HOJA 1 DES

INSTITUTO MEXICANO DEL SEGURO SOCIAL Formato SGMP F04

Identificación ASI
DIRECCIÓN DE INNOVACIÓN Y DESARROLLO TECNOLÓGICO ACT 22
VERSIÓN 5.0

Proceso de Administración de Seguridad de la Información

Criterios a licables al uso ace table de activos

Contenido
(

1 Objetivo del documento .... .. ....... ........................ ... ....... ... .................................... ......... ................. ...... .. .......... .... 3
2 Alcance .. .................................................... .. ..... ................. ...... .... ... ... ..... .... .... .... ...................... .......... .. ... ..... ..... 3
3 Justificación ........................................................................................................................................................ 3
4 Criterios aplicables al uso aceptable de activos ...... ....... .... ...... ..... ..... ........ .. ...... ............. ............................ .. ..... 5
4.1 Generales .................... .. ............ ........ ..... ......... ............................ ...................... ...... ............. ......................... 5
4.2 Propiedad y seguridad de la información .......... : ..................................................................... ....... .... .......... 5
4.3 Uso inaceptable .. ..... ............ .... ... ... ..... ........ ... .............. ...... .......... ....... .... .. ... .......... .. ... ... ...... .... ............ .... ..... 6
4.3.1 Actividades del sistema y de la red .................. ................. ............. ...... ......... ......................... .. .............. 6
4.4 Controles asociados ................ ................................ .. .. .......................................................... ...... .................. 7
5 Firmas de elaboración, revisión y aprobación ................................ ............................ .... ...... .............................. 8
 HOJA2 DE 8

INSTITUTO MEXICANO DEL SEGURO SOCIAL Formato SGMP F04

Identificación ASI
DIRECCIÓN DE INNOVACIÓN Y DESARROLLO TECNOLÓGICO ACT 22

VERSIÓN 5.0

Proceso de Administración de Seguridad de la Información

Criterios a licables al uso ace table de activos

Control de versiones del documento

Versión Fecha Descripción del cambio Responsable

Creación del Documento ASI

Elaboración: Lic. Claudia
0.1 Septiembre 2018 ACT 22 Criterios aplicables al
Rodríguez Sosa
uso aceptable de activos.

Revisión del Documento AS I

Revisión : lng. Abraham Gutiérrez
0.2 Septiembre 2018 ACT 22 Criterios aplicables al
Castillo
uso aceptable de activos.

Autorización del Documento

AS I ACT 22 Criterios Autorización : lng . Gabriel Barrón
1.0 Septiembre 2018
aplicables al uso aceptable Montiel
de activos.
 HOJA3 DE 8

INSTITUTO MEXICANO DEL SEGURO SOCIAL Formato SGMP F04

Identificación ASI
DIRECCIÓN DE INNOVACIÓN Y DESARROLLO TECNOLÓGICO ACT22
VERSIÓN 5.0

Proceso de Administración de Seguridad de la Información

Criterios a licables al uso ace table de activos

1 Objetivo del documento

El presente documento tiene como finalidad establecer los criterios aplicables al uso aceptable
de activos mediante los cuales la DIDT define la seguridad de la información para los activos de
TIC a fin de minimizar el impacto de incidentes a través de los controles de seguridad establecidos
en el presente documento.

Lo anterior considerando la infraestructura de TIC en el Instituto Mexicano del Seguro Social (el
Instituto), con apego a la normatividad que resulte aplicable.

Tiene como propósito delimitar el uso aceptable de los equipos de cómputo utilizados por el
Instituto, cuya responsabilidad de los empleados es protegerlos, darles un uso apropiado y no
exponerlos a riesgos informáticos.

