADO ( A ) Acceso Es el privilegio de una persona para utilizar un objeto o infraestructura. Acceso Fsico Es la actividad de ingresar a un rea. Acceso Lgico Es la habilidad de comunicarse y conectarse a un activo tecnolgico para utilizarlo. Acceso Remoto Conexin de dos dispositivos de cmputo ubicados en diferentes lugares fsicos por medio de lneas de comunicacin, ya sean telefnicas o por medio de redes de rea amplia, que permiten el acceso de aplicaciones e informacin de la red. Este tipo de acceso normalmente viene acompaado de un sistema robusto de autenticacin. Antivirus Programa que busca y eventualmente elimina los virus informticos que pueden haber infectado un disco rgido, o cualquier sistema de almacenamiento electrnico de informacin. Ataque Actividades encaminadas a quebrantar las protecciones establecidas de un activo especfico, con la finalidad de obtener acceso a ese archivo y lograr afectarlo. ( B ) Base de datos Coleccin almacenada de datos relacionados, requeridos por las organizaciones e individuos para que cumplan con los requerimientos de proceso de informacin y recuperacin de datos. ( C ) Confidencialidad Se refiere a la obligacin de los servidores judiciales a no divulgar copiar, coleccionar, propagar, ejecutar, introducir cualquier tipo de cdigo (programa) conocidos como virus, malware, spyware, o similares diseado para auto replicarse, daar, afectar el desempeo, acceso a las computadoras, redes e informacin Axpress. Informacin a personal no autorizado para su conocimiento. Contrasea Secuencia de caracteres utilizados para determinar que un usuario especfico requiere acceso a una computadora personal, sistema, aplicacin o red en particular. Control de Acceso Es un mecanismo de seguridad diseado para prevenir, salvaguardar y detectar acceso no autorizado y permitir acceso autorizado a un activo. Copyright Derecho que tiene un autor, incluido el autor de un programa informtico sobre todas y cada una de sus obras y que le permite decidir en qu condiciones han de ser stas reproducidas y distribuidas. Aunque este derecho es legalmente irrenunciable puede ser ejercido de forma tan restrictiva o tan generosa como el autor decida. ( D ) Direccin Se refiere a la Direccin de Informacin y Tecnologa de Axpress. Disponibilidad Se refiere a que la informacin est disponible en el momento que se necesite. ( E ) Estndar Los estndares son actividades, acciones, reglas o regulaciones obligatorias diseadas para proveer a las polticas de la estructura y direccin que requieren para ser efectivas y significativas. ( F ) Falta administrativa Accin u omisin contemplada por la normatividad aplicable a la actividad de un funcionario, mediante la cual se adjudica responsabilidad y se sanciona esa accin u omisin. FTP Protocolo de transferencia de archivos. Es un protocolo estndar de comunicacin que proporciona un camino simple para extraer y colocar archivos compartidos entre computadoras sobre un ambiente de red. ( G ) Gusano Programa de computadora que puede replicarse a s mismo y enviar copias de una computadora a otra a travs de conexiones de la red, antes de su llegada al nuevo sistema, el gusano debe estar activado para replicarse y propagarse nuevamente, adems de la propagacin, el gusano desarrolla en los sistemas de cmputo funciones no deseadas. ( H ) Hardware Se refiere a las caractersticas tcnicas y fsicas de las computadoras. Herramientas de seguridad Son mecanismos de seguridad automatizados que sirven para proteger o salvaguardar a la infraestructura tecnolgica de una Comisin. ( I ) Identificador de Usuario Nombre de usuario (tambin referido como UserID) nico asignado a un servidor judicial para el acceso a equipos y sistemas desarrollados, permitiendo su identificacin en los registros. Los nombres de usuario se compondrn de 10 caracteres los cuales estn compuestos por: Letra inicial del primer nombre Primer apellido completo (mximo 9 caracteres) ltimos nmeros de la cedula hasta completar los 10 caracteresImpacto Magnitud del dao ocasionado a un activo en caso de que se materialice. Incidente de Seguridad Cualquier evento que represente un riesgo para la adecuada conservacin de