Politicas Corporativas de Seguridad Informatica Ver 5 1

5.
Políticas específicas de seguridad de la información
La definición de las políticas está estructurada según la propuesta por el ISC2 en su Common Body of
Knowledge vigente hasta abril 15 de 2015.
I. Administración de la seguridad
1. Política de confidencialidad de la información
1. Se entenderá como “Confidencialidad de la información” el que la información esté protegida en todo
momento de su revelación no autorizada, ya sea a personal interno o externo a la organización.
2. La seguridad de la información es un asunto que está directamente relacionado al riesgo de la
operación de los negocios.
Para poder asegurar de una manera efectiva la información, las áreas de Sistemas y las de negocios
deben poder responder las siguientes preguntas fundamentales para la confidencialidad de la nuestra
información:
Confidencialidad:
¿Podemos asegurar la confidencialidad de nuestra información?
¿Podemos asegurar que los requerimientos apropiados de privacidad estén satisfechos?
¿Podemos asegurar que los datos estén disponibles únicamente para aquellos que tienen la necesidad
y la autorización para utilizarla?
Responsabilidad:
¿Podemos garantizar la no—repudiación de una transacción?
¿Podemos saber y probar quién hizo qué?
¿Se puede demostrar la responsabilidad de cada usuario por sus actividades en los sistemas?
Estándares
1. Toda la información clasificada como PRIVADA Y CONFIDENCIAL deberá estar encriptada cuando
esté almacenada o sea transmitida por cualquier medio electrónico u óptico.
esté almacenada en cualquier medio electrónico u óptico que no esté controlado y monitoreado de los
intentos de violación de acceso.
esté almacenada en centros de resguardo de datos como son las protecciones fuera del centro de
cómputo (Off Site).
4. Las áreas de negocio notificarán a todos los usuarios de los sistemas de información (en particular a
los usuarios de correo electrónico y de buzones de voz) que toda la información almacenada o
transmitida por estos sistemas es de propiedad de ATEB y que ésta información podrá ser revisada y
monitoreada con fines administrativos, legales, regulatorios y de seguridad.
5. Las áreas de negocio protegerán la información sin importar el medio en que se encuentre.
Este estándar aplica y sin estar limitado, a todos los siguientes medios de registro o almacenamiento
de información: Todos los medios de almacenamiento de tecnología actual (Discos duros externos,
memorias flash -USBs-, CD, DVD, ÑAS, SAN, etc.) e incluso tecnologías obsoletas (casetes,
disquetes, etc.), además de impresiones, microfilmaciones, microfichas, o documentos en papel.
¿Podemos garantizar la no—repudiación de una transacción?
6. Todos los passwords y llaves criptográficas estarán clasificadas como información “Confidencial” por
lo que deberán estar siempre encriptadas cuando estén almacenadas en cualquier ambiente
electrónico u óptico.
7. La dirección general desarrollará, documentará y obligará un programa de limpieza de escritorios que
proteja toda la información clasificada como CONFIDENCIAL de accesos no autorizados.
8. La información clasificada como CONFIDENCIAL deberá ser destruida al final de su ciclo de vida de
tal manera que quede inservible e irrecuperable.
9. Las áreas de negocio documentarán y publicarán la responsabilidad directa de sus empleados que
utilicen sistemas personales para desarrollar sus funciones laborales (Ej. Computadoras caseras,
laptops, PDA’s —Palm Pilots—, Internet móvil en teléfonos y pagers, etc.). Cada empleado que utilice
estos sistemas deberá comprender su responsabilidad de seguridad y como cumplir con las políticas
de seguridad de la información.
10. Todas las aplicaciones que manejen información clasificada como CONFIDENCIAL deberán estar
salvaguardadas por un mecanismo de cierre de sesión automática a los 10 minutos de inactividad del
usuario en esa aplicación.
11. Las áreas de negocio documentarán y publicarán la responsabilidad directa de sus empleados al
mandar comunicaciones a grupos de usuarios y de noticias.
Los usuarios que envíen comunicados a estos grupos de discusión deberán contener un texto para
deslindar de responsabilidades a ATEB indicando claramente que las opiniones expresadas son
estrictamente de carácter personal y no necesariamente representan las ideas de ATEB. Esto aplicará
salvo que el comunicado este dentro del ámbito de las funciones laborales del empleado.
• “Los enunciados y las opiniones aquí expresadas son de mi total responsabilidad y no
necesariamente representan los puntos de vista de ATEB ".
12. Todos los empleados deberán extremar sus precauciones cuando abran correos electrónicos y
archivos adjuntos a esos correos que provengan de remitentes desconocidos, ya que pueden
contener virus, bombas de correo electrónico, código malicioso o caballos de Troya.
2. Política de integridad de la información
1. Se entenderá como “Integridad de la información” el que la información sea en todo momento confiable,
esté completa y esté protegida de modificaciones no intencionales, no anticipadas y no autorizadas
por la propia organización.
2. La seguridad de la información es un asunto que está directamente relacionado al riesgo de la
operación de los negocios.
Para poder asegurar de una manera efectiva la información, las áreas de Sistemas y las de negocios
deben poder responder las siguientes preguntas fundamentales para la seguridad informática:
Integridad:
¿Podemos prevenir cambios no autorizados a nuestra información, ya sean estos deliberados o
accidentales?
¿Podemos asegurar la fiabilidadde nuestra información y que podemos confiar en la misma?
Responsabilidad:
Elaboro: ATEB Elaboración inicial: 10/Nov./2010 Actualización: 30/Jun./2017

Versión: Ver. 5.1 Documento clasificado como de “USO INTERNO” Página: 29 de 89
¿Podemos saber y probar quién hizo qué?
¿Se puede demostrar la responsabilidad de cada usuario por sus actividades en los sistemas?
Estándares y salida de las instalaciones del centro de cómputo, etc.
1. La Gerencia de Sistemas instalará productos antivirus, antispam, antispyware, etc. aprobados.
Esta áre Programa de Seguridad de la Información
a será la responsable de actual G Políticas Corporativas de Seguridad Informática
izar, mantener y monitorear s ATEB
Plan Estratégico de Negocios de ATEB 2015-2020
u operación apropiada en toda
s
las computadoras personales, en todos los servidores de la red y los servidores de correo electrónico.
El área reportará las estadísticas operativas correspondientes periódicamente.
2. Las áreas de negocio documentarán y publicarán la responsabilidad directa de sus empleados que
utilicen sistemas personales para desarrollar sus funciones laborales (Ej. Computadoras caseras,
laptops, PDA’s —Palm Pilots—, Internet móvil en teléfonos y pagers, etc.).
Cada empleado que utilice estos sistemas deberá comprender su responsabilidad de seguridad y
como cumplir con las políticas de seguridad de la información.
3. Todos los empleados deberán extremar sus precauciones cuando abran correos electrónicos y
archivos adjuntos a esos correos que provengan de remitentes desconocidos, ya que pueden contener
virus, bombas de correo electrónico, código malicioso o caballos de Troya.
3. Política de disponibilidad de la información
1. Se entenderá como “Disponibilidad de la Información” el que la información así como todos los recursos
informáticos requeridos para la operación de la organización estén disponibles cuando se les necesite
para alcanzar los requerimientos del negocio y evitar pérdidas substanciales por su ausencia.
2. Por las características de las aplicaciones sensitivas de los servicios que brinda ATEB, la ausencia de
datos y/o de información, puede poner en riesgo al negocio de ATEB, al negocio de sus clientes o de
los contribuyentes, su situación financiera, de imagen corporativa, etc. por lo que sus aplicaciones se
consideran de misión crítica para el negocio y deben ser de manera permanente de alta disponibilidad
para la propia empresa y para sus clientes.
Estándares
1. Se consideran como aplicaciones sensitivas y de misión crítica las relacionadas a las líneas de
negocio de:
• Timbrado de comprobantes fiscales (CFDI)
• Facturación electrónica
• Documentos Digitales
• Intercambio electrónico de datos (EDI)
Por lo que deben ser tratadas como de alta disponibilidad.
2. Para las aplicaciones sensitivas y de misión crítica se elaborará un plan de alta disponibilidad que
incluya los siguientes aspectos:
a. El centro de cómputo y todos sus servicios asociados como las instalaciones eléctricas, de
aire acondicionado, de emergencia para prevención y detección de incendios, etc.
b. Las telecomunicaciones.
c. La protección permanente de los sistemas, aplicaciones y los datos que se registran y manejan
en los mismos, de tal manera que permita la restauración inmediata de los mismos al procurar
en lo posible que no se afecte la operación de ATEB.
d. Controles de acceso físico, como seguridad policial, CCTV, señalización, bitácoras de entrada
Logs de seguridad

e. Equipo de cómputo de tecnología no obsoleta, que tenga servicio de mantenimiento p
or el
fabricante del equipo, monitoreo de la capacidad operativa y de crecimiento de los eq
uipos,
administración del retiro de los medios de almacenamiento, etc.
f. Definir e instrumentar una arquitectura de la plataforma tecnológica que evite tener el
ementos
que sean considerado con puntos únicos de falla “Single Point of Fail (SPF)” que la
sola
ausencia de alguno de ellos, afecte la operación de ATEB.
4. Política de No-Repudio de la información
1. Se entenderá como cono “no-repudio de la información” al procedimiento que protege a cual
quiera de
las partes involucradas de la negación de la transacción de información; el no-repudio debe s
er eficaz
en los mecanismos de seguridad implementados para validar, mantener y poner a disposición
de los
involucrados las pruebas irrefutables de evidenciar la veracidad de las transacciones de la inf
ormación
y su contenido.
■ No-repudio de origen. Este servicio proporciona al receptor de un objeto digital una prue
ba
infalsificabie del origen de dicho objeto, lo cual evita que el emisor, de negar tal envío, t
enga éxito
ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el
destinatario.
■ No-repudio de recepción. Proporciona al emisor la prueba de que el destinatario legítimo
de un
mensaje u objeto digital genérico, realmente lo recibió, evitando que el receptor lo niegue
posteriormente y consiga sus pretensiones. En este caso la prueba irrefutable la crea el re
ceptor
y la recibe el emisor.
6.�yerifica el correcto funcionamiento de las políticas o medidas de seguridad tomadas (auditoria).
2. Debido a la amenaza de seguridad de la información que puede presentar la organización en
la
manipulación de transacciones tales como (documentos digitales), el servicio de no repudio e
s el
procedimiento que debe proteger a cualquiera de las partes involucradas, sin embargo la
manipulación no autorizada y sin conocimiento de los documentos emitidos por ATEB Servic
ios
pueden originar graves problemas derivados de falsificaciones, modificaciones accidentales o
intencionadas, pérdidas o retrasos, e incluso disputas sobre el momento exacto de envió o re
cepción.
Tras estos comportamientos ilegítimos se deben de implementar mecanismos de no repudio c
omo
pueden ser; firmas digitales, firmas manuscritas, facturas timbradas, correos electrónicos, certi
ficados,
logs, bitácoras de eventos o cualquier mecanismo que sirva para generar evidencia irrefutable
.
Estándares
4. El no repudio deberá estar relacionado con la autenticación para identificar al emisor de un
mensaje,
el creador de un documento o dispositivo conectado a un servicio.
5. Deberá autorizar el sistema de información o persona con responsabilidades funcionales sobre
el
servicio para controlar el acceso de los usuarios a zonas restringidas, a distintos equipos y ser
vicios
después de haber validado el proceso de autenticación.
7. Se deberá tener suficientes pruebas en los mecanismos implementados de no repudio para res
olverdiferencias.
8. Se deberán hacer uso de mecanismo de seguridad en las transacciones de información para ev
itar el
no repudio, como pueden ser:
- Administración de los dispositivos de hardware de seguridad (HSM)
Información cifrada
Firmas digitales y manuscritas
Copias de seguridad

Programa de Seguridad de la Información
G Políticas Corporativas de Seguridad Informática
ATEB
5. Política de consistencia de la información
1. Se entenderá como “Consistencia de la información” el que la información y los sistemas se comporten
de manera estable, coherente, con estabilidad y solidez a lo largo de su vida útil.
2. La información deberá mantener la consistencia entre la información interna en la computadora y los
OOOOOOo
sistemas con la realidad del mundo exterior.
Se aplicará en todo momento el siguiente principio a los sistemas de cómputo.
Internal World = External Reality
6. Política para la clasificación de la información
1.
Todos los datos e información que utilicen los productos y servicios de misión crítica deberán estar
clasificados y etiquetados de conformidad al esquema de clasificación de información de la
organización.
5. El esquema de clasificación de la información usado en la empresa será el descrito más adelante en
el estándar respectivo.
El esquema de clasificación seleccionado cumplirá con las normas establecidas por el SAT y por el
INAI.
Basados en la evaluación del riesgo de negocio y en la clasificación de la información, los dueños de
la información especificarán el nivel de seguridad requerida para proteger esta información y asegurar
que existan los controles suficientes para alcanzar éste nivel de protección especificada.
Los objetivos de la clasificación de la información son los siguientes:
• Para cumplir con requerimientos legales, regulatorios y de cumplimiento (compliance)
• Para reducir riesgos
• Para reducir los costos de la protección
• Para identificar la información y los recursos informáticos más valiosos
6. Los criterios para clasificar la información son los siguientes:
• Asociación de identidad personal
Es sensitivo al contexto
Costo de conseguir, adquirir, desarrollar y/o mantener la información
El valor es determinado por el dueño de la información
El costo/valor de la información se registra y calcula en función de sus transacciones de
negocio�P�k
Costo de adquirirla
Costo de desarrollarla o generarla
Costo de mantenerla
Costo de remplazaría (si se llega a perder)
Costo de protegerla
Valor de los datos o información para la empresa, los Data owners, los usuarios y la
competencia o/o adversarios
Utilidad de la información
• Valor de la información
• Edad
• Vida útil
7. Para fines de estas políticas se entenderá lo siguiente:
A T E B
• Datos personales: Cualquier información concerniente a una persona física identificada o
identifica ble.
• Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de
su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave
para éste.
En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o
étnico, estado de salud presente y futura, información genética, creencias religiosas, filosóficas y
morales, afiliación sindical, opiniones políticas, preferencia sexual.
a una persona física identificada o identificable.
• Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de
los datos.
• Titular: La persona física a quien corresponden los datos personales.
• Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier
medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o
disposición de datos personales.
• Transferencia: Toda comunicación de datos realizada a persona distinta del responsable o
encargado del tratamiento.
Estándares para clasificar la información
1. El esquema de clasificación de la información se apega a la Ley Federal de Transparencia y Acceso
a la Información Pública Gubernamental. El esquema de clasificación se divide en una jerarquía de
cuatro niveles y es la siguiente:
i PÚBLICA
ii USO INTERNO
iii PRIVADA (Equivalente a RESERVADA)
iv CONFIDENCIAL (Equivalente a RESERVADA CONFIDENCIAL)
Estándares para la clasificación PÚBLICA de la información
1. Es toda aquella información que está disponible afuera de la organización o de que su intención es la
de ser usada con fines públicos por el dueño de la información.
Además y de conformidad con la LFPDPPP con excepción de la información reservada o confidencial
prevista en la Ley, los sujetos obligados deberán poner a disposición del público y actualizar, en los
términos del Reglamento y los lineamientos que expida el Instituto o la instancia equivalente a que se
refiere el Artículo 61 de la citada ley, toda la información que no esté clasificada como reservada,
confidencial y que contravenga la protección de datos personales.
Estándares para la de clasificación USO INTERNO de la información
1. Es toda la información que es comúnmente compartida por el personal de la organización y no tiene
la intención de ser distribuida fuera de la compañía, pero además no está clasificada como
confidencial.
Estándares para la de clasificación PRIVADA de la información
1. Es toda la información de datos personales del personal de la organización, clientes, proveedores,
asociados de negocio e incluso solamente visitantes, que incluye cualquier información concerniente
ATEB
2. Por este motivo y de conformidad con la Protección de datos personales se deberán adoptar las
medidas necesarias que garanticen la seguridad de los datos personales y eviten su alteración,
pérdida, transmisión y acceso no autorizado.
• Los sujetos obligados no podrán difundir, distribuir o comercializar los datos personales contenidos
en los sistemas de información, desarrollados en el ejercicio de sus funciones, salvo que haya
mediado el consentimiento expreso, por escrito o por un medio de autenticación similar, de los
individuos a que haga referencia la información.
• No se requerirá el consentimiento de los individuos para proporcionar los datos personales en los
casos en que exista una orden judicial.
Estándares para la clasificación CONFIDENCIAL de la información
1. De conformidad con la política de confidencialidad de la información se entenderá como
“Confidencialidad de la información” el que la información esté protegida en todo momento de su
revelación no autorizada, ya sea a personal interno o externo a la organización.
2. Se considera información CONFIDENCIAL aquella que cumpla con cualquiera de los siguientes
incisos:
como son las siguientes:
• Información que si es divulgada a individuos no autorizados, podría repercutir en un impacto
negativo y significativo para la organización en sus obligaciones legales, regulatorias o en sus
estados financieros.
• Información para la autenticación de identidades como son los passwords y los números de PIN
de acceso.
• Cualquier forma de llave criptográfica.
• Información acerca de clientes, de empleados y de negocios de la organización que se esté
obligados a proteger.
• Información que las áreas de negocio determinen que tiene el potencial de perder ventajas
competitivas o repercutir en impactos negativos y significativos para el negocio si se divulga a
individuos no autorizados.
