Escudo FI UNAM Escudo UNAM

Políticas de Seguridad en Cómputo de la Facultad de Ingeniería (PSC-FI)

POLÍTICAS


Introducción

Este documento presenta las políticas de alcance institucional que permite crear y establecer una filosofía sobre la postura que en materia de seguridad en cómputo debe tener la institución respecto a los riesgos que la rodean.

Las políticas definen ciertos lineamientos que establecen un límite entre lo que está permitido a los usuarios dentro de la institución y fuera de ella así como lo que se encuentra prohibido, esto es con el propósito de proteger la información almacenada en los sistemas y el acceso a éstos.

Para ello, se considera que para la institución, el principio básico de seguridad es: "Lo que no se permite expresamente, está prohibido".

La tecnología tiene la capacidad para abrir las puertas a un vasto mundo de recursos de información, así como de personas, a cualquier estudiante o miembro de la comunidad universitaria con una conexión a Internet. Las oportunidades que se tienen con esta conectividad son casi ilimitadas, mas no así, los recursos computacionales y de conectividad disponibles.

Este nuevo mundo virtual al que se tiene acceso requiere de reglas y precauciones para asegurar un uso óptimo y correcto de los recursos. En este sentido, la Facultad de Ingeniería cree firmemente en que el desarrollo de políticas que sean claras, bien entendidas, que circulen ampliamente, sean difundidas y que sean efectivamente implementadas, conllevará a hacer de la red de cómputo de la Facultad y el Internet un ambiente más seguro y productivo para estudiantes y miembros en general de la comunidad universitaria.

Las políticas de seguridad son los documentos que describen, principalmente, la forma adecuada de uso de los recursos de un sistema de cómputo, las responsabilidades y derechos que tanto usuarios como administradores tienen y qué hacer ante un incidente de seguridad.

Mientras las políticas indican el “qué”, los procedimientos indican el “cómo”. Los procedimientos son los que permiten llevar a cabo las políticas.

Ejemplos que requieren la creación de un procedimiento son los siguientes:

  • Otorgar una cuenta.
  • Dar de alta a un usuario.
  • Conectar una computadora a la red.
  • Localizar una computadora.
  • Actualizar el sistema operativo.
  • Instalar software localmente o vía red.
  • Actualizar software crítico.
  • Exportar sistemas de archivos.
  • Respaldar y restaurar información.
  • Manejar un incidente de seguridad.
Para que se cuente con un cierto nivel de seguridad, las políticas deben ser:
  • Apoyadas por los directivos.
  • Únicas.
  • Claras (explícitas).
  • Concisas (breves).
  • Bien estructuradas.
  • Servir de referencia.
  • Escritas.
  • Dadas a conocer.
  • Entendidas por los usuarios.
  • Firmadas por los usuarios.
  • Mantenerse actualizadas.
  • Estar redactadas de manera positiva.
  • Homogéneas al emplear los términos.
  • Considerar a todo el personal.

Las políticas son parte fundamental de cualquier esquema de seguridad eficiente. Como administradores, minimizan los riesgos, y permiten actuar de manera rápida y acertada en caso de haber una emergencia de cómputo.

Como usuarios, indican la manera adecuada de usar un sistema, indicando lo que puede hacerse y lo que debe evitarse en un sistema de cómputo, contribuyendo a que no seamos “malos vecinos” de la red sin saberlo.

El tener un esquema de políticas facilita grandemente la introducción de nuevo personal, teniendo ya una base escrita y clara para capacitación; dan una imagen profesional a la organización y facilitan una auditoría.

Los principales puntos que deben contener las políticas de seguridad son los siguientes:

  • Ámbito de aplicación.
  • Análisis de riesgos.
  • Enunciados de políticas.
  • Sanciones.
  • Sección de uso ético de los recursos de cómputo.
  • Sección de procedimientos para el manejo de incidentes.
  • Glosario de términos.
Al diseñar un esquema de políticas de seguridad, conviene que se divida el trabajo en diferentes políticas de tópico específico: cuentas, contraseñas, control de acceso, uso adecuado, respaldos, correo electrónico, contabilidad del sistema, seguridad física, etcétera.