confidencialidad, integridad o disponibilidad de la informacin utilizada en el desempeo de nuestra funcin. Integridad Se refiere a la prdida deficiencia en la autorizacin, totalidad exactitud de la informacin de la organizacin. Es un principio de seguridad que asegura que la informacin y los sistemas de informacin no sean modificados de forma intencional. Internet Es un sistema a nivel mundial de computadoras conectadas a una misma red, conocida como la red de redes (world wide web) en donde cualquier usuario consulta informacin de otra computadora conectada a esta red e incluso sin tener permisos. Intrusin Es la accin de introducirse o acceder sin autorizacin a un activo. ( M ) Maltrato Son todas aquellas acciones que de manera voluntaria o involuntaria el usuario ejecuta y como consecuencia daa los recursos tecnolgicos propiedad Axpress. Se contemplan dentro de ste al descuido y la negligencia. Malware Cdigo malicioso desarrollado para causar daos en equipos informticos, sin el consentimiento del propietario. Dentro de estos cdigos se encuentran: virus, spyware, troyanos, rootkits, backdoors, adware y gusanos. Mecanismos de seguridad Es un control manual o automtico para proteger la informacin, activos tecnolgicos, instalaciones, etc. que se utiliza para disminuir control la probabilidad de que una vulnerabilidad exista, sea explotada, o bien ayude a reducir el impacto en caso de que sea explotada. Medios de almacenamiento magnticos Son todos aquellos medios en donde se pueden almacenar cualquier tipo de informacin (diskettes, CDs, DVDs, etc.) Mdem Es un aparato electrnico que se adapta una terminal o computadora y se conecta a una red de. Los mdems convierten los pulsos digitales de una computadora en frecuencias dentro de la gama de audio del sistema telefnico. Cuando acta en calidad de receptor, un mdem decodifica las frecuencias entrantes. ( N ) Necesidad de saber Es un principio o base de seguridad que declara que los usuarios deben tener exclusivamente acceso a la informacin, instalaciones o recursos tecnolgicos de informacin entre otros que necesitan para realizar o completar su trabajo cumpliendo con sus roles y responsabilidades dentro de la labor contratada. Normatividad Conjunto de lineamientos que debern seguirse de manera obligatoria para cumplir un fin dentro de una organizacin. ( P ) Password Vase Contrasea. ( R ) Respaldo Archivos, equipo, datos y procedimientos disponibles para el uso en caso de una falla o prdida, si los originales se destruyen o quedan fuera de servicio. Riesgo Es el potencial de que una amenaza tome ventaja de una debilidad de seguridad (vulnerabilidad) asociadas con un activo, comprometiendo la seguridad de ste. Usualmente el riesgo se mide por el impacto que tiene. ( S ) Servidor Computadora que responde peticiones o comandos de una computadora cliente. El cliente y el servidor trabajan conjuntamente para llevar a cabo funciones de aplicaciones distribuidas. El servidor es el elemento que cumple con la colaboracin en la arquitectura cliente-servidor. Sitio Web El sitio web es un lugar virtual en el ambiente de internet, el cual proporciona informacin diversa para el inters del pblico, donde los usuarios deben proporcionar la direccin de dicho lugar para llegar a l. Software Programas y documentacin de respaldo que permite y facilita el uso de la computadora. El software controla la operacin del hardware. Spyware Cdigo malicioso desarrollado para infiltrar a la informacin de un equipo o sistema con la finalidad de extraer informacin sin la autorizacin del propietario. ( U ) UserID Vase Identificador de Usuario. Usuario Este trmino es utilizado para distinguir a cualquier persona que utiliza algn sistema, computadora personal o dispositivo (hardware). ( V ) Virus Programas o cdigos maliciosos diseados para esparcirse y copiarse de una computadora a otra por medio de los enlaces de telecomunicaciones o al compartir archivos o medios de almacenamiento magntico de computadoras. Vulnerabilidad Es una debilidad de seguridad o brecha de seguridad, la cual indica que el activo es susceptible a recibir un dao a travs de un ataque, ya sea intencional o accidental.