• Que cumpla con cualquiera de las especificaciones establecidas en la LFPDPPP de la información
considerada como “Reservada y Confidencial”, mismos que se enumeran a continuación:
I. Comprometer la seguridad nacional, la seguridad pública o la defensa nacional;
II. Menoscabar la conducción de las negociaciones o bien, de las relaciones internacionales,
incluida aquella información que otros estados u organismos internacionales entreguen con
carácter de confidencial al Estado Mexicano;
III. Dañar la estabilidad financiera, económica o monetaria del país;
IV. Poner en riesgo la vida, la seguridad o la salud de cualquier persona, o
V. Causar un serio perjuicio a las actividades de verificación del cumplimiento de las leyes,
prevención o persecución de los delitos, la impartición de la justicia, la recaudación de las
contribuciones, las operaciones de control migratorio, las estrategias procesales en
procesos judiciales o administrativos mientras las resoluciones no causen estado.
También se considerará como información reservada:
I. La que por disposición expresa de una Ley sea considerada confidencial, reservada,
comercial reservada o gubernamental confidencial.
3. Se deberá implementar los controles y mecanismos requeridos para proteger y hacer buen uso de la
información personal a la que tuviera acceso, así como asegurar el apego con la Ley Federal de
Protección de Datos Personales en Posesión de los Particulares y con otras legislaciones aplicables
0 Políticas Corporativas de Seguridad Informática
A T E B
• LEY FEDERAL de Transparencia y Acceso a la Información Pública Gubernamental (11/06/2002)
• REGLAMENTO de la Ley Federal de Transparencia y Acceso a la Información Pública
Gubernamental (11 de junio de 2003)
OO-0)
• LEY FEDERAL de Protección de Datos Personales en Posesión de los Particulares (5 de julio de
2010)
4. Los responsables en el tratamiento de datos personales, deberán observar los principios de licitud,
consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos
en la Ley.
5. Los datos personales deberán recabarse y tratarse de manera lícita conforme a las disposiciones
establecidas por estas Leyes y Reglamentos y demás normatividades aplicables.
6. Por las características de los datos sensitivos de los servicios que brindamos a nuestros clientes de
los servicios relacionados con la facturación electrónica y timbrado de comprobantes fiscales (CFDI),
todos los datos o la información que los pueda llegar a identificar de manera específica y que puedan
poner en riesgo al negocio del cliente, su situación financiera, de imagen o la salud de los individuos
que trabajen o representen a los intereses d
e & SUBPROCESO: DEFINICIÓN DEL PROCESO la empresa será clasificada bajo el esquem
a ATEB Diagrama Nivel -1- del proceso
DE CLASIFICACIÓN de
CONFIDENCIAL.
7. Toda la información que esté clasificada como CONFIDENCIAL deberán estar encriptados tanto en
su almacenamiento, tránsito y en los medios que los contengan.
Estándares de procedimiento de clasificación
AltaDirección
DEFINIRPRO
Procedimiento general de clasificación de la información
CESODECLA
SIFICACION
O
PROCESO DE CLASIFICACIÓN DE LA INFORMACIÓN
Diagrama Nivel -0- del proceso
<
Definir proceso de clasificación
Implementarlo
Operarlo y supervisarlo
ATEB
1) Definir proceso de clasificación
a) Identificar de manera general quienes deberán clasificar la información en la organización
b) Definir los niveles de clasificación que se usarán
c) Especificar los criterios con que se determinará como clasificar la información
d) Indicar los métodos que serán utilizados para transferir la custodia de la información a un Dueño
diferente de la información
e) Seleccionar los procedimientos para desclasificar la información
2) Implementar proceso
ATEB
DueñosdelaInfo Plan Estratégico de Negocios de ATEB 2015-2020
rmación
TQ
GESTIONARL
ACLASIFICA
a) Indicar los controles de seguridad y/o mecanismos de protección requeridos para cada nivel de
CIONclasificación.
b) Documentar cualquier excepción a las posibles desviaciones de la clasificación Identificar al Dueño
(último responsable) apropiado para clasificar la información.
c) Crear un procedimiento para revisar periódicamente la clasificación de la información y la
propiedad de los datos.
d) Identificar a cada dueño específico de la información.
e) Identificar al Custodio que será responsable de mantener la disponibilidad de la información.
f) Capacitar a los dueños de la información y al custodio en sus roles, responsabilidades y
Revisar cumplimie
actividades con respecto a la clasificación de la información.
CISSO clasificación
a
3) Operar el proceso en el día a día
O SUBPROCESO: GESTIONAR LA CLASIFICACIÓN DE LA INFORMACIÓN
Diagrama Nivel -1- del proceso
OQ.OC0)
> Clasificar la información
► transferir la custodia de rO
la información m
>1 Desclasificar la información
INTEGRAR PROGRAMA
DIVULGACIÓN
Clasificar la información.
Transferir la custodia de la información.
Desclasificar la información.
Revisar el cumplimiento de la clasificación.
Realizar procesos recurrentes de divulgación, capacitación y entrenamiento a los empleados de
la organización.
ATEB
7. Política de administración de riesgos de la información
1. En la organización se deberán realizar un análisis y una evaluación de riesgos de negocio ocasionados
por el uso de las TI dentro de la organización.
Los hallazgos del análisis y de la evaluación de riesgos serán la entrada para definir los controles
técnicos, administrativos y operativos que se implementarán en la empresa.
La salida del análisis de riesgos, mejoramiento e implementación de controles, deberá ser siempre la
mitigación de riesgos en la organización.
2. En el análisis y la evaluación de riesgos participarán la Dirección General, dueños de los datos y todos
sus funcionarios quienes sustentan todo el conocimiento de negocios de la empresa.
Este equipo es interdisciplinario para considerar todos los aspectos de la evaluación de riesgos y su
intervención decidida y reflexiva permite tener una representación clara y objetiva de los riesgos de
negocio que la empresa y sus clientes puedan encarar.
3. Las áreas administrativas, operativas, técnicas y de negocio definirán e instrumentarán el proceso para
evaluar los riesgos de negocio asociados a cada sistema de información que esté bajo su control y le
Mitigar Evitar
designará un nivel de riesgo respectivo de conformidad al proceso de gestión de riesgos de la empresa.
4. La evaluación de riesgos deberá considerar la identificación de:
41O Riesgo ¡|
S i
• Los procesos sustantivos y de misión crítica para la empresa
• Las actividades que se realizan en los procesos críticos con sus roles y responsabilidades
asociados
• Los activos informáticos que apoyan la realización de los procesos críticos
• Las amenazas a los procesos
• El impacto al negocio si el sistema de información sufre un incidente de seguridad informática.
• Evaluación del riesgo de negocio que enfrenta la empresa
• Mapa de riesgos de negocio
• Selección de controles para tratar los riesgos
• Plan para tratar los riesgos
Estándares
1. El proceso de identificación, análisis, cuantificación, priorización y evaluación de riesgos se realizará
dos veces al año, en períodos semestrales.
2. La evaluación y tratamiento de riesgos deberá de obedecer el siguiente modelo de referencia basado
en Cobit4.1:
Transferir/Compartir
Pólizas de seguro
cu o
o _
Q. �
o. £
< ° en
Riesgo residual
Aceptar
ATEB
3. Aceptación de riesgos. Cualquier área de la organización que no pueda cumplir con cualquier parte
de las políticas y estándares de seguridad informática, deberá solicitar una desviación respectiva y
enviar una forma de aceptación de riesgos al Director General, a los dueños de los datos y al Gerente
del área para la aprobación respectiva. La forma de aceptación de riesgos no estará en vigor hasta
que el ISO la haya recibido y sea autorizada por los directores.
Todas las aceptaciones de riesgos aprobadas tendrán una vigencia máxima de 360 días (menos de
un año) a partir de la fecha de recepción de la forma por el ISO. Al término de ese plazo se revisará la
aceptación del riesgo en base a un proceso de evaluación de riesgos.
Las aceptaciones de riesgos incluirán la identificación del requerimiento que no se puede cumplir, una
explicación de porqué no se puede cumplir, una declaración del riesgo que se está aceptando y la
definición de los Controles Compensatorios que mitigarán el riesgo y un plan para cumplir con el
PRIORIDAD PARA TRATAR EL RIESGO
requerimiento omitido.
4. 1 12 11 URGENTE Y ATENCIÓN INMEDIATA
Transferir/Compartir los riesgos. Cuando los riesgos deben de ser compartidos o transferir por
10 9 PLAN DE ACCIÓN
medio de una cobertura de seguro, la posibilidad de pérdida es tratada haciendo una transferencia de
8 7 MONITOREO POR SI HAY CAMBIOS
la organización. Este es el claro ejemplo de los diferentes seguros posibles para la organización.
6 4 SE ASUME EL RIESGO
Las transferencias de riesgos incluirán la identificación del requerimiento que se debe transferir, una
explicación de porqué se transfirió y una declaración del riesgo que se está transfiriendo.
5. Evitar el riesgo. Un riesgo es evitado cuando en ATEB no se acepta.
Se deberá de tener las condiciones suficientes y enteradas a la dirección general ya que puede ser
más negativa que positiva. Si el evitar riesgos fuera usado excesivamente en la organización se deberá
de contar con la documentación apropiada de riesgo evitado, siempre aprobado por la alta dirección y
el ISO de la organización.
6. Mitigar el Riesgo. Define e implementa las medidas de protección. Además sensibiliza y capacita los
usuarios conforme a las medidas.
Se deberá de crear, implementar, aplicar y monitorear los controles apropiados para reducir la
probabilidad o el impacto de los riegos, siempre debiendo ser autorizados por la dirección general y
ios dueños de los datos.
El ISO de la organización revisará la creación, implementación y aplicación de los controles que
mitiguen el riesgo siempre debiendo de asegurar que no contengan riesgos inherentes en su aplicación
o riesgos asociados en su función.
7. Acciones acordadas ante diferentes niveles de riegos.
Las acciones que se realizarán con los diferentes niveles de riesgo que se encuentren durante el
proceso de análisis y cálculo del riesgo son las siguientes:
ATEB
8. Política de auditorías y revisiones de cumplimiento
Se actualizó la política de revisiones por auditoría para cumplir con los nuevos requerimientos del SAT
“Permitir y facilitar la realización de actos de verificación y de supervisión por parte del Servicio de
Administración Tributaria y de los terceros que para tales efectos habilite la autoridad fiscal, de manera
física o remota, respecto de tecnologías de la información, confidencialidad, integridad, disponibilidad,
consistencia y seguridad de la información y/o cualquier otra de las obligaciones relacionadas con la
autorización.
Los actos de verificación y de supervisión a que se refiere la regla 1.2.7.2.10 de la RMF 2014, podrán
entenderse o realizarse con cualquier persona que se encuentre a cargo de la operación relacionada
con la certificación de CFDI a que se refiere la autorización”
Los actos de verificación y de supervisión a que se refiere la regla 2.8.10.2 de la RMF para 2015, fracci
ón
V. podrán entenderse o realizarse con cualquier persona que se encuentre a cargo de la operación
relacionada con la certificación de CFDI a que se refiere la autorización'
"Permitir y facilitarla realización de actos de verificación y de supervisión por parte del SAT y de los terc
eros
que para tales efectos habilite la autoridad fiscal, de manera física o remota, respecto de tecnologías de la
información, confidencialidad, integridad, disponibilidad, consistencia y seguridad de la información y/o
cualquier otra de las obligaciones relacionadas con la autorización”.
1. En la empresa se deberán realizar auditorías y revisiones de cumplimiento dentro de la organización.
2. Las auditorías y revisiones de cumplimiento deberán ser efectuadas por personal independiente a la
operación del negocio de los procesos de facturación electrónica, como Prestador de Servicios de
Certificación (PCCFDI los servicios como PCCFDI) y como Proveedor de Servicios de Recepción de
servicio PCRDD.
Documento Digitales (PCRDD).
3. El personal que dirija las auditorías y revisiones de cumplimiento deberán ser realizadas por personal
calificado, que sustente certificaciones vigentes en materia de seguridad informática tales como las
que se mencionan a continuación pero no se limita a estas “CISSP, CISM, CISA, CEH y ECSA”.
Estándares
1. Se realizarán auditorías internas de cumplimiento semestralmente.
2. Los resultados de las auditorías se clasificarán como CONFIDENCIAL.
3. Los resultados de las auditorías tendrán una vigencia máxima de 12 meses.
4. Los resultados de las auditorías que ya no son vigentes se deberán disponer conforme a la política
“Política de disposición de información y medios de almacenamiento”.
5. Las observaciones de las auditorías se deberán subsanar por prioridades de acuerdo al nivel de riesgo
de cada observación.
Mientras el nivel de riesgo o el impacto sea más alto se atenderán y resolverán primero.
6. Todas las observaciones atendidas y resueltas deberán estar sustentadas en evidencias físicas
verificables.
7. Se realizara un programa bianual de auditorías, el cual considerará la realización de al menos dos
auditorías de revisión de cumplimiento normativo interno por año.
8. El programa bianual de auditorías considerará al menos la revisión del cumplimiento de:
• La matriz vigente con los requerimientos del SAT para la certificación de los proveedores del
servicio PCCFDI (PCCFDI).
• La matriz vigente de los requerimientos del SAT para la certificación de los proveedores del
ATEB
9. Política de líneas base de seguridad
1. En la empresa se tendrán identificadas tres líneas base de seguridad para gestionarlas en capas:
1) Línea base de seguridad para la estrategia de seguridad de la información de la organización
2) Línea base de seguridad para las aplicaciones sensitivas
3) Línea base de seguridad para la configuración de equipos, servidores y comunicaciones
Estándares
1. Se identificará, divulgará y capacitará a todos los empleados y colaboradores de la organización la
estrategia de seguridad de la información de la organización y la importancia de la protección y
salvaguarda de los datos e información que se maneja internamente y con sus clientes.
2. Se identificará, documentará e implementará una línea base de seguridad para las aplicaciones
sensitivas y de misión crítica.
3. Se identificará, documentará e implementará una línea base de seguridad para los equipos, servidores
físicos y virtuales, equipos de uso específico como HSM, NTP, etc. y comunicaciones que utilicen las
aplicaciones sensitivas y de misión crítica.
• Control de auditorías, atención, observaciones y respuestas a las mismas
10. Política para la definición de una línea estratégica mínima de seguridad informática
1. Las áreas administrativas, operativas, técnicas y de negocio instrumentarán un mecanismo de la
protección de la información mediante una línea estratégica mínima de seguridad informática basada
en un proceso de gestión de riesgos de negocio asociados con los temas de:
a) Los centros de cómputo que utiliza la organización
b) Las telecomunicaciones
c) El control de accesos físicos a las instalaciones y a los centros de cómputo
d) La protección física de los equipos de cómputo y su nivel de actualización tecnológica
e) Los ambientes de operación
f) Desarrollo y adecuación de aplicaciones propietarias
g) La custodia de la información
h) Administración de la seguridad, e implementación de los controles necesarios para asegurar el
cumplimiento de una línea mínima de seguridad.
Estándares
1. Postura de la empresa sobre la seguridad de la información
• Aseguramiento del compromiso institucional con la protección de la información
• Interacción con otras áreas como seguridad, vigilancia, protección civil o externos como la Policía.
• Seguridad en el manejo de la documentación sensitiva impresa
• Seguridad en los procesos y manuales
2. Seguridad en el Personal
• Seguridad en el manejo de personal previo a la contratación
• Seguridad en el manejo de personal previo a la separación del mismo
3. Gestión de los Activos
4. Seguridad Física
• En los centros de cómputo
• En las oficinas
5. Gestión de la Seguridad
• Manejo de incidentes y respuestas a los mismos.
ATEB
• Medición y métricas de seguridad de la información y resaltar que no son lo mismo estos dos
conceptos.
• Mecanismos de no-repudio como pueden ser:
Información cifrada
Firmas digitales y manuscritas
Copias de seguridad
Logs de seguridad
• Pruebas y monitorización permanentes de seguridad a la plataforma tecnológica, aplicaciones y a
las bitácoras de auditorías y trazabilidad de las operaciones.
6. Seguridad de la Plataforma Tecnológica
• Plan y pruebas de continuidad del negocio:
Manejo de contingencias
Manejo de continuidad de negocios (COB)
Manejo del plan ante desastres (DRP)
Preparación de los planes ante desastres
Pruebas de escritorio, reales y no anunciadas
Mantenimiento de los planes BCP y DRP
- Activación de los planes ante desastres
Recuperación de los planes ante desastres
Reconstitución (Business Resumption Plan o BRP)
Desactivación del plan ante desastres (DRP)
• Manejo de recuperación de datos (Data Recovery)
• Criptografía
- Administración de criptografía y llaves criptográficas
• Protección Contra Código Malicioso
Manejo y operación de programas antivirus, antispam y antispyware
Manejo y control de sistemas de detección y prevención de intrusos
• Manejo y control de las licencias de software
• Control de cambios en las aplicaciones
• Control de cambios en la plataforma tecnológica
• Control de cambios en las configuraciones de los equipos, sistemas operativos y servidores
virtuales.
• Control de capacidades de la plataforma tecnológica
7. Cumplimiento Legal y Regulatorio
• Administración y actualización de los acuerdos y convenios de confidencialidad con autoridades y
socios comerciales.
• Administración y actualización de los acuerdos de confidencialidad previos a la contratación de
personal interno.
• Administración y actualización de los acuerdos de confidencialidad en la separación de la
contratación de personal interno.
11. Política de propiedad de los activos informáticos
1. Todos los activos informáticos como son los equipos físicos y virtuales, las aplicaciones y los datos
deberán tener un responsable único de su protección y salvaguarda.