Volver al Índice

Filosofía de las políticas de seguridad

La filosofía que se seguirá para redactar las políticas de seguridad será prohibitiva, es decir “Todo está prohibido a excepción de lo que está específicamente permitido”

Volver al Índice

Responsabilidades del usuario

La comunidad que conforma la Facultad de Ingeniería tiene como responsabilidad el hacer buen uso de los recursos informáticos, de las instalaciones y de todo tipo de información que se les confía. El que los usuarios se manejen de una forma responsable, digna, ética y respetuosa en todo momento es una prioridad y un objetivo que la Facultad promueve mediante la impartición de las materias de humanidades así como de otras actividades.

Es por esto que en todo momento los usuarios que pertenecen a esta comunidad, aun cuando las políticas de seguridad contenidas en este documento no contengan o hagan omisión de alguna normatividad o manera de conducirse, se sabe que estos a través de diferentes acciones como son el navegar en internet, el envío de mensajes de cualquier clase, el usar todo tipo de equipos, el desarrollo académico, su manera y modo de conducirse o cualquier otro tipo de actividad que se desarrollen están representando a la Facultad de Ingeniería y a la UNAM.

Por lo anterior es necesario el tener en mente que la seguridad informática empieza por cada uno de los que pertenecen a esta comunidad, los cuales son dignos representantes de la Facultad de Ingeniería que es parte de la máxima casa de estudios de este país y que

Volver al Índice

Políticas de seguridad física


El primer paso a considerar en un esquema de seguridad que muchas veces carece de la suficiente atención, es la seguridad física; es decir, las medidas que se usan para proteger las instalaciones en las que reside un sistema de cómputo: llaves, candados, tarjetas de acceso, puertas, ventanas, alarmas, vigilancia, etcétera.

Políticas:

  • Mantener el equipo de cómputo alejado de cualquier tipo de agente que pueda causar cualquier tipo de daño o interfiera con su rendimiento como son, el fuego, humo, polvo, temperaturas extremas, rayos solares, vibraciones, insectos, ruido eléctrico, balastras, equipo industrial, del agua, etcétera.

  • Todos los servidores deben ubicarse en lugares de acceso físico restringido y deben contar, para acceder a ellos, con puertas con chapas.

  • El lugar donde se instalen los servidores deben contar con una instalación eléctrica adecuada, entre sus características deben contar con tierra física y sistemas de alimentación ininterrumpida o de emergencia, UPS (Uninterruptible power supply).

  • Las áreas donde se encuentra el equipo de cómputo deben estar libres de cualquier tipo de productos que pueda causar algún daño.

  • El área donde se encuentren los servidores debe estar en condiciones de higiene, es decir, debe estar libre de objetos ajenos y de acuerdo con los estándares del cableado estructurado. Debe conservarse limpio, organizado, y despejado de objetos extraños o ajenos para el uso al cual está destinada esta área.

  • Debe contarse con extintores en las salas de cómputo y el personal debe estar capacitado en el uso de éstos.

  • Las salas de cómputo debe contar con una salida de emergencia.





Volver al Índice

Políticas de contraseñas


Son una de las políticas de tópico específico más importantes, ya que por lo general, las contraseñas constituyen la primera y tal vez única manera de autenticación y, por tanto, la única línea de defensa contra ataques. Éstas establecen quién asignará la contraseña, qué longitud debe tener, a qué formato deberá apegarse, cómo será comunicada.

Políticas:

  • El administrador del servidor es el responsable de la creación y administración de las cuentas, la activación y desactivación de ellas según sea el caso y propósito de ellas. La contraseña debe cambiarse la primera vez que se utilice por el usuario.

  • El administrador debe contar con herramientas de detección de contraseña débiles.

  • La longitud de una contraseña debe siempre ser verificada de manera automática al ser construida por el administrador/usuario. Todas las contraseñas deben contar con al menos seis caracteres.