2 Alcance

La aplicación del presente documento abarca a todas las personas (trabajadores del Instituto,
funcionarios, terceros y proveedores) que hagan uso de los diferentes servicios de tecnologías de
la información bajo cualquiera de los ambientes a los que se tenga acceso
(lnternet/lntranet/Extranet), algunos de éstos se listan a continuación en forma enunciativa más no
limitativa:

Equipo de cómputo
o Computadoras personales
o Portátiles
o Servidores

3 Justificación

La Dirección de Innovación y Desarrollo Tecnológico (DIDT) conforme a su Manual de

Organización tiene las siguientes atribuciones:

l. Elaborar y someter a la consideración y aprobación del Consejo Técnico, el Plan

Estratégico Institucional que, en materia de tecnologías de la información y
comunicaciones, innovación y desarrollo tecnológico, se deba instrumentar y operar en las
diferentes unidades administrativas del Instituto, en su respectivo ámbito de competencia;

11. Definir y establecer las políticas, normas , lineamientos, metodologías y programas en

materia de tecnologías de la información y comunicaciones acordes con el Plan Estratégico
Institucional, que contribuyan a la sistematización, actualización, calidad, optimización de
funciones y procesos de las unidades administrativas del Instituto en el ámbito de sus
facultades , inclusive sobre la adquisición de bienes y contratación de servicios en dicha
materia;
- - - - - - - - - - - - - - --- - - -- ----

HOJA4 DES

INSTITUTO MEXICANO DEL SEGURO SOCIAL Formato SGMP F04

Identificación ASI
DIRECCIÓN DE INNOVACIÓN Y DESARROLLO TECNOLÓGICO ACT22
VERSIÓN 5.0

Proceso de Administración de Seguridad de la Información

Criterios a licables al uso ace table de activos

111. Diseñar y desarrollar sistemas y servicios en materia de tecnologías de la información y

comunicaciones que apoyen las funciones sustantivas, administrativas y de control que
deberán operar las unidades administrativas del Instituto conforme a su ámbito de
competencia, acorde con los objetivos y Plan Estratégico Institucional;

IV. Proporcionar atención y soporte técnico a los usuarios y administrar los bienes, servicios
de infraestructura , así como los demás elementos vinculados con las tecnologías de
información y comunicaciones que requiera el Instituto, promoviendo el uso y operación
adecuados de los mismos ;

V. Evaluar y promover el adecuado desempeño y operación de los sistemas de tecnologías

de la información y comunicaciones por los usuarios del Instituto;

VI. Integrar los requerimientos de gasto atendiendo a las necesidades del Instituto, conforme
al Plan Estratégico Institucional en materia de tecnologías de la información y
comunicaciones, innovación y desarrollo tecnológico, incluyendo bienes de inversión,
servicios, requisiciones extraordinarias y demás recursos, para someterlos a la
consideración de la Dirección de Finanzas;

VII. Determinar la procedencia y viabilidad técnica, operativa y financiera, conforme a las

estrategias institucionales, para contratar la adquisición de bienes, arrendamientos y
servicios para atender las necesidades del Instituto, en materia de tecnologías de la
información y comunicaciones ;

VIII. Promover y coordinar planes de capacitación en materia de tecnologías de la información y

comunicaciones para el personal del Instituto;

IX. Proponer nuevas tecnologías de información y comunicaciones que impulsen la innovación

y desarrollo tecnológico del Instituto, evaluando su impacto funcional ;

X. Establecer los criterios que las unidades administrativas del Instituto deberán seguir para la
observancia de las políticas , normas y procedimientos vigentes en materia de tecnologías
de información y comunicaciones, y

XI. Las demás que le señalen la Ley, sus reglamentos, acuerdos del Consejo Técnico, así
como las que le encomiende el Director General.

Acorde a la política de TIC que establece el Acuerdo y el MAAGTICSI, se debe observar lo

siguiente :

./ El Instituto debe contar con un modelo de administración de la seguridad de la

información orientada a la creación, difusión, supervisión y cumplimiento de la
normatividad que se establezca para este fin .