2. Estos activos deberán estar debidamente identificados en el inventario de activos que soportan el
servicio de EDI, PCCFDI y PCRDD.
ATEB
Estándares
1. A todos los activos informáticos como son los equipos físicos y virtuales, las aplicaciones y los datos
se les asignará un “Dueño” o último responsable de proteger dichos activos.
2. Todos los equipos físicos o lógicos y servicios que utilice la organización para el manejo de sus
aplicaciones sensitivas y de misión crítica son responsabilidad directa de la organización, aunque estos
equipos estén por fines de negocio contratados en renta.
Esto significa que la protección y custodia final de la información que reside en estos equipos es
responsabilidad directa de ATEB.
3.
4.
La protección de todos los equipos físicos y virtuales es responsabilidad del Gerente de Sistemas de
5. la organización.
La protección de las aplicaciones sensitivas y de misión crítica son responsabilidad del Gerente de
6. Sistemas de la organización.
La protección de las bases de datos que manejan información sensitiva y de misión crítica es
responsabilidad del Gerente de Sistemas de la organización.
La protección y supervisión de la información sensitiva y de misión crítica es responsabilidad de cada
uno de las personas asignados con el rol de “Data owner1’ respectivo.
ATEB
II. Control de accesos
Antecedentes
Un acceso es la interacción de información entre un sujeto y un objeto del sistema, lo que significa la
posibilidad de hacer algo con un recurso de cómputo como puede ser, verlo, utilizarlo, modificarlo, borrarlo,
etc.
Un control de permisos o de accesos establece la manera en cómo se permitirá o restringirá explícitamente
esta posibilidad al sujeto de hacer algo con el recurso de cómputo.
Las decisiones para el despliegue e implementación de los controles de accesos recaen en el rol del ISO
del área de seguridad informática. Entre sus funciones están, con base a las autorizaciones otorgadas por
los dueños de los datos e información así como de la aplicación, la de otorgar y revocar la afiliación de los
individuos a los “Grupos de usuarios” con permisos de acceso definidos con base en las tareas y al rol del
grupo.
Para poder asegurar de una manera efectiva la información de ATEB, el área de Sistemas y los dueños
de la información deben poder responder las siguientes preguntas fundamentales para la seguridad
informática:
¿Sabemos con certeza quiénes usan nuestra información?
¿Podemos controlar lo que los usuarios hacen con nuestros sistemas e información?
¿Podemos establecer y mantener límites y restricciones apropiadas en cada actividad de nuestros
usuarios?
Por lo que es necesario identificar en cada área de negocios a aquellas personas asignadas como
representantes de la propiedad de la información que maneja el área, quienes deberán:
a) Evaluar los riesgos que enfrentaky asignar una calificación del nivel de protección que requieren
sus datos.
b) Asignar permisos o autorizar quién puede hacer qué sobre el subconjunto de datos que son
responsables como dueños de los mismos.
c) Entre los permisos que deberán asignar y suprimir están explícitamente los de:
• Lectura de datos
• Escritura de datos
• Borrado de datos
• Creación de datos
d) Revisar que se cumplan sus instrucciones de autorización a los usuarios para tener acceso a la
información.
La autenticación de los usuarios es uno de los riesgos más críticos y fundamentales al proteger los
sistemas de información. Como se mencionó, este es el primer control usado para limitar el acceso a
los sistemas. Mientras mayor sea el riesgo asociado con un acceso no autorizado a los sistemas,
mayor es la necesidad de instrumentar mecanismos fuertes para autenticar usuarios.
Esta definición de controles de acceso ayuda a seleccionar e instrumentar mecanismos apropiados
de identificación y autenticación.
Passwords estáticos: Son los que no cambian de una sesión a otra sesión, por lo que se pueden
reutilizar al menos una vez.
ATEB
Passwords dinámicos: Cambian automáticamente de una sesión a otra usando un pase (token)
basado en hardware o software. También son conocidos como “passwords de una sola vez”.
Generalmente son cadenas alfanuméricas que es diferente cada vez que es usado o puede cambiar
en un intervalo, por ejemplo, cambiar cada minuto.
Cuentas de usuario de default: Es muy frecuente que los productos de software vengan
preinstalados con cuentas de usuario con un password de default o en blanco. Estos passwords son
ampliamente conocidos y distribuidos como información pública. La comunidad de hackers mantiene
en Internet listas de estas cuentas con sus passwords respectivas. Si los passwords de estas cuentas
no son cambiados o deshabilitados inmediatamente después de la instalación del producto, la
organización afronta un riesgo significativo de que personas no autorizadas puedan tener acceso a
los sistemas de información usando esas cuentas de default.
1. Política de dueños de la información
1. La información que reside en la infraestructura del sistema PCRDD y CFDI así como el cliente gratuito
y todos sus componentes respectivos, es propiedad de los contribuyentes del SAT y está en resguardo
y custodia de ATEB, por lo que también esta información debe ser protegida de:
1) La divulgación no autorizada;
2) Cambios o modificaciones no autorizados, su destrucción ya sea accidental o intencional; y
3) De la alta disponibilidad continua de los sistemas y datos, de y para, sus clientes,
independientemente de que los contribuyentes sean los propietarios de su información, ATEB
tiene la libertad y obligación de enviar oportunamente copia de la información de los comprobantes
fiscales digitales de los contribuyentes al SAT así como cuando esta entidad se lo solicite.
2. El custodio permanente de la información que reside en la plataforma tecnológica de la empresa es la
Gerencia de Sistemas.
3. Las áreas administrativas, operativas, técnicas y de negocio que serán las usuarias de la información
son las siguientes:
• Gerencia de ventas, Gerencia de soporte, Gerencia de implementación, Gerencia de
administración, Gerencia de documentos digitales, Gerencia de capital humano, Gerencia de
desarrollo.
• Área de Contraloría y Área de Seguridad Informática
• Usuarios Externos:
Contribuyentes SAT y SAT
4. Las áreas administrativas, operativas, técnicas y de negocio designarán a los responsables de la
información como “Dueños de la Información”, para la custodia de los datos que esté bajo su control.
5. Los Dueños de la Información clasificarán los datos y la información que esté bajo su control, según el
esquema de clasificación de la información definido en la política de clasificación de la información.
6. Las áreas administrativas, operativas, técnicas y de negocio se asegurarán de mantener actualizado
un inventario de productos, aplicaciones y bienes informáticos bajo su control.
Este inventario identificará específicamente al dueño de la información, el nivel del riesgo de negocio
que presenta y la clasificación de la información asignada.
ATEB
2. Política de controles de acceso
1.
Todas las plataformas de tecnología deberán contar con un mecanismo de control de acceso que
cumpla la política de identificación y autentificación de usuarios antes de poder utilizar los activos
informáticos de la organización.
2.
En ATEB se ejercerá un modelo de control de acceso no-discrecional, que es un conjunto de controles
operados y mantenidos centralizadamente y establecidos con la finalidad de hacer cumplir las políticas
de seguridad y sus objetivos y le niega la posibilidad al usuario de asignar los mismos permisos de
acceso a los recursos informáticos a individuos que no han sido autorizados por la organización.
3. Todos los accesos con derecho deberán poder ser rastreados a un USER ID y ueño asignado a
esa clave de usuario.
4. Las áreas de negocio instrumentaran controles de acceso que:
• Soporte de principio de “menor privilegio”
• Soporte de principio de “need-to-know”
• Estén completamente documentados
• Puedan ser auditables
5. Las áreas de negocio protegerán todos los sistemas de información de accesos no autorizados y se
asegurarán de que estos sistemas utilicen productos de seguridad, funciones o procesos con los que
se pueda medir el nivel de clasificación de los propios sistemas y de la información que manejen. Estos
requerimientos incluyen ambientes operativos que no sean de producción, como pueden ser los
ambientes de desarrollo y pruebas o el de control de calidad.
6. Las áreas de negocio instrumentarán y documentarán procesos para revisar y verificar al menos
anualmente los derechos de acceso a los sistemas.
Para los sistemas que manejen información clasificada como PRIVADA Y CONFIDENCIAL se harán
las revisiones al menos semestralmente.
7. Cuando una persona abandona la organización, todas sus afiliaciones a los “Grupos de usuarios” se
deberán borrar dentro del sistema. El ISO también es el responsable de coordinar y administrar los
intrusiones en tiempo real aprobado por la organización.
controles de acceso físicos, a los sistemas operativos y a las aplicaciones.
8. Las áreas de negocio instrumentarán y documentarán un proceso para asegurar que cualquier cambio
que ocurra en los permisos de accesos de los usuarios sea de forma inmediata y proveedores externos
se refleje máximo en 24 horas en que ocurra dicho cambio.
• Cada director de área será responsable por los permisos y derechos de acceso de los empleados
y proveedores externos que estén bajo su control.
9. La alta dirección aprobará un letrero o rótulo que se desplegará en todos los puntos de entrada a los
�sistemas y a las aplicaciones desarrolladas por la organización en donde los usuarios inicien una
sesión de trabajo.
10. El área de sistemas responsable de operar y mantener las redes de cómputo, se deberán asegurar de
que:
• Todas las conexiones de protocolo de Internet (IP) deberán estar protegidas por un firewall
aprobado por la compañía.
• Ninguna red inalámbrica (Wireless) tenga conexión a la red de la organización, a las redes de los
centros de datos y acceso a los tres niveles de servicio.
• Todas las conexiones a Internet deberán estar protegidas por un sistema de detección de
ATEB
• Todos los accesos por MODEM deberán estar protegidos contra usos no autorizados.
• Todas las conexiones por MODEM están prohibidas en cualquier equipo, excepto donde estén
explícitamente aprobadas y documentadas por escrito por la dirección de la organización y por el
ISO.
• Todos los usuarios ajenos a la organización (externos, proveedores y clientes) no tendrán acceso
a los activos de la misma.
Estándares
1. Todos los usuarios de la plataforma tecnológica de la organización deberán contar con credenciales
únicas e intransferibles de acceso a todos los sistemas.
Las credenciales de acceso a la plataforma tecnológica se integrarán al menos por:
a) una clave de usuario
b) una contraseña.
La contraseña es un dato que siempre estará clasificado como Confidencial.
Cada usuario es directamente responsable del uso de su credencial de acceso.
2. El enfoque que se utilizará para implementar el modelo de control de accesos no-discrecional será a
través de listas de control de accesos (ACL’s). Los ACL’s son una técnica de control de accesos que
se refieren al registro de:
• Los usuarios (en este contexto se incluye en el término “usuarios” a los individuos, los Grupos de
Usuarios, computadoras y procesos) a los que se les ha otorgado la autorización de usar un
recurso de cómputo en particular.
• Los tipos de acceso que le fueron autorizados a ejercer sobre el recurso (lectura, escritura,
borrado, etc.).
3. Los criterios para otorgar los permisos de acceso se basarán en:
• La identidad del individuo o proceso
• El rol del individuo o del grupo de usuarios
• La localización de donde intente realizar el acceso
• Día y fecha de acceso.
• Restricciones de servicios como no poder realizar dos accesos desde lugares o equipos diferentes
simultáneamente.
• Los modos de acceso comunes que son: Leer, Escribir, Cambiar y Eliminar. En la lista de control
de acceso discrecional no se le asignará al usuario la calidad de Dueño (Owner) ni la de poder
modificar los permisos asignados a un objeto.
3. Política de autorizaciones
1. Los dueños de las aplicaciones y de los datos de las aplicaciones deberán especificar de manera
expresa para cada usuario que pueden hacer en cada aplicación.
Los usuarios de las aplicaciones y datos pueden ser:
• Usuarios internos
• Usuarios externos como consultores, auditores, etc.
2. Todos los usuarios de las aplicaciones y de los datos de las aplicaciones, internos o externos a la
organización, tienen las mismas responsabilidades con respecto al uso y manejo las mismas, como es
la protección de la información.
ATEB
3. Todo el personal, interno y externo que se separe de la organización se le deberán suspender y
eliminar todos sus permisos de acceso lógicos y físicos a las aplicaciones y a los datos de las
aplicaciones, antes de ser notificados que serán separados de la organización.
Estándares de autorización
1. La persona específica identificada como Data Owner que autorice a un sujeto el acceso a los datos
sensitivos y confidenciales, será directamente responsable de analizar que la persona que reciba los
permisos otorgados no tenga conflicto de intereses con esa asignación.
2. La persona específica identificada como Data Owner que autorice a un sujeto el acceso a los datos
sensitivos y confidenciales, será directamente responsable de analizar que la persona que reciba los
permisos otorgados no entre en conflicto con el “Otro principio de seguridad” de Segregación de
funciones.
Es decir, el sujeto con permisos no podrá tener funciones de administrador y operador de datos de
manera simultánea.
3. La asignación de permisos para los usuarios deberá apegarse al principio de integridad de la
información del “Menor privilegio / Necesidad de Conocer” que implica que siempre se deberá
proporcionar la asignación mínima de permisos de acceso en base a la necesidad para poder cumplir
con sus tareas (“Least privilege / need to know”)
4. Se utilizarán los procedimientos descritos en la guía de operación de controles de acceso definidos
6. en el documento denominado “SAT-PAC-030 Control de acceso.
Las áreas de negocio deberán de asegurarse de que:
4. Política de identificación y autentificación de usuarios
La presente política describe una serie de requisitos necesarios y de recomendaciones encaminadas a
mejorar la seguridad y robustez en la identificación y autenticación mediante el uso de contraseñas
personales para el acceso a los servicios o tecnologías ofrecidos por ATEB.
1. Todas las plataformas de tecnología de la organización deberán de autentificar la identidad de los
usuarios antes de iniciar una sesión de trabajo o una transacción (incluyendo otros sistemas y
aplicaciones que tengan acceso a estas plataformas), a menos que la información a la que se va a
tener acceso esté clasificada como PÚBLICA.
2. Todos los usuarios estarán identificados para ingresar a las plataformas de tecnología por al menos:
• Una clave de usuario única (USER ID) y
• Una metodología de autenticación como es un password estático o dinámico; una llave pública;
un mecanismo biométríco u otro mecanismo de autenticación que permita la identificación única
del usuario.
3. Los usuarios son directamente responsables de toda actividad asociada con su USER ID y password.
4. Sobre los passwords estáticos:
• Nunca se deberán compartir, dar a conocer o escribir en ningún lugar.
• Consistirán de un mínimo de 8 (ocho) caracteres alfanuméricos.
• Nunca se deberán desplegar en la pantalla o impresora texto claro.
• Nunca se deberán almacenar en ningún dispositivo en texto claro.
5. Los USER ID asociados a passwords estáticos se deberán deshabilitar después —y no más— de 5
(cinco) intentos fallidos de login.
ATEB
• Todos los passwords estáticos se cambien periódicamente cada 30 (treinta) días.
• Que los USER ID sean deshabilitados a los 90 (noventa) días de inactividad de la cuenta.
7. Los ID’s funcionales se considerarán como una excepción de las restricciones de: compartir
passwords; deshabilitar la clave después de 5 intentos fallidos de login; los cambios periódicos de
passwords; y de los requerimientos de USER ID único.
1. Para los passwords estáticos y reutilizables, se definirá un procedimiento de cambio de claves de
acceso confidencial (passwords) difícil de adivinar y cambios periódicos. Un password difícil de
adivinar deberá considerar:
a. Un tamaño mínimo.
b. Requerir diferentes conjuntos de caracteres como letras minúsculas, mayúsculas,
números y caracteres especiales como el símbolo $.
c. Que no se repitan caracteres consecutivos.
d. Que el password sea diferente a su clave de usuario.
e. Contar con un diccionario de palabras prohibidas como puede ser el usar “password’ como
password.
f. Que nunca se desplieguen en pantalla.
g. Que los passwords siempre se guarden encriptados, con un mecanismo confiable de
encriptación y de preferencia que el algoritmo no tenga proceso de reversa, o sea, que no
se puedan desencriptar, por ejemplo el algoritmo SHA1.
h. Que se cambien con una periodicidad de 90 días a lo máximo.
i. Que no se permita repetir ninguno de los últimos 3 passwords.
j. Para los passwords de las claves sensitivas como Administrador local, Root, Administrador
de dominio, Administrador de las bases de datos, etc. Se utilice el principio de separación
de privilegios arriba descrito.
k. Tener un procedimiento especial para la utilización de las claves funcionales.
Estándares de identificación
1. El Gerente de Sistemas en conjunto con el Contralor de Aplicaciones son los únicos responsable
para la administración del sistema de control de accesos.
2. Los sistemas de información no permitirán a los usuarios, clientes o contribuyentes invocar ninguna
función o tarea sin estar previamente en sesión bajo una clave de usuario que identifique al que realice
la tarea (se exceptúa el proceso de login).
3. Cada usuario contará con una clave de acceso única denominada como “Clave de Usuario” (USER
ID).
4. Las claves de usuarios (USER ID) deberán estar compuestas de al menos por 10 caracteres.
5. Las claves de los usuarios deben ser de fácil definición para que estas puedan ser fácilmente
identificadas y asociadas al usuario.
6. El sistema de información no permitirá que los usuarios o los procesos cambien dinámicamente su
identificación sin una autorización expresa.
7. La asignación de las claves de usuario, deberán estar respaldadas por sus respectivas responsivas
de asignación y uso de claves.
ATEB
Estándares de autenticación
1. Manejo de contraseñas de superusuario, administrador y root:
a. El Gerente de Sistemas deberá poseer parte del password y el Contralor de Aplicaciones deberá
poseer otra parte del password del sistema de control de accesos siguiendo el procedimiento para
manejo de contraseñas de superusuario, administrador y root de acceso a los servicios
productivos, aplicaciones sensitivas y de misión crítica.