  • Todas las contraseñas deben ser robustas, es decir, son contraseñas que contienen letras mayúsculas, minúsculas, números, así como caracteres especiales, evitando el uso de palabras en cualquier idioma. Debe considerar que el uso de información personal es peligroso por lo cual se recomienda evitar el uso de datos personales. La contraseña debe tener una longitud mínima de 6 caracteres y que ésta sea cambiada periódicamente por lo menos cada 6 meses, evitando repetir contraseñas ya utilizadas en alguna cuenta.

  • Todas las contraseñas elegidas por los usuarios deben evitar utilizar palabras que aparezcan en el diccionario de cualquier idioma, secuencias conocidas de caracteres, datos personales ni acrónimos.

  • Los usuarios deben evitar la construcción de contraseñas compuestas de algunos caracteres constantes y otros que cambien de manera predecible y sean fáciles de adivinar.

  • Las contraseñas que los usuarios construyan deben ser totalmente diferentes a las contraseñas anteriores o a las de otros usuarios.

  • La comunicación de la contraseña se realizará de manera personal vía el administrador, y sin intermediarios entre el administrador y el interesado.

  • Las contraseñas deben ser entregadas de manera personal, por lo que el interesado debe presentarse en el laboratorio o lugar de trabajo para la asignación de ésta autenticando su identidad ante el responsable antes de entregarle su contraseña.

  • Las contraseñas deben cambiarse periódicamente cada seis meses. El administrador debe contar con algún sistema el cual pueda evaluar la situación de la contraseña con la finalidad de que el usuario conserve su derecho a la privacidad y de esta manera hacer que el usuario cambie y respete las políticas; el sistema también tiene que cifrar el historial de contraseñas del usuario, el cual guardará las ultimas 6 contraseñas con la finalidad de conservar la integridad de los datos contenidos, en este caso las contraseñas.





Volver al Índice

Políticas de reglamentos internos


La diversidad de actividades, tareas, y trabajos en la facultad requieren que los distintos departamentos, áreas, laboratorios y zonas de trabajo posean cierta flexibilidad por lo que las políticas presentadas a continuación tienen el objetivo de regular y ratificar el uso de reglamentos internos.

Políticas:

  • Los departamentos, áreas, laboratorios y áreas que requieran desarrollar normas, reglamentos internos o políticas de seguridad informática adicionales o complementarias a las políticas contenidas en este documento son respaldadas por el DSC y el CACFI.

  • Los reglamentos, normatividades, y políticas deben buscar, perseguir y tener los mismos objetivos y metas que las Políticas de Seguridad en Cómputo (PSC-FI).

  • En caso de presentarse alguna discrepancia el CACFI estudiará el caso y presentará una resolución a ésta a la brevedad posible.





Volver al Índice

Políticas de desarrollo de software


Las políticas aquí presentadas especifican los lineamientos para el desarrollo de todo tipo de código ya que son una parte importante de la seguridad informática.

Políticas:

  • El desarrollo de sistemas, herramientas y software en general cuyo propósito sea el de apoyar, facilitar y agilizar las actividades académicas, de investigación o de docencia para la Facultad de Ingeniería así como los distintos proyectos en colaboración con alguna otra organización interna o externa a la UNAM, debe seguir los lineamientos establecidos para ello. (Véase Normatividad y lineamientos para el desarrollo de sistemas para la Facultad de Ingeniería).

  • Con respecto al desarrollo de herramientas de seguridad informática se deben seguir las mismas políticas y lineamientos especificados que para el desarrollo de sistemas para la Facultad, de Ingeniería además de que dicho desarrollo debe ser notificado al DSC para su supervisión.





Volver al Índice

Políticas de cuentas


Establecen qué es una cuenta de usuario, de un sistema de cómputo, cómo está conformada, a quién puede serle otorgada, quién es el encargado de asignarlas, cómo deben ser creadas y comunicadas.

Políticas:

  • Las cuentas deben ser otorgadas exclusivamente a usuarios autorizados. Se consideran usuarios autorizados a aquellos usuarios quienes hayan realizado su trámite de registro de cuenta y que:

    1. Sean miembros vigentes de la comunidad de la Facultad de Ingeniería.

    2. Participen en proyectos especiales y tenga la autorización del jefe inmediato o el jefe del proyecto.

  • Una cuenta deberá estar conformada por un nombre de usuario y su respectiva contraseña.