./ La actualización del presente documento deberá realizarse cuando menos una vez al
año.
 HOJAS DE 8

INSTITUTO MEXICANO DEL SEGURO SOCIAL Formato SGMP F04

Identificación ASI
DIRECCIÓN DE INNOVACIÓN Y DESARROLLO TECNOLÓGICO ACT22

VERSIÓN 5.0

Proceso de Administración de Seguridad de la Información

Criterios a licables al uso ace table de activos

El marco normativo de seguridad de la información en el Instituto será co nformado por la

norm atividad interna vigente (Reglamento Interior del Instituto y Manual de Organización de la
DIDT), así como las disposiciones de del MAAGTICSI y el Acuerdo que le da lugar.

4 Criterios aplicables al uso aceptable de activos u

4.1 Generales

a) La información almacenada en dispositivos electrónicos e informáticos propiedad del

Instituto o de un tercero colaborando en proyectos del Instituto sigue siendo propiedad
exclusiva del mismo. Se debe garantizar, a través de medios legales o técnicos, que la 1
información se encuentra protegida de conformidad con la normatividad vigente, sobre la
justificación del presente documento y las que al Instituto apliquen
b) El personal y proveedores del Instituto tienen como responsabilidad reportar de manera
f.
inmediata el robo, pérdida o divulgación no autorizada de información propiedad del
Instituto.
c) El personal y proveed ores del Instituto pueden acceder, usar o compartir información
propiedad del Instituto en la medida en que esté autorizado y sea necesario para cumplir
con las tareas asignadas.
d) El personal y proveedores del Instituto son responsables de ejercer un buen juicio con
respecto al uso de la información, así como los activos de información y servicios de TIC
que el Instituto provee, atendiendo a los siguientes lineamientos:
• ASI ACT 12 Criterios aplicables a la protección de equipos de cómputo pertenecientes
al Instituto, apartados :
4.1 Lineamientos de protección de equipos de cómputo
4.1.1 Servidores
e) La DSII podrá hacer revisiones para validar la correcta aplicación del presente control.

4.2 Propiedad y seguridad de la información

a) Todos los dispositivos móviles / de cómputo / servidores que se conectan a la red del
Instituto deberán cumplir con los requerimientos establecidos en el documento ASI ACT 07
Criterios aplicables al control de acceso apartado 4.2 Lineamientos generales de control de
acceso.
b) El personal y proveedores del Instituto deberán apegarse a los requerimientos establecidos
en el documento ASI ACT 07 Criterios aplicables al control de acceso apartado 4.3.1
Implementación y mantenimiento de controles de acceso, inciso f).
c) El personal y proveedores del Instituto deberán apegarse a los requerimientos establecidos
en el documento ASI ACT 05 Criterios aplicables a la seguridad física y en el personal ,
apartados :

4.1.3 Seguridad de equipos

4.1.5 Acceso a las áreas catalogadas como seguras
 HOJA6 DE 8

INSTITUTO MEXICANO DEL SEGURO SOCIAL Formato SGMP F04

Identificación ASI
DIRECCIÓN DE INNOVACIÓN Y DESARROLLO TECNOLÓGICO ACT 22
VERSIÓN 5.0

Proceso de Administración de Seguridad de la Información

Criterios a licables al uso ace table de activos

4.3 Uso inaceptable

Las siguientes actividades están prohibidas . El personal y proveedores del Instituto pueden ser
eximidos de estas restricciones durante el curso de sus responsabilidades laborales legítimas (p
ej., El personal de administración de sistemas puede tener la necesidad de deshabilitar el acceso a
la red de un host si ese usuario está interrumpiendo los servicios de producción).

Bajo ninguna circunstancia el personal y proveedores del Instituto están autorizados a participar en
actividades ilegales bajo las leyes locales, estatales, federales o incluso internacionales, mientras
utiliza recursos del Instituto.