2. Mecanismos de autenticación mínimos:
b. La generación, utilización y cancelación de las claves de acceso de los usuarios están sujetas a
las políticas de control de acceso.
c. La selección de los mecanismos de autenticación deberán basarse en alguna de las siguientes
clases, listadas en orden ascendente de seguridad que proveen:
i. Passwords estáticos
ii. Passwords dinámicos
d. Si el sistema de información lo permite porque provee la funcionalidad, la siguiente información se
deberá desplegar después de un proceso exitoso de autenticación:
i. Fecha y hora del último acceso del usuario.
ii. El número de intentos fallidos de acceso a la cuenta desde el último acceso exitoso a la clave
de usuario.
e. En los casos fallidos de inicio de sesión por error en la captura de la clave de usuario y el password
no se deberá notificar al usuario la razón de la negación de permiso de acceso, ya que esta
información puede llegar a ser muy valiosa para un potencial atacante del sistema.
f. Las aplicaciones no deben depender del sistema operativo para proveer la identificación y
autenticación del usuario, esto mitiga el riesgo de que un atacante al tener acceso al sistema
operativo o a la red con un USER ID válido tenga automáticamente acceso a las aplicaciones
operativas.
3. Passwords estáticos:
a) Configuración de los passwords:
Todos los passwords estáticos se deberán apegar a los siguientes requerimientos de creación:
i. Consistirán de un mínimo de 8 (ocho) caracteres alfanuméricos.
ii. Se formarán del conjunto combinado de caracteres:
• Letras mayúsculas
• Letras minúsculas
• Números y
• Caracteres especiales como el signo $.
iii. Se exigirá una combinación con al menos un carácter de cada grupo escogido por el usuario
(Letras mayúsculas, minúsculas, números y caracteres especiales como el signo $).
iv. El password no podrá ser igual que el USER ID del usuario.
v. Los passwords no podrán comenzar ni terminar con espacios en blanco.
vi. Los passwords no podrán contener más de dos caracteres idénticos consecutivos.
b) Todos los passwords estáticos se deberán apegar a los siguientes requerimientos de
cambio:
ATEB
vii. Deberán existir procedimientos establecidos para el cambio de passwords, incluyendo
aquellos que pertenezcan a clientes y contribuyentes.
c) Cambios de passwords:
viii. El usuario deberá capturar su password viejo y 2 (dos) veces el password nuevo para autorizar
y confirmar el cambio del mismo.
ix. Se deberá limitar el cambio de password iniciado por el usuario a uno máximo al día.
siempre se guardará el hash del password de tal manera que no tengan un proceso de
x. Se prohibirá la reutilización de los passwords por al menos tres cambios consecutivos de
password.
xi. Se deberá solicitar automáticamente que los passwords sean cambiados máximo a los 30 días
de vigencia del mismo.
xii. Los passwords que han expirado su vigencia deberán ser cambiados antes de realizar
cualquier otra actividad en el sistema de información.
xiii. Se requerirá de cambios de password forzados siempre que se sepa que se comprometió la
seguridad de cualquier password, incluyendo los que pertenezcan a los clientes y
contribuyentes.
xiv. Deberá existir un procedimiento para que el ISO o el administrador de seguridad informática
cambie inmediatamente el password al enterarse de que la cuenta está siendo utilizada por
otra persona que no es el usuario autorizado.
xv. Las claves de usuario asociadas con passwords estáticos:
• Se deberán deshabilitar de acuerdo a las políticas de seguridad de la información después
de un período de inactividad.
• Se deberán eliminar si a los 30 días de creada no ha sido nunca utilizada para entrar al
sistema de información.
• Se deberán eliminar a los 30 días de inactividad de la cuenta.
• Se deberán inactivar o suspender en cualquier ausencia del usuario prolongada por más
de diez días.
• Deberá iniciar el protector de pantalla salvaguardado por password después de 15 minutos
de inactividad o cuando el usuario se aparte de su lugar de trabajo.
d) Distribución de passwords:
Todos los passwords estáticos se deberán apegar a los siguientes requerimientos de distribución
y reinstalación (reset):
xvi. Cada vez que el administrador de seguridad cree un nuevo password para una clave de
usuario de un empleado, cliente o contribuyente, se le deberá requerir al usuario el cambio de
password antes de ingresar al sistema de información.
xvii. Control compensatorio: Si el sistema no tiene técnicamente esta posibilidad, el administrador
de seguridad deberá exigirle al usuario que cambie su password en presencia de él.
xviii. Para el reseteo de un password o el cambio de una password asistido por el administrador de
seguridad se requerirá la autorización respectiva del usuario dueño de la clave de usuario y
de su supervisor, para comprobar la identidad del usuario.
e) Generalidades sobre los passwords:
xix. Los passwords de las aplicaciones sensitivas y de misión crítica NUNCA serán encriptados,
& Políticas Corporativas de Seguridad Informática
ATEB
decodificación. La única salvedad a esta disposición será la de los passwords de las cuentas
de usuario funcional.
xx. Se deberán deshabilitar los mensajes del sistema de información que indiquen la razón por la
cual un password específico no puede ser seleccionado, ya que esta información puede llegar
a ser muy valiosa para una potencial atacante.
xxi. Los empleados, proveedores externos, clientes y contribuyentes deberán ser capacitados en
el manejo apropiado de passwords.
xxii. Los passwords no deberán ser almacenados en la computadora personal para “facilidad” del
usuario.
4. USER ID’S de default:
a) Todas las cuentas de default de los proveedores de hardware y de software deberán ser
identificadas antes de la implementación o actualización del sistema.
b) Todos los passwords de las cuentas de default de los proveedores deberán ser cambiados
inmediatamente después de ser instalado el producto.
c) Todas las cuentas de default de los proveedores deberán ser borradas, desactivadas,
renombradas o de no ser posible esto de otra manera serán ocultadas.
d) Las áreas de sistemas y de seguridad informática deberán tener documentados procedimientos
apropiados para el cambio de password o la deshabilitación de todas las cuentas de default si
esas cuentas no son necesarias para la operación del sistema�
5. Claves de acceso privilegiadas
a) Se reducirá al mínimo el número de cuentas de usuarios con permisos privilegiados.
b) Solamente deberán ser utilizadas desde estaciones autorizadas, de preferencia solamente de
manera local al equipo donde resida la cuenta. Con esta medida se pretende ayudar a identificar
rápidamente intrusiones a los sistemas de información desde equipos no autorizados.
c) Todas estas cuentas deberán ser evaluadas como de ALTO RIESGO.
d) La utilización de estas cuentas se deberá reducir al mínimo posible, siempre se deberán
documentar incluyendo fecha, hora y motivo de uso. Con esta medida se pretende asentar las
bases para buscar accesos no autorizados a estas cuentas.
e) El uso de estas cuentas deberá ser supervisado y monitoreado por el asistente del ISO y las
bitácoras de acceso al sistema revisadas semanalmente para buscar discrepancias entre las
utilizaciones documentadas y las no documentadas que indicarían la presencia de un intruso en
los sistemas de información.
Estándares de operación de las cuentas de usuario
El uso de las credenciales de usuario deberá apegarse a los siguientes estándares:
1. Se deberá bloquear la clave de acceso al existir un máximo de 5 intentos fallidos.
2. Las políticas de control de acceso deberán ser revisadas y actualizadas por lo menos cada 6 meses.
3. Entrega de documentación que indique la administración de claves de acceso.
• Implementación de controles para el alta.
• Implementación de controles para cambios.
• Implementación de controles para baja de los usuarios.
4. La vigencia de las credenciales para el acceso a la plataforma de ATEB es la siguiente:
ATEB
• Usuarios internos con autorizaciones de acceso no privilegiadas de seis meses.
• Usuarios internos con autorizaciones de acceso privilegiadas de tres meses.
• Credenciales de acceso privilegiadas como Administrator, Root, etc. tres meses.
• Las credenciales de los clientes es de 12 meses.
5. El tiempo de conexión máximo desatendido para cualquier usuario es de 10 (diez) minutos.
Las conexiones de sesión de las aplicaciones desatendidas por más de 10 minutos se deberán cortar
y sacar al usuario de la aplicación.
6. Los equipos de cómputo desatendidos por más del plazo estipulado deberán ser bloqueados
automáticamente por el sistema operativo con base en las políticas de configuración de los equipos.
7. Todo el personal, interno y externo que se separe de la organización se le deberán suspender y
eliminar todos sus permisos de acceso lógicos y físicos a las aplicaciones y a los datos de las
aplicaciones, antes de ser notificados que serán separados de la organización.
8. La autorización y asignación de permisos a los usuarios siempre estará en base a los “Otros principios
de integridad” de:
• Soporte de principio de “menor privilegio”
• Soporte de principio de “need-to-know”
ATEB
III. Seguridad Física
Antecedentes
Dentro de los elementos que se deben proteger en ATEB están las áreas físicas de:
a) Los centros de cómputo en dónde se ubique la infraestructura tecnológica y
b) Las oficinas administrativas.
De manera adicional, se instrumentarán en los centros de cómputo, mecanismos de protección
ambientales y de soporte y mantenimiento.
Por el tipo de información que se maneja en la organización se deben segregar las áreas restringidas
mediante controles de accesos físicos mediante bardas y cercas, guardias y vigilancia y circuitos cerrados
de televisión o CCTV.
1. Política para el uso y contratación de centros de cómputo
1. Los centros de cómputo en que residan y se ejecuten las aplicaciones críticas deberán estar en lugares
seguros, libres de amenazas de alto impacto y con controles de protección perimetrales.
2. Los centros de cómputo en que residan y se ejecuten las aplicaciones críticas deberán contar con
controles de señalización de seguridad.
3. Los centros de cómputo deberán contar con una infraestructura de seguridad, instalación eléctrica y
monitoreo que minimice la posibilidad de detener las operaciones de las aplicaciones críticas de ATEB.
4. Los centros de cómputo deberán contar con sus propios planes de DRP para garantizar la continuidad
de su operación
Estándares
1. Ubicación física. El centro de cómputo en que operen las aplicaciones críticas de ATEB deberá
seleccionarse con una ubicación física segura y libre de riesgos de alto impacto como son:
• Estar alejado como mínimo lOOmts de lugares de alto riesgo como:
o Gasolineras
o Bancos
o Gaseras
o Minas
o Acometidas de cableado de luz
o Gas
o etc.
2. Estructura. El centro de cómputo debe contar con protección perimetral adecuada que impida el
acceso fácil desde el exterior y de ser posible, debe tener algún elemento adicional de protección como
malla de picos, malla eléctrica, etc.
• El centro de cómputo debe contar con paredes de concreto, puerta blindada, piso falso, acceso ya
sea por sistema biométrico o tarjeta de proximidad, o mínimo con acceso por teclado.
3. Infraestructura. El centro de cómputo debe contar con sistema contra incendios (Gas FM200),
detectores de humo.
• El centro de cómputo debe contar con cableado estructurado que cubra la necesidad de
continuidad en el servicio de Telecomunicaciones.
• Para el centro de cómputo se debe contemplar seguridad de interconectividad.
• El centro de cómputo debe contar con un adecuado sistema de aire acondicionado para evitar
problemas de sobrecalentamiento en el equipo.
ATEB
• El centro de cómputo debe contar restricción de acceso de medios de almacenamiento al personal
externo e interno que acceda al propio centro de cómputo.
• Revisiones periódicas por parte de la Unidad Verificadora de Instalaciones Eléctricas u otro órgano
de revisión y validar que el sistema de tierra de seguridad mantiene valores menores a 2 ohms.
• El sistema eléctrico debe ser monitoreado en línea por un sistema automatizado integrado al
sistema de monitoreo general del centro de datos.
• Medidas de detección de humedad y líquidos para evitar inundaciones.
4. Instalación eléctrica. El centro de cómputo debe contar con equipamiento eléctrico que permita
mantener la continuidad del servicio.
5. Mantenimiento. El centro de cómputo debe contar con un plan de mantenimiento para los equipos,
cableado, sistemas contra incendio, plantas, etc.
6. Planes de continuidad y de recuperación en caso de desastres.
• El centro de cómputo debe contar con la documentación necesaria de BCP que consideran las
aplicaciones e infraestructura requerida para garantizar la continuidad de la operación.
• Los planes de continuidad del centro de cómputo deberán ser probados al menos anualmente para
verificar su efectividad y eficiencia y las desviaciones son atendidas de manera inmediata, las
desviaciones son solventadas en menos de 3 meses.
7. Proveedores de los centros de cómputo.
Para el caso de los proveedores de centros de cómputo y hospedaje de la información, el Director
de Seguridad revisará que cumplan con los estándares mínimos de seguridad al presentar estos
el resultado o reporte de auditoría de cumplimiento denominado como:
• “Service Organization Control Report 1” (SOC 1) Tipo 2 o también conocido formalmente
como “Statement on Standards for Attestation Engagements No. 16 Type 2” (SSAE 16).
• En caso de que los proveedores externos aún no cuenten con estos reportes deberán
presentar al menos el Reporte de Auditoria SAS 70 Tipo II (Statement on Auditing
Standards No. 70) con una vigencia remanente de más de seis meses.
2. Política de seguridad física en las oficinas
1. Se deben proteger las oficinas como áreas seguras mediante controles de entrada apropiados para
asegurar que sólo se permita acceso al personal autorizado.
2. Por el tipo de información que se maneja en la organización las oficinas administrativas se deben
considerar como áreas restringidas.
3. En las oficinas de la organización se deberán contar con controles de accesos físicos mediante bardas
y cercas, guardias o vigilancia y circuitos cerrados de televisión o CCTV.
4. En las oficinas de la organización, deberán contar con controles de señalización de seguridad.
Estándares
1. Se deben utilizar perímetros de seguridad (barreras tales como paredes y puertas de ingreso
controlado, policías o recepcionistas) para proteger áreas operativas y de oficina que contienen
información de la empresa.
2. Se deben proteger las áreas seguras mediante controles de entrada apropiados para asegurar que
sólo se permita acceso al personal autorizado.
ATEB
IV. Seguridad en Equipos, Redes y Comunicaciones
Antecedentes
La línea base es un conjunto de requerimientos mínimos que se deben cumplir con la configuración de los
equipos, servidores físicos y virtuales, equipos de uso específico como HSM, NTP, etc. y comunicaciones
que utilicen las aplicaciones sensitivas y de misión crítica en ATEB.
1. Política para la definición de una línea mínima de seguridad informática
1. Los activos (aplicativos, servidores, bases de datos, dispositivos de red, etc.) del centro de :os que
tadas
dan soporte al proceso de PCRDD y CFDI deben contar con líneas base de seguridad docum<
e implementadas, que consideren como mínimo:
La protección del BIOS en arranque de los sistemas.
La deshabilitación de unidades de almacenamiento removibles.
La instalación del S.O. en partición exclusiva.
La inhabilitación de puertos, protocolos, usuarios y servicios innecesarios
Recomendaciones de seguridad del fabricante del equipo y sistema operatit
Los activos que dan soporte al proceso de PCRDD y CFDI deben contar con los últimos parches de
seguridad y actualizaciones emitidas por el fabricante de los servidores y sistemas operativos que
hayan pasado por un procedimiento de pruebas previas a la implementación.
Estándares
1. Plataforma:
- Tecnología actualizada
El aplicativo deberá estar alojado en equipo de cómputo actualizado y que cuente con los elementos
que garanticen el rendimiento y funcionalidad requerido por el aplicativo y sobre todo por el servicio.
- Seguridad en los sistemas operativos
El sistema Operativo instalado en el equipo deberá ser el adecuado para su correcto funcionamiento.
- Capacidades y monitoreo de las mismas
Toda la infraestructura y el equipo de cómputo deberán contar con el control de capacidades y
rendimiento.
- Disposición de la información
En caso de que la vida útil de los datos clasificados como confidenciales llegue a su fin por cuestiones
regulatorias, de operación o de negocio, se deberá borrar de los medios de almacenamiento de una
manera segura, o ser destruida en caso de datos físicos en documento impreso. Lo que implica que
la información del cliente en medios de almacenamiento será borrada de las bases de datos vigentes
de operación.
Los documentos físicos serán destruidos al ser triturados.
- Retiro y disposición de medios magnéticos
Se debe contar con el registro de todos los medios electrónicos que tienen relación con el proceso,
además de contar con procedimientos para el retiro de los medios electrónicos ya sea por daño,
obsolescencia o que se haya cubierto su vida útil.
- Servidores adicionales como de tiempo y de protecciones de certificados digitales
2. Equipo de Cómputo: La protección física de los equipos de cómputo.
- Los activos como servidores, bases de datos, dispositivos de red, etc. que dan soporte al proceso
de PCRDD y CFDI deben contar con líneas base de seguridad documentadas e implementadas, que
consideren como mínimo:
• Protección del BIOS en arranque de los sistemas.
ATEB
• Deshabilitación de unidades de almacenamiento removibles.
• Instalación del S.O. en partición exclusiva.
• Inhabilitación de puertos, protocolos usuarios y servicios innecesarios.
• Recomendaciones de seguridad del fabricante del equipo y sistema operativo.
• Los últimos parches de seguridad y actualizaciones emitidas por el fabricante de los servidores
y sistemas operativos.
- Se deberá contar con un servidor de tiempo NTP, con una sincronización por medio de un GPS en
su infraestructura.
- Todos las computadoras personales, servidores de red, laptops y estaciones de trabajo deberán
estar salvaguardadas por un protector de pantalla con password y establecer una activación
automática a los 10 minutos de inactividad o de que el equipo esté desatendido.