  • La asignación de las cuentas la hará el administrador del área o departamento en cuestión y al usuario sólo le da derecho de acceder a los recursos destinados dependiendo de sus actividades, cargos, y tareas a realizar en dicho laboratorio o área de trabajo.

  • El administrador debe deshabilitar las cuentas inactivas.

  • Las cuentas y contraseñas son personales e intransferibles.





Volver al Índice

Políticas de control de acceso


Especifican cómo deben los usuarios acceder al sistema, desde dónde y de qué manera deben autenticarse.

Políticas:

  • Todos los equipos que den un servicio de acceso remoto deben contar con aplicaciones que permitan una comunicación segura y cifrada.

  • Todos los usuarios deben autenticarse y hacer uso sólo de su cuenta.

  • Será sancionada la persona que acceda al sistema con una cuenta diferente de la propia, aún con la autorización del dueño de dicha cuenta.

  • Al momento de ingresar a cualquier sistema operativo (UNIX, Windows, Mac o algún otro), cada usuario deberá ser notificado de la fecha, hora y dirección IP desde la que se conectó al sistema por última vez, lo cual permitirá detectar si alguien más está haciendo uso del sistema.

  • El usuario tendrá el derecho a cambiar su contraseña. Ésta debe de ser robusta, es decir, que cumpla con las siguientes características.

    • Tener una extensión mínima de 6 caracteres

    • Evitar el uso de datos personales o información privada, como fecha de nacimiento, nombres, apellidos, RFC, CURP, direcciones, números asociados al usuario como números telefónicos, numero de trabajador, número de cuenta etcétera.

    • Evitar el uso de palabras contenidas en diccionarios de cualquier tipo, incluyendo otros idiomas.

    • La contraseña debe usar combinaciones de letras, números y caracteres especiales.

    • Evitar el uso de una sola contraseña para diferentes cuentas, es decir usar una contraseña por cuenta.

    • Cambiar la contraseña al menos cada 6 meses.

  • El usuario podrá utilizar los servicios de sesiones remotas si se brinda.





Volver al Índice

Políticas de uso adecuado


Las políticas de uso aceptable están basadas en las políticas de seguridad en cómputo de la Facultad de Ingeniería, estas especifican lo que se considera un uso apropiado y correcto de los recursos que se asignan a la comunidad que forma parte de la Facultad de Ingeniería.

Políticas:

    Usuarios en general:


  • La ejecución y utilización de software o hardware, todo tipo de programas o herramientas que se ocupen para la obtención cualquier tipo de información como contraseñas, usuarios, información personal, vulnerabilidades de los sistemas, configuración de los equipos, una clara violación a estas políticas, por lo que la persona que lo haga será sancionada. (Ver políticas de contabilidad del sistema).

  • La cuenta de un usuario es personal e intransferible, es decir, el único autorizado para el uso de la cuenta y los recursos es el dueño de dicha cuenta la cual es intransferible.

  • Es responsabilidad del usuario el tener una gestión apropiada de las cuentas que le son asignadas. (Ver apartado de gestión de contraseñas).

  • La instalación de programas y software, en caso de requerirse debe ser solicitado al administrador del sistema.

  • El uso del equipo es estrictamente con fines académicos y/o investigación por lo que cualquier usuario que le dé algún otro uso como el lucro, ocio, descarga de música, imágenes, videos, chat, será sancionado.



    Usuarios en general:


  • Pueden realizar sus tareas con fines académicos y asociadas con los programas académicos de la Facultad de Ingeniería.

  • Pueden utilizar los servicios de Internet donde se brinden siempre y cuando sólo se haga con fines académicos.

  • Pueden utilizar software de aplicación ya instalado.

  • Pueden utilizar los servicios de impresión donde se brinden.



    Académicos, Investigadores y Administrativos:


  • Pueden utilizar el equipo de cómputo asignado para realizar las actividades y funciones explícitamente definidas con base en su nombramiento.