4.3.1 Actividades del sistema y de la red

Las siguientes actividades están estrictamente prohibidas, sin excepciones :

a) Violaciones a los derechos de cualquier persona o compañía protegidos por derechos de

autor, secretos comerciales, patentes u otros derechos de propiedad intelectual, o leyes o
regul aciones similares, incluyendo, pero no limitado a, la instalación o distribución de
productos piratas u otros productos de software que no están apropiadamente licenciadas
para su uso por el Instituto.
b) Está prohibido acceder a datos , a un servidor o una cuenta para cualquier fin que no sea la
real ización de actividades del IMSS, incluso si tiene acceso autorizado.
c) La clonación o copias completas de software, información técnica, software o código
f
desarrollado para el Instituto, es ilegal. La DIDT debe ser consultada antes de realizar
copias de cualquier material que esté en cuestión.
d) Introducción de programas maliciosos en la red o el servidor (por ejemplo, virus , gusanos,
caballos de Troya, bombas de correo electrónico, etc.).
e) Revelar la contraseña de sus cuentas de acceso a otros usuarios o permitir el uso de la
misma a manera de suplantación.
f) Utilizar un activo informático del Instituto para participar activamente en la adquisición o
transmisión de material relacionado, entre otros, con los siguientes temas :
• Acoso sexual
• El nudismo parcial o completo, exhibicionismo
• Lencería
Erotismo
• Juguetes sexuales
• Literatura y humor para adultos
• Servicios de acompañantes o de masajistas
• Prostitución
• Productos alcohólicos
• Tabaquismo o sus accesorios
• Apuestas
• Sitios que promuevan el terrorismo
• Rebeliones
• Racismo
• Actividades sexuales entre una o más personas
• Lenguaje sexualmente explicito
• Pornografía infantil
 HOJA 7 DE S

INSTITUTO MEXICANO DEL SEGURO SOCIAL Formato SGMP F04

Identificación ASI
DIRECCIÓN DE INNOVACIÓN Y DESARROLLO TECNOLÓGICO ACT22
VERSIÓN 5.0

Proceso de Administración de Seguridad de la Información

Criterios a licables al uso ace table de activos

. Fetichismo
. Zoofilia
. Sadismo
• Masoquismo
• Actos de violencia
• Asesinatos
• Violaciones
• Actividad criminal
• Pandillas

t
• Información de armas
• Bombas o Misiles
• Cultos .
g) Efecto de violaciones de seguridad o interrupciones de la comunicación en red. Las
infracciones de seguridad incluyen , pero no se limitan a, acceso a datos de los cuales el , e;; ·'.
empleado no es un destinatario o se usa una cuenta a los que el empleado no está
expresamente autorizado a acceder.
h) El escaneo de puertos está expresamente prohibido .
i) Ejecutar cualquier forma de monitoreo de red que intercepte los datos no destinados a la
cuenta del empleado, a menos que esta actividad sea parte de algún ejercicio de auditoría
o revisión solicitada por el IMSS.
j) Evitar la autenticación del usuario o la seguridad de cualquier host, red o cuenta.
k) Introducción de honeypots, honeynets o tecnología similar en la red Instituto.
1) Interferir o negar el servicio a cualquier usuario que no sea la cuenta del empleado (por
ejemplo, ataque de denegación de servicio).
m) Utilizar cualquier programa / script / comando, o enviar mensajes de cualquier tipo, con la
intención de interferir o desactivar la sesión de terminal de un usuario, por cualquier medio,
localmente o a través de Internet o Intranet.

4.4 Controles asociados

Para la definición del Control relacionado con los Criterios aplicables al uso aceptable de activos,
se debe cumplir con el siguiente control , el cual se encuentra en el siguiente anexo:

ASI ACT 22 AN 01
 HOJAS DES

INSTITUTO MEXICANO DEL SEGURO SOCIAL Formato SGMP F04

Identificación ASI
DIRECCIÓN DE INNOVACIÓN Y DESARROLLO TECNOLÓGICO ACT22
VERSIÓN 5.0

Proceso de Administración de Seguridad de la Información

Criterios a licables al uso ace table de activos

5 Firmas de elaboración, revisión y aprobación

Responsable de Elaboración Responsable de Revisión

Lic. Claudia Rodrí uez

Responsable de Proyec o C
Fecha: Septiembre 2018

lng. G I arrón Montiel

T · ar de I Coordinación
écnica de Seguridad de
Tecnologías de la Información
y Comunicaciones
Fecha: Septiembre 2018