- El password deberá cumplir la política de identificación y autenticación.
3. Redes: Infraestructura de telecomunicaciones, protección de dispositivos, etc. Implementación de
dispositivos y controles para prevenir el acceso no autorizado a los sistemas.
Segmentación de redes en zonas, implementando dispositivos firewall para restringir el acceso
a los sistemas que almacenan y procesan la información relacionada con el SAT, PCRDD,
CFDI y contribuyentes.
La infraestructura de red se deberá configurar para que únicamente sistemas e individuos
autorizados tengan acceso a los sistemas con información relacionada con el SAT, PCRDD,
CFDI y contribuyentes.
4. Comunicaciones:
Servicios de telecomunicaciones de voz.
- Telecomunicaciones de datos e Internet.
Redundancias de telecomunicaciones y accesos a Internet.
Las redes dentro del centro de datos deben contar con dispositivos de prevención o detección
de Intrusos.
La red debe estar protegida con dispositivos de seguridad que apliquen listas de control de
acceso.
Las redes deben estar segmentadas para proteger el flujo de información en redes con
distintos tipos de usuarios.
5. Configuración de seguridad de los equipos:
Se deberá realizar un análisis de configuración
Se deberán realizar periódicamente pruebas de seguridad en tres niveles:
a) Análisis de vulnerabilidades de los equipos y redes no invasivas
b) Pruebas de penetración invasivas y no destructivas (Ethical hacking)
c) Pruebas de penetración invasivas y destructivas
Se deberá contar con evidencias del análisis de vulnerabilidades de cada equipo de la
plataforma
Se deberá contar con evidencias de consultas periódicas a las bases de datos de
vulnerabilidades de los grupos de interés, al menos las tres siguientes:
a) NIST NVD (National Vulnerability Database)-,
b) del MIT: MITRE CVE's & CWE’s;
c) SANS: 20 Critical Security Controls
Se deberá contar con evidencias de las configuraciones de seguridad en los equipos
ATEB
V. Seguridad en las aplicaciones y en las transacciones
Antecedentes
La mayor cantidad de vulnerabilidades en la seguridad se encuentran adentro de los aplicativos. Es por
esto que es necesario establecer una línea base de seguridad para las aplicaciones que se desarrollen
para los procesos relacionados con los CFDI’s y el PCRDD.
1. Política de línea base de segundad para las aplicaciones
1. Las aplicaciones sensitivas y de misión crítica deben contar con la definición de líneas base de
seguridad, documentadas e implementadas que consideren e incluyan como mínimo:
• Implementación de autenticación de los usuarios (internos o clientes).
• Implementación de mecanismo de no repudio de transacciones.
• Protección contra inyección de código.
• Inicio de sesión seguro.
• Validación de datos de entrada / salida para evitar errores en el procesamiento de la información.
• Manejo de errores.
• Expiración de sesiones después de 10 minutos de inactividad.
Estándares
Las líneas base de seguridad de las aplicaciones sensitivas y de misión crítica deben considerar los
siguientes elementos:
1. Implementación de autenticación de los usuarios (internos y clientes).
2. Implementación de mecanismo de no repudiación de las transacciones mediante bitácoras
respectivas.
3. Protección contra inyección de código malicioso.
• Del personal interno como desarrolladores
• De usuarios internos y externos autorizados
• De sujetos (personas y ejecutables) no autorizados
4. Inicio de sesión seguro.
• Conexión encriptada
• Proceso de identificación y autentificación mediante credenciales
• No despliegue de las contraseñas de las credenciales
• Bitácoras de conexión
5. Validación de datos de entrada / salida para evitar errores en el procesamiento de la información.
6. Manejo de errores.
ATEB
2. Política de control de acceso a las aplicaciones
1. Todas las aplicaciones sensitivas y de misión crítica deberán seguir los siguientes requerimientos para
poder ser usadas por los usuarios internos y los clientes de la empresa:
• Controles de acceso a las aplicaciones
• Manejo de las claves de usuarios y sus contraseñas de autenticación
• Manejo de seguridad por roles y actividades
• Manejo obligado de segregación de funciones
Las aplicaciones sensitivas y de misión crítica deberán operar en cumplimiento a los lineamientos de
operación segura de conformidad a los estándares que se establezcan al respecto.
Estándares
1. Todas las aplicaciones sensitivas y de misión crítica deberán ser iniciadas mediante un proceso de
identificación de credenciales l-A-A (Identificación, Autenticación y Autorización de permisos).
2. El proceso de autorización de permisos de las claves de usuario de las aplicaciones deberán ser
autorizadas por el Data Owner y realizadas técnicamente por la persona que tenga el rol de ISA
(Information Security Administrator) en la organización.
Las autorizaciones que se le otorguen a los sujetos siempre será en base a sus roles asignados.
3. El inicio de sesiones de los usuarios deberán apegarse a lo establecido en la Política de controles de
acceso del capítulo II. Políticas de Control de accesos.
4. Para procurar que se cumpla con el objetivo de seguridad de integridad de la información se
establecerá en todas las aplicaciones sensitivas y de misión crítica de la empresa el concepto conocido
formalmente como “Principios Básicos de la Integridad de la Información”.
1) Rotación de funciones
Rotar al personal en las diferentes funciones de la organización.
No dejar a una persona demasiado tiempo en un solo rol en la misma función con
responsabilidad administrativa.
Obligar al personal con funciones clave en la empresa a tomar vacaciones al menos una vez al
año.
2) Separación de tareas
- Dos mecanismos o personas que se deben coordinar para “abrir”, “desplegar” o “completar” un
proceso sensitivo, modificar información sensitiva y confidencial o un componente del sistema
o aplicativo de misión crítica.
Debe haber un acuerdo explícito entre dos entidades para ganar acceso o permiso al recurso
solicitado cuando éste sea un componente del sistema o aplicativo de misión crítica.
3) Menor privilegio / Necesidad de Conocer
- Asignación mínima de permisos de acceso en base a la necesidad para poder cumplir con sus
tareas ("Least privilege i need to know”).
ATEB
3. Política de operación de las aplicaciones
1. Todas las aplicaciones sensitivas y de misión crítica deberán seguir los siguientes requerimientos de
operación:
• Contar con una configuración segura
• Contar con un control de cambios
• Registro de bitácoras de operación
• De la documentación
• Ambientes de operación aislados e independientes entre sí para el desarrollo de las aplicaciones,
sus pruebas y de producción.
• De seguridad para el desarrollo de aplicaciones
• De seguridad en las bases de datos y su contenido
Estándares
De configuración de las aplicaciones
1. Todas las aplicaciones sensitivas y de misión crítica deberán sentar una configuración segura con
respecto a:
• Control y aseguramiento de las transferencias de información en la red e Internet
• Validación de las entradas o capturas iniciales
• Controles de mitigación de Backdoors y de troyanos
•• Manejo de bitácoras y pistas de auditorías durante la operación
Criptografía y manejo de llaves de encriptación
• Separación entre los aplicativos, los datos y los sistemas operativos de los equipos
• Posibilidad de exportación de información masiva por los usuarios
• Control de vigencia de las sesiones activas de usuarios
• Las aplicaciones deberán iniciarse de conformidad con la Política de control de accesos
• Todas las sesiones que estén inactivas por más de diez minutos deberá expirar la sesión y sacar
al usuario de la misma. Para continuar operando la aplicación el usuario deberá iniciar sesión de
conformidad con la Política de control de accesos
De control de cambios de las aplicaciones
1. Todas las aplicaciones deberán tener un proceso de control de cambios que consideren al menos los
siguientes elementos:
• Fecha del cambio
• Identificación del control de cambio
• Responsable del cambio
• Que generó el cambio
• Estimación de impacto de cambios
• Pruebas
• Autorización
• Liberación de cambios
• Reversos de cambios
Del manejo de bitácoras en las aplicaciones
1. Todas las aplicaciones sensitivas y de misión crítica deberán generar las siguientes bitácoras como
pistas de auditoría:
• Manejo de bitácoras de los errores o problemas en los aplicativos
ATEB
2. Las aplicaciones sensitivas y de misión crítica deben contar con bitácoras de acceso y uso, que deben
contener como mínimo:
Fecha y hora.
Usuario.
IP origen.
Registro de intentos de acceso fallidos.
Registro de accesos exitosos.
Registro de actividad de los usuarios.
Registro de cierre de sesión ya sea por inactividad o por parte del usuario.
Registro de consulta de las propias bitácoras.
Registro de errores y/o excepciones.
De la documentación de las aplicaciones
1.
Todas las aplicaciones sensitivas y de misión crítica deberán estar documentadas en los siguientes
niveles:
Arquitectura de la aplicación
Donceptual y de componentes de la aplicación�
iagra Diagrama de estructura de datos y de entidad - relación par 5 bases de datos
ma c Control de cambios
Control de versiones
2. actualizada:
Toda la documentación de las aplicaciones deberá estar complel
a. Interna al código fuente
b. Diagrama conceptual
c. Arquitectura de la aplicación
d. De estructura de datos
e. Diagramas entidad relación de las bases de datos
3. Toda la documentación deberá estar debidamente protegida y vigente de los desarrollos
De los ambientes de operación de las aplicaciones
1. Todas las aplicaciones sensitivas y de misión crítica deberán considerar al menos los siguientes tres
ambientes segregados e independientes de operación:
• Ambiente de producción
• Ambiente de control de calidad y pruebas
• Ambiente de desarrollos
2. El personal de desarrollo no deberá tener acceso en ningún momento al ambiente de producción.
3. No se deberá copiar información del ambiente de producción a los de control de calidad y pruebas ni
al de desarrollo.
4. Se deberá tener un control documentado de la migración de aplicaciones entre ambientes.
De seguridad para el desarrollo de aplicaciones
Para el desarrollo y adecuación de las aplicaciones propietarias se deberá cumplir con los siguientes
requerimientos:
1. Arquitecturas de los aplicativos considerando la seguridad respectiva
2. Manejo de los niveles de clasificación por los aplicativos y sistemas
3. Configuración de la operación de los aplicativos:
• Inicio y duración de las sesiones
ATEB
Transferencias de información en la red e Internet
Posibilidad de exportación de información masiva por los usuarios De seguridad en las base
Documentación protegida y vigente de los desarrollos s de datos
Manejo de las claves de usuarios y sus contraseñas de autenticación
Controles de acceso a las aplicaciones
Validación de las entradas o capturas iniciales
Controles de mitigación de Backdoors y de troyanos
Criptografía y manejo de llaves de encriptación
Manejo de bitácoras y de errores o problemas en los aplicativos
Manejo de bitácoras y pistas de auditorías de operación
Manejo obligado de segregación de funciones
Separación entre los aplicativos, los datos y los sistemas
O
1. Para el desarrollo y adecuación de las aplicaciones propietarias se deberá cumplir con los siguientes
requerimientos del manejo de las bases de datos:
• Manejo de las claves de administradores de bases de datos
• Separación de bases de datos
• Documentación de la estructura de las bases de datos
• Control sobre la inserción de Triggers
De seguridad en el almacenamiento de los datos
1. Los medios donde se almacene información sensitiva y confidencial deberá estar inventariada y
etiquetada con el nivel de CONFIDENCIAL.
2. Los medios donde se almacene información CONFIDENCIAL se deberá dar el tratamiento de acuerdo
mediante la documentación respectiva en la que se especificará:
a esta clasificación.
3. Los medios donde se almacenen respaldos o información de los contribuyentes o del SAT deberán
estar sujetos a un procedimiento formal de destrucción o borrado seguro que debe contener como
mínimo:
• Solicitud y Autorización explícitas de la destrucción o borrado.
Actas de destrucción o borrado firmadas por el personal que lo realiza.
ATEB
VI. Criptografía y encriptación
1. Política de criptografía
1. Para la administración y protección de los certificados, llaves de encriptación y passphrases se llevarán
registros de los hashes de control para cada una de las llaves, certificados y otros elementos de
criptografía para asegurar la integridad de los mismos.
2. La solución implementada deberá cumplir con los controles de criptografía, independientemente del
tipo de solución o arquitectura implementada.
3. Los mecanismos de criptografía deberán estar alineados a mejores estándares de seguridad y deberán
prevenir el descifrado de llaves.
Estándares
1.
2. ningún otro dispositivo.
Los hashes deberán ser verificados semanalmente y se mantendrá un registro de las revisiones
jecificará:
5. a) Las llaves o certificados evaluados
b) Los hashes de control esperados
c) Los hashes de control obtenidos
Se generarán tickets de incidentes o documentación formal para darle seguimiento a las posibles
desviaciones.
7.
La ubicación física en donde se encuentre almacenada la llave privada del certificado digital que
emite el SAT al PCCFDI y/o al PCRDD deberá encontrarse segregada:
• No deberá haber personal operativo de forma regular.
• Deberá mantenerse un registro de los accesos.
• No deberá ingresar personal no monitoreado a esa zona.
Deberán registrarse todos los accesos físicos al dispositivo en donde se almacena la llave privada
9.
del certificado digital que el SAT le emitió al PCCFDI y/o al PCRDD.
Deberán registrarse todos los accesos lógicos y las operaciones en el dispositivo donde se almacena
la llave privada del certificado digital que el SAT emitió al PCCFDI y/o al PCRDD.
El acceso al dispositivo que contiene la llave privada del certificado emitido por el SAT debe realizarse
a través de una autenticación de la identidad de la persona que accede a dicho dispositivo.
La capacidad de ejecución de tareas a realizar en el dispositivo que almacena la llave privada del
certificado emitido por el SAT deberá estar definida con base en roles.
Los roles de gestión y configuración de parámetros de seguridad deben ser asignados a personal
restringido con autorización y responsabilidad claramente asignada.
El dispositivo que almacena la llave privada del SAT debe contar con recubrimiento especial, sensible,
que prevenga que el dispositivo sea abierto, o que al ser abierto, impida el acceso a la información.
Administración de parámetros críticos de seguridad (tal como la llave privada) en el dispositivo que
almacene dicha llave.
10. Deberá registrarse formalmente el procedimiento de ingreso de la llave privada.
Esto se realizará frente a un testigo independiente y se generará un acta en la cual los participantes
firmarán que han atestiguado dicho ingreso y que la llave no fue copiada ni ha sido comprometida.
11. Una vez ingresada la llave privada al dispositivo que la almacenará, ésta ya no se almacenará en
ATEB
12. Se deberán implementar mecanismos de criptografía para soportar las siguientes funcionalidades:
a) Autenticación de los clientes, PCCFDI y PCRDD.
b) No repudiación de las transacciones.
c) Inspección documental, entrevistas, revisión de archivos de configuración y pruebas de acceso a
la aplicación para asegurar que se han implementado mecanismos de criptografía para asegurar:
a. La autenticación de los clientes, PCCFDI y/o PCRDD.
b. La autenticación del PCCFDI y/o PCRDD con el SAT.
c. No repudio de transacciones.
2. Política de encriptación
1. Toda la información clasificada como CONFIDENCIAL deberá estar encriptada de conformidad con
los estándares de encriptación de datos.
Estándares
1. Las contraseñas de acceso (Passwords y Passphrases) deberán estar encriptadas para evitar su
posible conocimiento por personal no autorizado.
2. La información clasificada como CONFIDENCIAL, deberá estar encriptada para evitar su posible
conocimiento por personal no autorizado.
Este requerimiento incluye todos los medios de almacenamiento usados como bases de datos, discos,
unidades ÑAS y/o SAN, cintas, respaldos en sitio y fuera de sitio, etd�
ATEB
Vil: En las operaciones de la organización
Antecedentes
La protección de la información en ATEB abarca más allá de la contenida adentro de la plataforma
tecnológica como lo son computadoras, servidores físicos y virtuales, redes, comunicaciones, medios de
almacenamiento digital, etc.
La salvaguarda de la información considera elementos externos como los datos en documentación
impresa, personal, el conocimiento de los colaboradores de la empresa, etc.
Además, la Gerencia de Sistemas, con el apoyo de sus proveedores externos del Data Centre y
Administrador de la plataforma tecnológica hospedada en el Data Centre, administra los recursos
informáticos requeridos para soportar la operación diaria de las operaciones de negocio.
Estos estándares representan el conjunto de requerimientos mínimos de seguridad informática que se
deben cumplir para garantizar la disponibilidad de los sistemas de información.
Al cumplir con las políticas y estándares de respaldo de la información, se establece una barrera de
seguridad que tiene el objetivo de asegurar la disponibilidad de los sistemas de información en todo
momento.
1. Política de personal
1. Selección y contratación.- En el proceso de selección de personal el área que busca capital humano
deberá notificar claramente al área responsable de contratación de los colaboradores que se debe
realizar la verificación de antecedentes de todos los candidatos a puestos internos de la empresa.
2. A todos los candidatos, el personal que desee ingresar a puestos internos de la empresa se les deberá
llevar a cabo la verificación de antecedentes.
3. Al personal que ingrese a la organización y vaya a trabajar directamente con información sensitiva y/o
confidencial de los clientes, deberá evaluarse si el candidato se somete a un proceso de evaluación
de confianza.
4. Separación.- El área responsable del capital humano de la empresa deberá instrumentar los
procedimientos necesarios para la devolución de los activos que el personal tuvo asignado mientras
laboraba en la empresa.
5. Terceros. En el proceso de la administración y manejo de personal o empleados externos a la
organización se deben de contemplar las siguientes figuras.