  • El Departamento de Seguridad en Cómputo de la Facultad de Ingeniería (DSCFI), y las áreas de Investigación de Seguridad en Cómputo de la Facultad de Ingeniería (AISCFI), son las autorizadas por el CACFI, para la realización pruebas e investigación en seguridad informática, en ambientes controlados. El DSCFI y las AISCFI deben solicitar permiso e informar de dichas pruebas al CACFI, para programar el tipo, lugar, fecha y hora de estas. Como requisito deben llevarse a cabo en lugares aislados (redes internas), con la finalidad de evitar comprometer la operación de otras áreas.

  • El envío y almacenamiento de todo tipo de información sensible o de carácter confidencial debe contar con las medidas apropiadas de seguridad para su protección.





Volver al Índice

Políticas de respaldos


Especifican la responsabilidad que tienen los usuarios sobre él manejo de la información de la que son responsables según sean su caso.

Políticas:

    Usuarios en general:


  • Es responsabilidad del usuario mantener una copia de la información de su cuenta.



    Administradores:


  • El administrador del sistema es el responsable de realizar respaldos de la información crítica. Cada treinta días debe efectuarse un respaldo completo del sistema y verificar que se haya realizado correctamente.

  • El administrador del sistema es el responsable de restaurar la información.

  • La información respaldada de ser posible cifrarse y almacenarse en un lugar seguro.

  • Debe mantenerse una versión reciente de los archivos más importantes del sistema.

  • En el momento en que la información respaldada deje de ser útil a la organización, dicha información debe borrarse del medio total y permanentemente.

  • Si algún medio que contiene información es dado de baja o cambiado hacia otra área, el administrador debe cerciorarse de que sea borrada total y permanentemente.





Volver al Índice

Políticas de correo electrónico


Establece el uso adecuad del servicio de correo electrónico, los derechos y obligaciones que el usuario debe hacer valer y cumplir al respecto.

Políticas:

  • El usuario es la única persona autorizada para leer su propio correo, a menos que él mismo autorice explícitamente a otra persona para hacerlo, o bien, que su cuenta esté involucrada en un incidente de seguridad de cómputo, donde el administrador del sistema podrá auditar dicha cuenta.

  • El uso de las cuentas de correo electrónico proporcionadas por la organización es para uso personal con fines académicos.





Volver al Índice

Políticas de contabilidad del sistema


Establecen los lineamientos bajo los cuales pueden ser monitoreadas las actividades de los usuarios del sistema de cómputo, así como la manera en que debe manejarse la contabilidad del sistema y el propósito de la misma.

Políticas:

  • El administrador del sistema debe contar con herramientas de auditoría en el sistema.

  • El administrador o responsable puede realizar un monitoreo de la red en caso de que se presente un incidente de seguridad y cuando necesite estadísticas para rediseñar la red.

  • El único autorizado para realizar monitoreo de la red es el administrador o el personal que se haya asignado para esa responsabilidad.

  • El administrador o responsable, así como el departamento de cómputo, tienen la autoridad de realizar auditorías internas cuando estas se requieran contando previamente con la autorización del responsable, jefe directo del departamento o área a la que está asociado el administrador.

  • El departamento de seguridad en cómputo está facultado para la realizar y autorizar el uso de herramientas de seguridad para el análisis de vulnerabilidades en las redes y equipos de la Facultad de Ingeniería para la detección de posibles incidentes de seguridad.





Volver al Índice

Políticas de uso de direcciones IP


El área responsable en representar a la Facultad de Ingeniería ante DGSCA es el Departamento de Operación de Servidores.

Políticas:

  • El administrador de la red debe contar con un registro de las direcciones IP utilizadas.

  • El formato que debe utilizar para registrar su información está contenido en el Apéndice A.

  • El uso de las direcciones IP está regulado, por lo que sólo se pueden emplear direcciones IP las cuales hayan sido asignadas previamente.

  • Ningún usuario final puede hacer alguna modificación en la configuración de la dirección IP asignada al equipo bajo su responsabilidad.