• Empleados externos
• Consultores externos
• Proveedores de servicios
Se deben identificar los riesgos a la información de la organización, a cualquiera de las instalaciones
de la organización y a las instalaciones del procesamiento de la información cuando se impliquen a
terceros, tales como empleado externos a la organización, consultores externos y proveedores de
servicios
Se deben implementar controles robustecidos apropiados antes de conceder el acceso a cualquier
personal considerado como tercero o externo en la organización.
ATEB
Estándares
1. Todos los empleados de nuevo ingreso deberán firmar un convenio de confidencialidad de la
información con ATEB.
2. Todos los empleados que se separen de la organización deberán firmar un convenio o acuerdo de
confidencialidad para garantizar que el personal dado de baja conservará sus obligaciones con
respecto a la confidencialidad de la información a la que tuvo acceso durante su estancia en la
empresa.
3. Se deben formalizar mediante un convenio respectivo o acuerdo de servicio las responsabilidades del
personal externo con respecto a la seguridad de la información.
4. La formalización y la atención a los riesgos inducidos por terceros, puede pero no se debe limitar a la
firma de convenios, entendimiento de los riesgos y secrecía contractual del personal externo con la
información a la que se tuviera contacto con la organización.
5. La atención a los riesgos inducidos por terceros, puede pero no se debe limitar a controles de acceso
robustecidos para la identificación, atención y vigilancia del personal externo que ingresa a las
instalaciones de la organización e instalaciones de procesamiento de la organización.
2. Política de concientización de la seguridad informática
1. Se deberá contar con un programa de concientización de la seguridad de la información que considere
los siguientes niveles de educación en materia de seguridad de la información:
• Divulgación a todo el personal
• Capacitación a todo el personal
• Entrenamiento específico al personal que esté involucrado directamente en el manejo de
información sensitiva y/o confidencial
El proceso de divulgación y capacitación de la seguridad informática sirve para concientizar y
sensibilizar a los trabajadores de lo que implica la seguridad dentro de la organización.
Es usada para enseñar a los empleados sus obligaciones y responsabilidades en cuanto a la
protección de los activos de la organización frente a las amenazas internas y externas.
Los empleados aprenderán a proteger la información de la empresa frente a los ataques electrónicos,
como virus y gusanos, la ingeniería social y otras las amenazas físicas, lógicas y de personal.
Los programas de sensibilización al personal en materia de seguridad de la información le permiten a
la organización el poder reducir el nivel de riesgo mediante la integración de la seguridad en todos los
procesos sustantivos del negocio.
2. El programa de concientización deberá tener una estructura y una metodología formal de conformidad
con los estándares establecidos al respecto.
3. El alcance del programa de concientización considerará los siguientes elementos:
• Estructurar una campaña de comunicación.
• Definición de las métricas para evaluación de la efectividad.
• Reforzamiento de la campaña inicial.
Esto aplicará al personal de todos los niveles de la organización, desde los directivos hasta los
empleados que no tengan contacto con la plataforma tecnológica para el desempeño de sus labores
cotidianas.
ATEB
Estándares
1. Todo el personal deberá pasar por un proceso de concientización de seguridad de la información y su
reforzamiento respectivo al menos dos veces al año.
• En este proceso de capacitación se tocarán diversos aspectos con respecto a la protección de la
información y a la obligación y responsabilidad de los empleados en el manejo de la misma.
2. Todo el personal de nuevo ingreso a la empresa deberá pasar por un proceso de concientización de
seguridad de la información como parte del proceso de inducción a la misma.
3.
La metodología para la concientización del personal en materia de seguridad de la información deberá
considerar al menos los siguientes elementos:
a) Un diseño con la estrategia de concientización en seguridad
b) Un proceso previo al inicio del programa de capacitación
c) Lanzamiento y mantenimiento
d) Evaluación del plan
e) Reforzamiento de la campaña inicial
El diseño de la estrategia de concientización en seguridad deberá considerar los siguientes elementos:
• Selección del patrocinador
• Definición de metas y objetivos
• Diagnóstico de cultura corporativa
• Análisis de resultados
5. El proceso previo al inicio del programa de capacitación deberá considerar:
• Estructuración de la campaña de concientización
• Selección de tipo de campaña
• Selección de medios de difusión
• Elaboración de material escrito y electrónico
6. El lanzamiento y mantenimiento deberá considerar:
• Definición de calendarios
• Ejecución de eventos, conferencias y sesiones informativas
• Publicación de medios impresos y electrónicos
7. La evaluación del plan deberá considerar:
• Elaboración de las métricas de determinación de efectividad
• Selección de herramientas
• Ejecución de evaluación
8. El reforzamiento de la campaña inicial deberá considerar:
• Análisis de resultados de la evaluación
• Adecuaciones a la campaña
• Desarrollo del plan de mantenimiento
ATEB
3. Política de responsabilidad en el manejo de la seguridad de la información
1. Todo el personal deberá conocer sus responsabilidades con respecto al manejo de la información de
ATEB.
2. Todo el personal deberá aceptar de manera formal su responsabilidad en el manejo de la seguridad
de la información.
3. Todo el personal debe manejar de manera correcta y adecuada la información que operan diariamente
en sus funciones laborales, manteniendo siempre la seguridad de la información como elemento clave.
Estándares
1. Se debe de informar mediante un acuerdo o formato por escrito los accesos a la información que el
empleado puede ingresar, modificar y borrar.
2. La Gerencia de Capital Humano debe de tener las medidas necesarias para poder sancionar a los
empleados que incurran en un mal manejo de la información y por consecuencia haya sido violada la
seguridad de la información. Estas medidas pueden ser desde una llamada de atención hasta la
separación de su cargo.
3. La Gerencia de Sistemas debe de contar con los mecanismos suficientes y sustentables para poder
realizar verificaciones de No Repudio y control de cambios a la información que tienen accesos los
empleados de ATEB.
4. Política de cumplimiento
Antecedentes
ATEB está totalmente comprometido con el cumplimiento regulatorio de las normas regulatorias
nacionales por lo que todos sus socios, directivos, empleados, colaboradores y proveedores también
deberán asumir este compromiso total. Adicionalmente la administración de la organización, sus productos
y servicios deben cumplir con los marcos regulatorios extranjeros para apoyar a sus clientes que lo
requieran y así darle una ventaja competitiva a la empresa sobre su competencia.
Ningún socio, directivo, empleado o colaborador tendrá actitudes en contra de estas disposiciones.
1. Política de compromiso de cumplimiento
1. ATEB está comprometido totalmente con el cumplimiento regulatorio de las normas regulatorias
de la información sale mal.
nacionales por lo que todos sus socios, directivos, empleados y colaboradores y proveedores también
deberán asumir este compromiso total.
2. La administración de la organización, sus productos y servicios deben cumplir con los marcos
regulatorios extranjeros para apoyar a sus clientes que lo requieran y así darle una ventaja competitiva
a la empresa sobre su competencia.
2. Política de debido cuidado (Due care)
1. Los socios y directivos de la organización deberán tener en todo momento el debido cuidado (Due
Care) de que la empresa asuma la responsabilidad de las actividades que tienen lugar dentro de la
corporación y de que se tomen las medidas necesarias para ayudar a proteger a la empresa, sus
recursos y a los empleados de posibles amenazas.
En la organización se practicará el debido cuidado por medio del desarrollo, implementación y
verificación del cumplimiento de políticas, estándares y procedimientos de seguridad de la información.
De esta manera se mostrará que se está actuando de forma responsable y tendrá una menor
probabilidad de ser encontrados negligentes y responsables si algo que se lleva a cabo con el manejo
ATEB
Due care = Hacer lo correcto
3. Política de diligencia debida (Due diligence)
La diligencia debida es tener el cuidado en ejecutar algo.
Due Diligence = Proceso de buscar y detectar irregularidades
1. Los socios y directivos de la organización instrumentarán controles suficientes para investigar y
comprender las amenazas que enfrenta la compañía y determinar el nivel de riesgo de la misma.
2. Los socios y directivos tomarán las acciones necesarias para llevar el nivel de riesgo de la organización
a un nivel aceptado y tolerado de conformidad con los lineamientos que se establezcan en la estrategia
de gestión de riesgos corporativos.
4. Política de ética en ATEB
1. Los colaboradores de ATEB en las distintas áreas, deberán asegurar que las actividades realizadas
dentro de la organización estén apegadas a los valores, ética, políticas, procedimientos, leyes y
normativas, aplicables en la organización.
2. La comunidad de ATEB deberá de interactuar de manera respetuosa con los compañeros,
colaboradores, jefes, competencia, proveedores, clientes, accionistas y con la sociedad en general,
promoviendo siempre un trato amable, de igualdad, cortés, responsable, ético y de sana convivencia.
3. ATEB, en todos los niveles jerárquicos, deberá tener un trato responsable, ético y transparente con
las entidades de gobierno, no deberán aceptar ni hacer, ningún tipo de ofrecimiento de cualquier
índole por parte de o hacia éstas, evitando así malas interpretaciones por parte de nuestros grupos
de interés.
4. Los colaboradores de ATEB deberán cumplir expresamente con las leyes aplicables a todos los
ciudadanos, ser partícipes de los usos y costumbres de la sociedad, ejercer sus profesiones con ética,
realizar actos seguros que no pongan en riesgo su salud o la de sus compañeros dentro de la empresa,
promover la calidad de vida con su familia, con la empresa y con el país.
5. Todos los colaboradores de ATEB deberán conocer y respetar las políticas establecidas al interior de
las áreas, así como las generales, por su parte la Dirección y Gerentes de las áreas se asegurarán
que sean comunicadas, revisadas y actualizadas al menos una vez al año.
Estándares
1. Los socios y directivos tomarán las acciones necesarias para realizar un proceso de verificación del
cumplimiento del marco normativo nacional así como de los estándares y políticas corporativas.
ATEB
5. Política de protecciones de datos e información
1. Se deben generar respaldos de los activos y la información que dan soporte a las aplicaciones
sensitivas y de misión crítica, por lo que los datos e información de estos considerados, se protegerán
o respaldarán diariamente.
2. Los tipos de respaldos serán los diarios, semanales e históricos mensuales.
3. Los datos de operación diaria, en respaldos e históricos serán resguardados y custodiados en todo
momento por la Gerencia de Sistemas. Los medios de almacenamiento en dónde se resguarden los
datos deberá estar etiquetada conforme a la política de clasificación de la información.
Estándares
1. Las protecciones semanales serán los fines de semana por las noches mediante el proceso de “full
backups’’.
Solamente se respaldarán los datos.
2. Las protecciones diarias serán por las noches mediante el proceso de “backups” increméntales o
diferenciales.
Solamente se respaldarán los datos.
3. Las protecciones mensuales serán el último día de cada mes por las noches mediante el proceso de
“full backups”.
Se respaldarán los datos históricos del mes, las aplicaciones, los sistemas operativos y sus utilerías,
los manejadores de bases de datos, la configuración de los equipos y de las aplicaciones, las llaves
criptográficas y contraseñas vigentes.
7. El procedimiento de los respaldos considerará al menos las siguientes actividades:
4. La custodia y resguardo de esta información será por parte del área de Operaciones de la Gerencia
Actividad Descripción
de Sistemas.
Copias de Es el proceso de copiar los datos de un medio de almacenamiento a otro.
5. Se tendrán bitácoras con al menos la siguiente información:
seguridad de la Incluye las utilerías de Copy & Backup de las bases de datos.
• información
Tipos de respaldos
• Periodicidad de los mismos
Verificación de las Es el proceso de revisar que las protecciones hayan sido bien realizadas,
• Respaldos de las pistas de auditorías y de trazabilidad de las operaciones
copias de
• Resguardos In site que estén completas y sean correctas.
seguridad
•Validación de las
Resguardos Offsite Es el proceso por el cual los dueños de los datos pueden obtener
• Etiquetado de los respaldos
copias de seguridad información considerando como fueron copiados esos datos.
• Disposición de los medios físicos de los respaldos
6. Para los proveedores externos de centros de cómputo y de los Security Operation Center (SOC’s)
Actividad Descripción
Mecanismos de Se tendrán tres mecanismos de control para la comprobación de las
comprobación protecciones:
1. Las que emitan los sistemas de respaldo.
2. Las de análisis de los reportes que emitan los sistemas de respaldo
como son la verificación de:
• La duración de la protección
• Tamaño de los respaldos
• Cantidad de registros escritos
• Tendencias respectivas en duración y tamaño de datos
3. La restauración de la protección y la validación respectiva por parte de
los dueños de los datos.
Restauración de las Es el proceso de una recomposición real del ambiente de producción
copias de seguridad cuando llegue a presentarse un problema de pérdida o inconsistencia de
información.
Registro y Es el proceso de identificación de los activos mediante las fechas en el
etiquetado de las formato del día, mes y año de creación de las copias de seguridad.
copias de seguridad
Protección de las Es el proceso de proteger y custodiar los medios externos de las copias de
copias de seguridad seguridad en las bóvedas de ATEB:
• Del Data Centre primario
• Del Data Centre secundario o alterno
• En la bóveda externa de ATEB
Así como en y durante su traslado entre estas bóvedas.
Codificación de las Es el proceso de cifrado de las cintas donde se almacenan los respaldos
cintas de respaldo de los activos o copias de seguridad de la organización para evitar su
(Encriptación) posible conocimiento por personal no autorizado.
Decodificación de Es el proceso de descifrado de las cintas donde se almacenan los
las cintas de respaldos de los activos o copias de seguridad de la organización para la
respaldo restauración o para su posible conocimiento por personal autorizado.
(Desencriptación)
Identificación de Es el proceso de identificación de un problema de seguridad con la
problemas creación de uno o más respaldos o copias de seguridad. Identificados por
la fecha de creación y fecha de remediación.
Bitácoras de los Se llevará el registro de actividades del proceso de protecciones y
respaldos recuperaciones de datos en una bitácora.
Se llevará el registro de una bitácora separada en independiente por cada
centro de datos.
Elaboro: ATEB Elaboración inicial: 10/Nov./2010 Actualización: 30/Jun./
Versión: Ver. 5.1 2017
Documento clasificado como de “USO INTERNO” Página: 70 de
Políticas Corporativas de Seguridad Informática
Políticas Corporativas de Seguridad Informática
ATEB
G Plan Estratégico de Negocios de ATEB 2015-2020
6. Política de protección contra software malicioso
1. Se requiere el aseguramiento del compromiso institucional de la información mediante la protección
contra código malicioso mediante el uso de programas antivirus, antispam, antispyware.
Estándares
1. Todos los equipos deberán estar protegidos por programas antivirus, firewalls, antispam, antispyware.
antimalware en general.
2. Se deberán establecer mecanismos automatizados para que se actualicen de manera automática las
listas negras y el motor del antivirus.
3. Las estaciones de trabajo, los equipos como laptops y dispositivos móviles de la empresa deberán
tener un motor de antivirus diferente al de los servidores.
4. Los empleados y colaboradores no deberán tener autorización para modificar la configuración de las
herramientas de protección de sus equipos.
5. Los equipos al detectar código malicioso deberán generar alertas que se comuniquen al área de
Operación de la Gerencia de Sistemas para ser revisado y corregido el incidente.
6. El área de seguridad deberá llevar bitácoras de los incidentes, sus seguimientos y remediación de los
problemas en cuestión del código malicioso.
7. Política de escritorio limpio
La presente política describe la protección de cualquier tipo de información, en cualquiera de sus formas
que puedan estar contenidas en escritorios del centro de trabajo y en general todo tipo de información que
es utilizada por cualquier colaborador de ATEB, para apoyar la realización de sus actividades laborales.
1. La información sensitiva y confidencial no solamente reside dentro de la plataforma tecnológica,
también se presenta en forma impresa como contratos de confidencialidad de los clientes, estrategias
de negocio, información de datos privados de personas, etc. Es por ese motivo que la información
impresa se debe proteger y salvaguardar de su divulgación no autorizada.
2. La información privada no solamente reside dentro de la plataforma tecnológica, también se presenta
en forma impresa. Es por ese motivo que la información impresa se debe proteger y salvaguardar de
su divulgación no autorizada.
3. Cualquier dato sensible, privado o del ámbito confidencial, en el cual su clasificación contenga la
calidad de la información y clasificación de la misma deberá de ser no accesible por cualquier usuario
no autorizado en la organización incluyendo usuarios internos y externos, mediante el guardado de la
información en anaqueles, gavetas o medios de seguridad que puedan proteger la fácil accesibilidad
a este tipo de información.
Estándares
1. Todos los empleados internos así como los colaboradores externos deberán tener su entorno de
trabajo y escritorio libre de información sensitiva y confidencial.
2. Todos los empleados internos así como los colaboradores externos deberán al final de sus jornadas
laborales dejar sus escritorios limpios de información sensitiva y confidencial.
laborales guardar su equipo de cómputo en cajones, anaqueles, gavetas, cajas fuertes o cualquier
ATEB
medio que proteja el equipo de cómputo de un robo, debiendo tener como mínimo mecanismos de
seguridad como chapas con llave, candados o mecanismos de combinaciones.
laborales guardar todos los documentos que contengan información sensitiva y confidencial en
cajones, anaqueles, gavetas, cajas fuertes o cualquier medio que proteja la información con
mecanismos de seguridad como chapas con llave, candados o mecanismos de combinaciones.
5. Todos los empleados deberán realizar como última actividad de labores revisar que su entorno de
trabajo esté limpio y los lugares que sirvan de repositorio de información sensitiva y confidencial estén
bien cerrados con llave y/o candado.
6. Se deben de implementar controles que brinden la seguridad necesaria para que los iconos del
escritorio del sistema operativo de todos los equipos de cómputo no sean accesibles para sustracción
de la información. Haciendo no necesaria la aplicación de éste control a los servidores de la
organización.