  • En el campus de C.U. debe evitarse el uso de servidores de DHCP con Direcciones IP homologadas.

  • Las subredes deben emplear rangos relacionados con la zona en la que se encuentren.

  • Cada equipo que se incorpore a la red Internet debe tener la autorización del administrador de la red del área en cuestión.

  • Si se realiza un cambio de la tarjeta de red se debe informar al administrador de la red, del reemplazo y de la dirección física asociada a la IP.

  • Se permiten rangos de direcciones privadas de la forma 192.168.X.X pero su asignación deberá de controlarse únicamente a los equipos asignados al área.

  • Las direcciones IP que pueden otorgarse son homologadas o privadas. Las homologadas sólo son otorgadas si se justifican su uso y disponibilidad. Para asignar una dirección IP debe justificarse su utilización y solicitarla al administrador o responsable de cómputo para su autorización.

  • El administrador de red de la división podrá realizar reasignaciones de los rangos de las direcciones IP homologadas y privadas para un mejor desempeño de la red.

  • El administrador de red de la división y el representante ante el CACFI son los únicos autorizados para solicitar dar de alta nombres canónicos de hosts, alias, mail Exchangers.





Volver al Índice

Políticas de sitios WEB


Las políticas aquí contenidas son lineamientos que se deben seguir para la operación de los sitos web o páginas de internet que operen en cualquier equipo de la Facultad de Ingeniería.

Políticas:

  • Los servicios que se prestan por medio de los servidores deben solo tener instalados las herramientas y aplicaciones necesarias para los servicios que proporcionan.

  • La configuración de los servidores es responsabilidad del administrador o encargado de este el cual debe configurar estos con el principio de mínimo privilegio.

  • Los administradores o responsables de los servidores son los encargados de su monitoreo, actualización, evaluación e instalación de parches de seguridad.

  • La creación de sitios web o repositorios en servidores y equipos de la Facultad de Ingeniería son con fines únicamente académicos, por lo que todo material almacenado como son archivos, documentos, programas, o cualquier otro tipo de material debe contar con permiso expreso, acuerdo de colaboración o ser de dominio público.





Volver al Índice

Políticas para redes inalámbricas


Previamente a la implementación de una red inalámbrica se deben seguir las siguientes acciones.

Políticas:

  • Registro de la Red inalámbrica ante el Departamento de seguridad en Computo de la FI.

  • Apagar el equipo cuando al término de las actividades.

  • Cambiar las claves por defecto cuando instalemos el software del Punto de Acceso (Access Point) o PA.

  • Manejar una buena gestión de contraseñas.

  • Cambiar el SSID que trae el equipo como predeterminado.

  • Protección física de los dispositivos del medio ambiente y sus efectos, así como de posibles atacantes.

  • Instalación de las actualizaciones del los PA.

  • Revisión de las bitácoras de los PA periódicamente.

  • Utilizar cifrado evitando en lo posible la utilización de cifrado con WEP.





Volver al Índice

Políticas para el uso de tecnologias emergentes


Son las políticas referentes al uso de las nuevas tecnologías de la información (TI).

Políticas:

  • Contactar al DSCFI en caso de requerir hacer uso de una de estas tecnologías dentro de la Facultad.

  • Apagar el dispositivo o producto cuando no se utilice.

  • Proteger de manera adecuada el equipo con el fin de evitar daños y robos.





Volver al Índice

Políticas de contratación y finalización de relaciones laborales de recursos humanos en sistemas informáticos


Son las normas referentes con la contratación y el término de las relaciones con el personal que labora para la Facultad de Ingeniería.

Políticas:

  • Quedan excluidos de ser contratados como administradores de sistemas o áreas de seguridad informática aquellos que hayan tenido responsabilidades en incidentes graves de seguridad.

  • Al finalizar una relación laboral los administradores o encargados de sistemas deberán entregar todas las cuentas de los sistemas.

  • Los responsables de sistemas deben cambiar todas las contraseñas cuando un administrador de su área deje de prestar sus servicios.





Volver al Índice

Políticas para la colaboración conjunta


El establecer recomendaciones y lineamientos para la colaboración conjunta entre dos o más laboratorios, áreas, departamentos, divisiones, facultades u otras organizaciones.

Políticas:

  • Es responsabilidad del los interesados la realización, supervisión, implementación de políticas en el caso de colaboración conjunta.

  • De requerir el acceso por parte de personal ajeno a los recursos informáticos, el administrador o responsable debe proveer dicho servicio para garantizar, revocar, y renovar estos.

  • Aplicar el concepto del mínimo privilegio para la implementación del acceso a los recursos informáticos que se requieren.

  • El personal con el que se colabora debe ser notificado acerca de las políticas, reglamentos, buenas prácticas y procedimientos involucrados los cuales debe seguir durante su estancia.

  • Al término de la relación de colaboración el administrador debe revocar, borrar y deshabilitar las cuentas involucradas en dicha relación.





Volver al Índice

Actualización de las políticas de seguridad en cómputo


Establece los procedimientos y acciones para la revisión de las políticas de seguridad con lo que se busca el mejor aprovechamiento de los recursos.

Políticas:

  • Las políticas de seguridad deben ser actualizadas y revisadas en un periodo el cual será estipulado por el CACFI.

  • El CACFI está facultado para realizar cambios en las políticas en caso de que se consideren necesarias las cuales serán publicados a la brevedad.

  • Las recomendaciones, cambios y observaciones que se presenten a estas políticas podrán ser presentadas al departamento de seguridad en cómputo por el administrador a cargo del área, estas serán analizadas y estudiadas antes de ser presentadas al CACFI.





Volver al Índice

Políticas referentes a las auditorías


Establece quienes son los responsables de realizar estos procedimientos con el objetivo de proteger los bienes y los recursos en las diferentes áreas.

Políticas:

  • El departamento de seguridad, de cómputo y el administrador en cuestión tienen la autoridad de realizar auditorías internas cuando estas se requieran contando previamente con la autorización del responsable directo, el jefe del área o división a la que está asociado el administrador.

  • Un jefe de área, departamento, división, administrador o responsable directo debe justificar la realización de toda auditoria la cual puede pedir la realice el personal del departamento de seguridad en cómputo.

  • La evaluación de los planes de contingencia es conforme a los puntos que se manejan en este documento y pueden ser auditados en caso de ser necesario. (Ver Políticas de plan de contingencia).

  • Los responsables de realizar la auditoria deben de tener en cuenta que la información que encuentren es confidencial y de propiedad de un usuario por lo que deben ser éticos, y profesionales al realizar su trabajo enfocándose específicamente en lo que van a auditar, y manteniendo respeto absoluto y discreción.

  • Al concluir una auditoria se debe generar un reporte el cual debe contener la razón por la cual se realizo la auditoria, los resultados de esta.





Volver al Índice

Políticas acerca de incidentes de seguridad graves


Se considera un incidente de seguridad grave un evento que pone en riesgo la seguridad de un sistema de cómputo y la información contenida en ellos.

Políticas:

  • Obtener privilegios o el control de cuentas del sistema, sin que se le haya otorgado explícitamente.

  • Atentar contra la confidencialidad, integridad y confiabilidad de los sistemas.

  • Difundir, copiar, o utilizar información confidencial para otro propósito ajeno al destinado cual está destinada.

  • Cualquier tipo de ataque o intento de explotar alguna vulnerabilidad a equipos de cómputo.

  • Ejecución de cualquier tipo de programa para obtener o escalar privilegios, información, cuentas de algún sistema incluyendo cuentas de correo, ingreso al sistema de manera ilícita ya sea de manera local o remota.

  • En un incidente donde esté involucrado directamente un administrador de sistema u trabajador de la UNAM.

  • Infectar intencionalmente un servidor con cualquier tipo de malware.

  • Modificar configuraciones de cualquier tipo de equipo de cómputo sin ser autorizado para realizar dicho cambio.

  • El causar cualquier tipo de daño intencional a los medios de comunicación de la red. (como son fibra óptica, UTP, Switches, hubs, ruteadores, transceivers, cableado, etcétera).