7. Todos los empleados deberán tener su pantalla del equipo de cómputo despejada de información que
pueda ser relevante, como pueden ser; notas con información de contraseñas, direcciones IP, o algún
otro tipo de información que ponga en riesgo la confidencialidad, integridad y disponibilidad de la
información.
8. Política de equipo desatendido
La presente política debe garantizar que los equipos desatendidos sean protegidos adecuadamente,
requiriendo una protección específica contra accesos no autorizados cuando se encuentren desatendidos.
1. Todas las computadoras personales, laptops y estaciones de trabajo deberán estar salvaguardadas
por un protector de pantalla con password y establecer una activación automática máximo a los 10
minutos o menos de inactividad o de que el equipo esté desatendido.
2. El password deberá cumplir la política de identificación y autenticación y nunca se deberá de eximir de
un password para el inicio o reinicio de sesión.
Estándares
1. Todos los empleados internos deberán cumplir con el protector de pantalla mediante el uso de
herramientas de administración que garanticen el tiempo exacto de activación del salvapantallas.
2. Todos los empleados internos deberán cumplir con la activación del protector de pantalla cuando vayan
a retirarse, levantarse o separarse por un breve tiempo de su área de trabajo.
3. Todos los empleados internos deberán cumplir la desactivación del salvapantallas mediante password,
cuando regresen a su área de trabajo.
4. Todos los colaboradores externos deberán de cumplir con el protector de pantalla mediante el
cumplimiento en tiempo y forma en el tiempo que se encuentren laborando en las oficinas de ATEB,
cuando vayan a retirarse, levantarse o separarse por un breve tiempo de su área de trabajo. Es
necesario que el personal de ATEB de contacto con los externos dentro de la organización informen
siempre del cumplimiento de la política.
5. Todos los colaboradores externos deberán de cumplir con la desactivación del salvapantallas mediante
password, cuando regresen a su área de trabajo.
ATEB
9. Política de uso permitido de los activos de la organización
La presente política describe el uso aceptable de los activos de la organización para facilitar y agilizar los
procesos y mejorar la calidad en la prestación de servicios. La mejora de los procesos en los sistemas de
información supone regular el uso apropiado de sus componentes y equipos, así como la implantación de
aquellas medidas necesarias para garantizar la confidencialidad de la información.
A. Sobre el buen uso de los activos Informáticos
1. El equipo de cómputo que ATEB hace entrega a sus empleados para realizar sus funciones laborales,
está otorgado de acuerdo y en base a las funciones de sus roles y responsabilidades respectivas y es
propiedad de la organización.
2. El equipo de cómputo que ATEB hace entrega a sus empleados para realizar sus funciones laborales,
es para uso exclusivo a las actividades relacionadas a las labores de la empresa, en base a las
funciones de sus roles y responsabilidades respectivas y encomendadas por la organización.
3. Todos los accesorios de cómputo (diademas telefónicas, mouse, teclado, etc.) que ATEB entrega a
sus empleados para realizar sus funciones, son para uso exclusivo a las actividades relacionadas a
las labores de la empresa y encomendadas por la organización.
B. Sobre el buen uso del software
4. El software que se entrega instalado en los equipos de cómputo de ATEB, es propiedad de la
organización en el caso del software licenciado.
5. El software libre que se entrega instalado en los equipos de cómputo de ATEB, es propiedad bajo el
régimen de las licencias GNU, GNU-2, BSD, MIT, etc. Y está licenciado o permitido su uso, siempre
bajo los regímenes de las licencias correspondientes de las fundaciones y organizaciones creadoras
y dueñas del software.
6. El software libre que se entrega instalado en los equipos de cómputo, es para uso exclusivo a las
actividades relacionadas a las labores de la empresa y encomendadas por la organización.
C. Sobre el buen uso de los sistemas de información
7. Los sistemas de información de ATEB, incluyendo los programas, aplicaciones y archivos electrónicos,
pertenecen a ATEB, y solo pueden utilizarse para fines relacionados al desempeño de las tareas que
los empleados tengan encomendadas como personal de la organización.
8. Los sistemas de información y las herramientas asociadas de ATEB, solo pueden ser utilizados por
personal debidamente autorizado. Será responsabilidad de cada área definir las tareas que conlleven
�acceso a tales herramientas. No se autoriza su uso con fines personales.
9. La información desarrollada, transmitida o almacenada en los sistemas de información de ATEB
pertenecen a ATEB.
10. No está permitido la creación de ficheros con datos personales sin la conformidad autorizada por el
departamento de sistemas, de seguridad de información y la alta gerencia, con el objeto de adoptar
las medidas necesarias para asegurar la legalidad y seguridad del tratamiento de la información
personal.
ATEB
11. Los programas o software y recursos utilizados en ATEB deben tener su correspondiente licencia en
vigor o autorización de uso explícita para poder ser utilizados. Dichos programas o software solo
podrán ser instalados por personal autorizado para tales efectos.
Estándares
1. Los activos informáticos en ATEB son para uso exclusivo relacionado con los giros del negocio de la
organización, por lo que los empleados y colaboradores externos deberán utilizar los activos
informáticos para fines únicamente laborales y para cumplir con sus funciones de trabajo hacia ATEB.
2. El software y recursos informáticos en ATEB son para uso exclusivo relacionado con los giros del
negocio de la organización, por lo que los empleados y colaboradores externos deberán utilizar los
activos informáticos para fines únicamente laborales y para cumplir con sus funciones de trabajo hacia
ATEB.
3. Cualquier desviación sobre el uso permitido de cualquiera de los activos informáticos en la
organización debe de requerir el permiso y desviación correspondiente, siempre que no marque una
falta referente a la Política de uso inaceptable de los recursos informáticos dentro de la empresa.
10. Política de uso inaceptable de los recursos informáticos
1. Bajo ninguna circunstancia los empleados y colaboradores podrán realizar actividades ilegales de
ningún tipo.
2. Los activos informáticos de ATEB son para uso exclusivo relacionado con los giros de negocio de la
organización por lo que los empleados y colaboradores externos no podrán utilizar los activos
informáticos para fines personales, de entretenimiento o diferentes a los relacionados directamente
con las funciones de sus roles y responsabilidades respectivos.
Estándares
Para las actividades de los sistemas informáticos
Las actividades que se mencionan a continuación están prohibidas en general.
Las siguientes listas no son exhaustivas, pero intentan proveer un marco de referencia para las actividades
que caen en la categoría de uso inaceptable.
Las siguientes actividades están estrictamente prohibidas, sin excepciones, salvedades ni desviaciones.
1. Violar los derechos de cualquier persona o compañía protegidos por derechos de autor, copyright,
marcas registradas, secretos comerciales, patentes o cualquier otra propiedad intelectual o protegidas
por leyes o regulaciones similares, incluyendo pero no limitando a la instalación o distribución de
productos “piratas” o “pirateados” u otros productos de software que no estén autorizados y
debidamente licenciados para el uso expreso de ATEB.
2. Realizar copias no autorizadas de material, incluyendo pero no limitando a la digitalización y
distribución de fotografías de revistas, libros u otras fuentes con protección de derechos de autor,
copiar música y la instalación de cualquier software que no le haya sido asignado al empleado por
ATEB está estrictamente prohibido.
3. La introducción e instalación de programas maliciosos en cualquier medio, dispositivo, servidor o
estación de trabajo de la a red de cómputo. (Ej. Programas sniffers, de desencriptación de passwords,
virus, gusanos, caballos de Troya, etc.).
& Políticas Corporativas de Seguridad Informática
ATEB
4. Revelar el USER ID y el password a cualquier persona, incluso dentro de la organización o permitir el
uso de la cuenta de usuario por otras personas. Esto incluye a miembros de la familia, amistades,
gente de sistemas y a todos los compañeros de trabajo.
5. Utilizar cualquier activo y sistema informático para conseguir, visualizar, distribuir materiales de índole
sexual.
6. Utilizar cualquier activo y sistema informático de ATEB para conseguir o distribuir material de
discriminación de cualquier tipo, incluyendo pero no limitando a discriminación sexual, racial, religiosa,
ya sea por medio de intolerancia, de humor y sarcasmos.
7. Realizar el ofrecimiento de productos y servicios fraudulentos originados desde una cuenta de usuario
de ATEB.
8. Hacer declaraciones de garantías, expresas o implícitas a menos de que forme parte de la rutina diaria
de las responsabilidades de trabajo.
9. Buscar, generar, explotar brechas de seguridad informática en los sistemas de información de ATEB.
Las brechas de seguridad informática incluyen pero no se limitan a: acceder datos e información al
cual el empleado no tenga autorización expresa de consultar o modificar; intentar entrar al sistema de
información con un USER ID que no está autorizado expresamente a utilizar;
10. Generar, explotar o realizar interrupciones en la red de comunicaciones de ATEB. para los propósitos
de la presente política, incluye pero no se limita a realizar network sniffing, mandar pinged floods,
secuestros y suplantaciones de paquetes de información y la negación de servicios.
11. Búsquedas de puertos o búsquedas de vulnerabilidades de seguridad informática está explícitamente
prohibido, con la excepción de una autorización expresa por parte del ISO para las tareas del área de
mantenimiento y operación de comunicaciones. Estas áreas no podrán ejecutar estas búsquedas sin
la autorización previa y documentada apropiadamente.
12. Ejecutar cualquier tipo de monitoreo a las redes de cómputo y comunicaciones de ATEB. Que
intercepten información que no está destinada para el empleado.
13. Burlar o esquivar el proceso de identificación y autenticación de usuario en cualquier sistema de
información.
14. Realizar y perpetrar ataques de negación de servicios contra cualquier sistema de información.
15. Utilizar cualquier programa, script o comando o enviar mensajes de cualquier tipo con la intención de
interferir o deshabilitar la sesión de un usuario, sin importar la vía por la que se mande, ya sea de
manera local por Internet, Intranet o Extranet.
4. Uso no permitido para falsificar la información de los encabezados de los correos electrónicos.
16. Divulgar información acerca de clientes o listados de clientes de ATEB a individuos fuera de la
organización está estrictamente prohibido.
17. Divulgar información acerca de empleados o listados de empleados a individuos fuera de la
organización.
Para las actividades de correo electrónico y de comunicaciones
1. Enviar mensajes de correo electrónico no solicitados, que incluye anuncios y propaganda a individuos
que no requirieron específicamente este material. Este proceso también es conocido como envío de
SPAM.
2. Enviar mensajes de correo electrónico de índole sexual.
3. Enviar mensajes de correo electrónico de índole discriminatorio o de hostigación de cualquier tipo,
incluyendo pero no limitando a discriminación sexual, racial, étnica y religiosa ya sea por medio de
intolerancia, de humor o sarcasmos.
ATEB
5. Crear o reenviar correspondencias “cadena” “pirámides” u otro esquema de cualquier tipo con la misma
intención de los correos masivos. Incluso para grupos y foros de discusión.
6. El uso de los sistemas de información de ATEB para beneficio personal como puede ser publicaciones,
anuncios, búsqueda de empleos u hospedar servicios ajenos a los objetivos de negocio de la empresa.
11. Política para la gestión de incidentes de seguridad
Antecedentes.
Los directivos, gerentes y empleados dentro de la organización deben de considerar la seguridad de la
información como una prioridad primaria ya que ésta tiene un impacto directo y material sobre los
resultados del trabajo.
A fin de minimizar el daño que producen los incidentes de seguridad, lograr la recuperación y aprender de
tales incidentes, se debe de establecer una capacidad formal de respuesta a incidentes dentro de la
organización. La respuesta a incidentes dentro de la organización incluye las siguientes etapas:
Planificación y preparación
Detección
Iniciación
Registro
Evaluación
Contención
Erradicación
Escalamiento
Respuesta
Recuperación
Cierre
Presentación de la informado
Revisión posterior al incid
Lecciones aprendidas
Definición de un evento de seguridad. Es una ocurrencia identificada en el estado de un sistema, servicio
o red, indicando una posible violación de la seguridad de la información, política o falla de los controles, o
una situación previamente desconocida que puede ser relevante para la seguridad.
Definición de falla de medidas de seguridad. Es una situación previamente desconocida que pueda ser
relevante para la seguridad. Son ejemplos de este tipo de eventos:
• Un usuario que se conecta a un sistema
• Un intento fallido de un usuario para ingresar a una aplicación
• Un firewall que permite o bloquea un acceso
• Una notificación de cambio de contraseña de un usuario privilegiado, etc.
Se debe destacar que un evento de seguridad informática no es necesariamente una ocurrencia maliciosa
o adversa.
Definición de un Problema de Seguridad. Es una situación previamente conocida que pueda ser
relevante para la seguridad.
Definición de un Incidente de Seguridad. Es un hecho o amenaza que atenta contra la confidencialidad,
integridad o disponibilidad de un sistema de seguridad de información. Según la norma ISO 27035, un
Incidente de seguridad de la información es indicado por un único o una serie de eventos de seguridad de
ATEB
la información pueden ser indeseados o inesperados y que tienen una probabilidad significativa de
comprometer las operaciones de negocio y de amenazar la seguridad de la información.
1. Se deberá tener un proceso permanente de vigilancia y monitoreo de la infraestructura que sustenta
la operación de los procesos sensitivos y de misión crítica para detectar oportunamente y poder
contener el impacto de eventos inciertos como son los incidentes y problemas de seguridad que
pudieran ocurrir a estos procesos.
2. Los eventos que se van a monitorear y registrar permanentemente son todos los relacionados con las
siguientes actividades:
• Uso de cuentas privilegiadas
• Accesos no autorizados
• Prácticas de ingeniería social
• Robo de información
• Borrado de información por personal no autorizado
• Alteración de información por personal no autorizado
• La introducción de malware en la infraestructura tecnológica como virus, troyanos, ransomware,
bombas lógicas, gusanos y etc.
• La denegación del servicio o eventos que ocasionen pérdidas, tiempos de respuesta no aceptables
o no cumplimiento de acuerdos a los niveles de servicio existentes de la organización.
• Situaciones externas que comprometan la seguridad de sistemas, como quiebra de compañías de
software que atienden a la organización, condiciones de salud de los administradores de los
sistemas de la organización, etc.
• Acceso directo a los equipos que sustentan las aplicaciones sensitivas y de misión crítica para la
empresa, como son los HSM
• Consultas y modificaciones a los datos de las aplicaciones sensitivas y de misión crítica por
usuarios autorizados
•que pudiera comprometer la información de los Contribuyentes.
Intentos de consultas y modificaciones a datos en aplicaciones sensitivas y de misión crítica por
usuarios no autorizados
• Eventos de seguridad que se definan a nivel del sistema operativo
• Eventos de seguridad que se definan a nivel de las aplicaciones
3. El área responsable del cumplimiento normativo en la organización deberá definir y establecer un
procedimiento de comunicación con las autoridades respectivas en caso de presentarse incidentes y
problemas que deban serles reportados.
En el procedimiento se deberán establecer controles necesarios y suficientes para garantizar que las
autoridades fueron avisadas de manera oportuna.
4. El área responsable del cumplimiento normativo en la organización deberá definir y establecer un
procedimiento de comunicación con el SAT.
Estándares
1. De los eventos que se van a monitorear y registrar permanentemente se deberán realizar las siguientes
actividades:
• Identificación de incidentes y problemas
• Registro de incidentes y problemas
• Notificación de incidentes y problemas y proceso para escalar los problemas
• Seguimiento de incidentes y problemas
2. El área responsable del cumplimiento normativo en la organización será la que realice las
notificaciones respectivas al SAT en caso de que se suscite algún Incidente o problema de seguridad
ATEB
12. Política de acuerdos de confidencialidad
1. Se debe de tener un proceso permanente, constante y de renovación supervisada de acuerdos de
confidencialidad entre las siguientes instancias y personas:
• Acuerdos de confidencialidad entre el SAT y ATEB.
• Acuerdos de confidencialidad entre ATEB y el personal interno de ATEB.
• Acuerdos de confidencialidad entre ATEB y el personal externo que realice funciones que involucre
manejo de información sensible o acceso a la infraestructura de ATEB.
• Acuerdo de confidencialidad entre ATEB y sus aliados de negocio.
• Acuerdo de confidencialidad entre ATEB y terceros.
2. Los acuerdos de confidencialidad deberán de ser renovados cuando la figura de representación en
cualquiera de las instancias cambien o sean remplazadas.
3. Los acuerdos de confidencialidad deberán de ser firmados por la figura de representante legal, la
persona asignada por la instancia o por la persona encargada de la seguridad informática de las instancias
mencionadas.
Estándares
1. Los acuerdos de confidencialidad deberán de ser ados con documentación que
demuestre la identidad de la persona que ha firmado.
2. Si alguna persona representante legal, encargada o asignada por alguna instancia ha sido cambiada,
removida o está fuera de las capacidades de representación para su firma en los documentos de acuerdos
de confidencialidad, se deberá de generar un acuerdo de confidencialidad nuevo con la nueva figura de la
persona asignada.
13. Política de contacto con las autoridades
1. Se debe de tener en ATEB contacto con las autoridades gubernamentales para los siguientes procesos:
• Procesos administrativos.
• Procesos de aviso de eventualidades.
• Procesos por motivos de los procesos de certificación de ATEB.
• Notificación de incidentes de seguridad
Estándares
1. Se debe de tener en ATEB un directorio que incluya pero no se limite a nombres, teléfonos y direcciones
de correo electrónico de las personas de contacto como autoridad para ATEB.