IMPORTANTE

Si se llegase a ocurrir un incidente grave se reportará al Departamento de Seguridad de la DGSCA y se seguirán los procedimientos establecidos por ellos. Como medida precautoria y teniendo como prioridad el mantener la seguridad de los sistemas, las cuentas involucradas se deshabilitarán en toda la Facultad hasta que se deslinden las responsabilidades del incidente.





Volver al Índice

Políticas del plan de contingencias


Especifican el que todas las áreas deben de desarrollar estrategias para la protección de sus equipos y las metodologías que el plan debe tener al desarrollarse.

Políticas:

  • Todas las áreas, departamentos, o divisiones deben contar con un plan de contingencias para sus equipos o servicios críticos de cómputo el cual es responsabilidad de ellos el desarrollarlo y tenerlo implementado correctamente.





Volver al Índice

Sanciones




Actividad ilícita Sanción
Por primera vez En caso de Reincidencia
Consumo de alimentos, bebidas, utilización de los servicios por ocio. Suspensión de los servicios de cómputo por un día. Cancelación de los servicios por un mes en todas las áreas de la Facultad de Ingeniería.
Utilizar una sesión activa ajena Suspensión por un día su cuenta. Suspensión de los servicios por un mes en todas las áreas de la Facultad de Ingeniería
Acceso con una cuenta diferente a la propia, con el permiso del propietario Suspensión por un mes de los servicios de cómputo a los involucrados en todas las áreas de la Facultad de Ingeniería. Suspensión a los involucrados de los servicios por un semestre.
Ejecución de programas que intenten obtener información, privilegios, cuentas de algún sistema incluyendo cuentas de correo, o ingreso al sistema de manera ilícita de manera local o remota. Suspensión de los servicios por un año en todas las áreas de la Facultad de Ingeniería. Cese definitivo de los servicios de cómputo, durante toda su carrera.
Ejecución de herramientas para rastrear vulnerabilidades en sistemas de cómputo dentro de la Facultad Suspensión de los servicios por un año en todas las áreas de la Facultad de Ingeniería. Cese definitivo de los servicios de cómputo, durante toda su carrera.
Hacer uso de programas que explotan alguna vulnerabilidad del sistema. Suspensión de los servicios por un año en todas las áreas de la Facultad de Ingeniería. Cese definitivo de los servicios de cómputo, durante toda su carrera.
Instalación de software sin autorización previa. Suspensión del servicio computo por una semana. Suspensión del servicio por un mes.
Cambio en la configuración de los Equipos. Suspensión del servicio computo por un mes. Suspensión de los servicios de cómputo durante un semestre.
Envíos de cualquier tipo de mensajes o propaganda que atenten contra la integridad física o moral de las personas. Suspensión de los servicios de cómputo por un año en todas las áreas de la Facultad de Ingeniería. Cese definitivo de los servicios de cómputo, durante toda su carrera.
Utilización de los recursos con fines de ocio y esparcimiento. Suspensión del servicio de cómputo por un día. Cancelación de los servicios por un mes en todas las áreas de la Facultad de Ingeniería.
Cualquier violación por parte de algún administrador de red, académico u investigador en la política de uso de direcciones IP. Carta de “extrañamiento” dirigida al Jefe de División o Secretaría.
Violación de las políticas por parte de un académico, investigador, trabajador, en un incidente menor. Carta de “extrañamiento” dirigida al Jefe de División o Secretaría.
Utilización de los recursos con fines diferentes a las funciones de su plaza en caso de ser empleado Carta de “extrañamiento” dirigida al Jefe de División o Secretaría.



NOTA




En caso de robo y daño físico de equipo y material de forma intencional, el responsable tendrá que resarcir los daños.

La carta de extrañamiento la podrá realizar el jefe o responsable del área afectada.





Volver al Índice

Propuesta de Revisión, Actualización y Difusión de Las Políticas de Seguridad en Cómputo para la Facultad de Ingeniería.
Página elaborada por: Moisés Alvarado Hermida y Gibran Toríz Díaz Contreras
Asesora de tésis: M.C. Cintia Reyes Quezada