2. La lista directorio de contactos deberá ser administrada y actualizada por el grupo de contacto de la
organización.
14. Política para la adquisición, desarrollo y mantenimiento de sistemas de información
1. Se debe de asegurar y garantizar que la seguridad es parte integral de los sistemas de información.
2. Se debe de evitar errores, pérdidas, modificaciones no autorizadas o mal uso de la información en las
aplicaciones.
3. Se deben de proteger la confidencialidad, autenticidad e integridad de la información con la ayuda de
técnicas criptográficas.
ATEB
4. Se debe de garantizar la seguridad de los sistemas de archivos de sistemas operativos, aplicaciones
de negocio, aplicaciones estándar o de uso generalizado, servicios y aplicaciones desarrolladas por
ATEB y por los usuarios.
5. Se debe de evitar la exposición de datos sensibles en entornos de prueba.
6. Se debe de mantener la seguridad del software de los sistemas, sistemas operativos, aplicaciones
estándar o de uso generalizado, servicios y aplicaciones desarrolladas por ATEB y por los usuarios y
la información.
7. Se debe de garantizar la reducción en los riesgos originados por la explotación de vulnerabilidades
técnicas publicadas y tratar de mitigar la ejecución de vulnerabilidades técnicas de día Zero.
Estándares
1. Se debe de tener un constante control de los sistemas de información en los cuales se incluyen los
sistemas operativos, infraestructuras, aplicaciones de negocio, aplicaciones estándar o de uso
generalizado, servicios, licencias de software, licencias de hardware y aplicaciones desarrolladas por
ATEB y por los usuarios.
2. Los requisitos de seguridad deberán ser identificados y consensuados previamente al desarrollo e
implantación de los sistemas de información. La responsabilidad de las buenas prácticas para los
riesgos asociados deberán de ser provistos por el Área de Seguridad Informática. Es total la
igual que fabricantes de sistemas, fabricantes de software y fabricantes de hardware. Este control lo
responsabilidad de la identificación de los requisitos de seguridad por parte del Contralor de
Aplicaciones.
3. Todos los requisitos de seguridad deberán identificarse en la fase de recopilación de requisitos de un
proyecto y ser justificados, aceptados y documentados como parte del proceso completo para un
sistema de información. Es total la responsabilidad de la identificación de los requisitos de seguridad
por parte del Contralor de Aplicaciones.
4. Todas las vulnerabilidades comunes o actuales en aplicaciones que identifique, se debe de
implementar las medidas protectoras o defensivas apropiadas. Es total la responsabilidad de la
identificación de los requisitos de seguridad por parte del Contralor de Aplicaciones y la verificación
por parte del ISO.
5. Se deben diseñar controles apropiados en las propias aplicaciones, incluidas las desarrolladas por los
propios usuarios, para asegurar el procesamiento correcto de la información. Estos controles deben
incluir la validación de los datos de entrada, el tratamiento interno y los datos de salida. En todos los
controles debe figurar como administrador principal el Contralor de Aplicaciones.
6. Si requirieran controles adicionales al User y el password para los sistemas que procesan o tienen
algún efecto en activos de información de carácter sensible, valioso o crítico, dichos controles deberán
ser determinados en función de los requisitos de seguridad y la estimación del riesgo. Esto lo
determinara el ISO y deberá siempre de tener conocimiento y acceso a estos controles el Contralor
de Aplicaciones.
7. Se deben de controlar estrictamente los entornos de desarrollo de proyectos, de calidad y de
producción. Este control lo debe de administrar, controlar y proveer el Gerente de Sistemas y lo
validará el Gerente de Desarrollo y el Contralor de Aplicaciones.
8. Se debe de controlar el acceso a los archivos de sistema, a los de sistemas operativos y código fuente
de los programas. Los proyectos y las actividades de soporte deben ser siempre elaborados en modo
seguro con cuentas que no sean las de administrador o Root. Estos entornos los administrará y
proveerá el Gerente de Sistemas y validará el Contralor de Aplicaciones, teniendo como punto de
partida la línea mínima de seguridad de la organización.
9. Se debe de Incorporar la seguridad de la información al ciclo de vida de desarrollo de sistemas en
todas sus fases, desde la concepción hasta la desaparición de un sistema, por medio de la inclusión
de "recordatorios o mensajes" sobre seguridad en los procedimientos y métodos de desarrollo,
operaciones y gestión de cambios. Este control lo deberá de proporcionar el Contralor de
Aplicaciones y será supervisado por el ISO.
10. Se deben de aplicar constantemente y de forma periódica permanente estándares de seguridad,
asegurando que se siguen las recomendaciones de organizaciones, institutos o grupos de interés al
ATEB
deberá de proporcionar el ISO, el cual dará las instrucciones para que sean aplicadas por parte del
Área de Sistemas o del Área de Contralor de Aplicaciones.
11. Se debe implantar una gestión de vulnerabilidades técnicas siguiendo un método efectivo, sistemático
y cíclico, con la toma de medidas que confirmen su efectividad. Considerando sistemas operativos, así
como todas las aplicaciones que se encuentren en uso. Este control lo deberá de proporcionar el
Gerente de Sistemas y será supervisado por el ISO.
12. Se debe de hacer un seguimiento constante de parches de seguridad mediante herramientas de
gestión de vulnerabilidades y/o actualización automática siempre que sea posible (p. ej., Microsoft
Update o Secunia Software Inspector).
a) Evaluando la relevancia y criticidad o urgencia de los parches en su entorno tecnológico.
b) Probando y aplicando los parches críticos, o tomar otras medidas de protección, tan rápida y
extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas
correo electrónico pertenecientes a proveedores externos y que requieran conexión a internet solo
y que estén siendo explotadas fuera activamente.
Este control lo deberá de proporcionar el ISO, probado por el Área de Contralor de Aplicaciones y será
aplicado por la Gerencia de Sistemas.
13. Se debe evitar quedarse atrás en la rutina de actualización de versiones de los sistemas que quedan
fuera de soporte por el fabricante. Latencia de parcheo o semiperiodo de despliegue (tiempo que ha
llevado parchar la mitad de los sistemas vulnerables, evitando variaciones circunstanciales debidas a
retrasos en unos pocos sistemas, tales como equipos portátiles fuera de la empresa o almacenados).
Este control lo deberá de proporcionar el ISO y será aplicado por la Gerencia de Sistemas.
15. Política de relación con proveedores
1. Se debe de tener y mantener el nivel más alto de seguridad de la información para la entrega de los
servicios contratados en línea con los acuerdos de entrega de servicios de terceros.
2. Se debe siempre supervisar la implementación de los acuerdos, monitorear su cumplimiento con los
estándares y manejar los cambios para asegurar que los servicios sean entregados para satisfacer
O
todos los requerimientos acordados con terceras personas.
3. La seguridad de la información, la seguridad de las instalaciones, la seguridad de la infraestructura y
de procesamiento de la información no debe ser reducida por la introducción de un proveedor, servicio
o producto externo.
4. Se debe de tener siempre un acuerdo de confidencialidad de la información haciendo cumplir la política
de acuerdos de confidencialidad.
5. Se debe tener un contrato con los clientes del servicio que incluya cláusulas de confidencialidad,
cláusulas de auditoría de servicios y cláusulas de seguridad de la información, cláusulas de propiedad
de la información.
Estándares
1. Se deben de controlar los accesos físicos y lógicos de los proveedores externos, de los terceros, de
los servicios y a los dispositivos de tratamiento de información de la organización, con un monitoreo
constante y un registro de entrada y salida, pudiendo ser este registro físico o lógico mediante algún
software.
2. Todos los proveedores externos a ATEB si requieren conectar cualquier equipo de cómputo por
motivos del desempeño del servicio que van a entregar, ajeno a la infraestructura de ATEB deben de
solicitar un escaneo de software malicioso y un visto bueno por parte de la Gerencia de Sistemas. Si
la Gerencia de Sistemas determina que el equipo es apto para conectarse a la infraestructura de ATEB
lo podrá hacer siempre con supervisión de la Gerencia de Sistemas.
3. Ningún equipo de proveedores externos que no sean específicamente de uso único para la entrega de
servicios se pueden conectar a la infraestructura de ATEB.
4. Cualquier dispositivo electrónico como teléfonos celulares, PDA, tablets o dispositivos de consulta de
ATEB
podrán ser conectados a la red de invitados de ATEB, la cual solo provee servicio de internet y no
tiene conexión a la infraestructura de ATEB.
5. Cuando se tenga que entregar información a proveedores externos y que ésta sea sensible para ATEB
siempre debe de haberse firmado primero un acuerdo de confidencialidad. Y dicha información debe
de ser primero supervisada antes y durante la entrega por la Alta Dirección de ATEB.
16. Política de gestión de los activos de información
1. Entre los activos de información de la empresa se encuentran cuatro categorías que son:
1) Instalaciones
2) Activos de equipos físicos
3) Activos lógicos
4) Documentación
Como activos de instalaciones se tienen:
• Oficinas Corporativas
• Oficinas de sucursales
• Los centros de cómputo de producción
• Los centros de cómputo de desarrollo y pruebas de ci
Entre los activos físicos se enumeran al menos los siguiente:
• Hardware como servidores físicos, equipos de cómputo•uto personales, teléfonos, impresoras,
etc.
• Comunicaciones como puertos o puntos de acceso, ruteadores, conexiones a Internet de los
centros de cómputo
• Cintas de backup's
• Equipo de uso específico y especializado como el HSM y el NTP
Los activos lógicos se consideran al menos
• Código Fuente de aplicaciones ATEB
• Bases de datos
• Relaciones (Tablas)
• Atributos (Campos o columnas)
• Archivos
• Aplicaciones
• Archivos de configuración de las aplicaciones
Documentación
• Diagramas entidad relación
• Arquitectura del aplicativo (SOA)
• Manuales de los Aplicativos
• Manuales de procedimientos
• Etc.
2. Se deberá tener y contar con un inventario completo y actualizado de todos los activos informáticos de
la organización.
3. El responsable de mantener actualizado en todo momento estos inventarios es el Gerente de
Sistemas.
4. El formato del inventario de los activos de información deberá ser revisado al menos una vez al año
por el Gerente de Sistemas y así le dará el visto bueno o autorización al mismo.
ATEB
Estándares
1. El inventario de los activos informáticos de la organización deberán estar de preferencia en el formato
propuesto por el SAT para los PCCFDI’s.
2. aprobación, la desviación tendrá una vigencia máxima de 180 días, por lo que todas las desviaciones
El inventario de los activos de información lo deberá actualizar de manera oficial el Gerente de
Sistemas mediante su rúbrica.
17. Política de atención a desviaciones y exclusiones
Una desviación o exclusión a las políticas de seguridad de la información es cuando:
1. Alguna de las áreas de negocio de la organización con razón justificada no puede cumplir o
apegarse a alguna de las políticas corporativas de seguridad de la información.
2. Si se detecta que alguna de las áreas de negocio de la organización no cumple con alguna de las
políticas corporativas de seguridad de la información.
Con base en la política de auditorías y revisiones de cumplimiento se estipula que “En la empresa se
deberán realizar auditorías y revisiones de cumplimiento dentro de la organización; y que las auditorías y
revisiones de cumplimiento deberán ser efectuadas por personal independiente a la operación del negocio
de los procesos de facturación electrónica, como Prestador de servicios de certificación (PSCFDl los
servicios como PAC) y como Proveedor de servicios de recepción de documento digitales (PSR-DD)” se
deberá considerar los siguientes lineamientos directivos.
Una desviación de seguridad puede tener un incidente o evento de seguridad o no. Una desviación de
seguridad puede terminar en un evento o incidente de seguridad con impacto adverso a la empresa, sus
clientes o contribuyentes registrados.
4. La Dirección General es la única que puede aprobar explícitamente desviaciones de las áreas de
negocio a las políticas y estándares de seguridad informática.
5. Las desviaciones se deberán solicitar por escrito por el responsable respectivo del área y avalado por
el ISO.
6. En caso de ser aprobada una desviación, ésta tendrá una vigencia máxima de 180 días.
7. Todas las desviaciones o hallazgos de seguridad de la información que se encuentren y no hayan sido
solicitadas de manera expresa, el ISO las deberá notificar inmediatamente a la Dirección General de
acuerdo al estándar.
8. A todas las desviaciones o hallazgos de seguridad de la información detectados, se les dará
seguimiento por parte del ISO hasta su remediación respectiva.
9. Solamente se podrá cerrar una desviación por motivos de la remediación respectiva.
10. Todas las desviaciones o hallazgos de seguridad de la información que se cierren, el ISO las deberá
notificar inmediatamente a la Dirección General de acuerdo al estándar.
Estándares
1. La Dirección General puede llegar a aprobar explícitamente desviaciones de las áreas de negocio a
las políticas y estándares de seguridad informática. Estas desviaciones deberán estar apropiadamente
documentadas, indicando el motivo de la desviación y los riegos de negocio asociados al no apegarse
a los lineamientos estipulados.
2. Las desviaciones se deberán solicitar por escrito por el responsable respectivo del área y avalado por
el ISO.
3. La Dirección General evaluará y aprobará o rechazará la solicitud de la desviación. En caso de
ATEB
serán siempre menores a seis meses, que es el plazo con el que contará el área de negocios y de
sistemas para resolver conjuntamente el problema de seguridad que se presente con motivo de la
desviación.
4. Con base en los resultados de las auditorías, las revisiones internas de cumplimiento o del monitoreo
permanente de la seguridad, se deberá dar atención a cualquiera de las desviaciones o hallazgos que
se detecten. De manera independiente si están asociadas directamente a un incidente o no de
seguridad informática.
Todas las desviaciones o hallazgos de seguridad de la información que se encuentren y no hayan sido
solicitadas de manera expresa, el ISO las deberá notificar inmediatamente a la Dirección General
indicando al menos:
• Desviación o hallazgo detectado
• Manera en que se detectó la desviación
jblem
desviación a que descubrió la
• En caso de que aplique, la fecha y hora de ocurrencia del pro
• Fecha y hora de detección
• Nivel de la amenaza que afecta la desviación
• Impacto o consecuencias del problema potencial <x
• Impacto o consecuencias del problema detectado
A todas las desviaciones o hallazgos de seguridad de la información detectados, se les dará
seguimiento por parte del ISO hasta su remediación respectiva.
7.
Solamente se podrá cerrar una desviación por motivos de la remediación respectiva
8.
Todas las desviaciones o hallazgos de seguridad de la información que se cierren, el ISO las deberá
notificar inmediatamente a la Dirección General indicando al menos:
Desviación o hallazgo detectado
Fecha y hora de ocurrencia del problema
Fecha y hora de detección
Fecha y hora de remediación
Nivel de la amenaza
Manera en que se remedió la desviación
Impacto o consecuencias del problema potencial
Impacto o consecuencias del problema detectado
18. Política para la correcta validación de los datos que ingresan y que se proporcionan de salida
en los aplicativos
1. En los aplicativos que proporcionen servicios de recepción de documentos digitales, CFDI, EDI y
cualquier aplicativo que reciba datos e información hacia ATEB, deberán tener como mínimo un
�módulo de control de datos de entrada, el cual verificará los ingresos de los datos a la aplicación.
2. Evaluará que sean datos compatibles y deberán ser lo menos vulnerables posibles ante las amenazas
que a continuación se describen:
a) SQL Injection
b) Cross-site Scripting
c) Broken Authentication and Session Management
d) Insecure Direct Object Reference
e) Cross-site Request Forgery
f) Security Misconfiguration
ATEB
3. Los aplicativos que proporcionen servicios de recepción de documentos digitales, CFDI, EDI y
cualquier aplicativo que reciba datos e información hacia ATEB, deberán ser implementados como
servicios web para consumo de recursos no vulnerables a las siguientes amenazas:
a) Failure to Restrict URL Access
cualquier aplicativo que reciba datos e información hacia ATEB, deberán ser implementados como
servicios web para consumo de recursos con una capacidad de intercambio de comunicación que no
sea en texto claro y evitando la amenaza de Insufficient Transport Layer Protection y Unvalidated
Redirects and Forwards mediante técnicas de cifrado de la comunicación.
cualquier aplicativo que reciba datos e información hacia ATEB, deberán tener como mínimo un
módulo de control de balanceo de datos y que regule la entrada para evitar cuellos de botella en el
ingreso de los datos, además deberá de conciliar los datos ingresados con la información de salida,
evitando por ejemplo, que la información de un usuario A le sea otorgada a un usuario B.
cualquier aplicativo que reciba datos e información hacia ATEB, deberán de tener como mínimo un
módulo control de codificación de salidas, que permita una conversión adecuada para la integración
con los sistemas y aplicativos de ATEB, sin la interrupción de la integridad de la información y las
características restantes de la seguridad de la información.
cualquier aplicativo que reciba datos e información hacia ATEB, deberán de tener como mínimo un
módulo de control de transacciones rechazadas, el cual deberá generar un número de control de la
transacción que se rechazó en conjunto con los datos que el usuario ingresó.
cualquier aplicativo que reciba datos e información hacia ATEB, deberán tener módulos de verificación
de la seguridad de la información, en los cuales se verifique la integridad de los datos y un registro que
permita la auditabilidad de los datos para poder establecer las pruebas de No Repudio a la información
que ingresó el usuario.
cualquier aplicativo que reciba datos e información hacia ATEB, deberán tener establecidos catálogos
que cumplan en materia de seguridad de la información (confidencialidad, integridad y disponibilidad),
tanto en la programación de los aplicativos como en la programación y relación de las bases de datos.
10. En todas las aplicaciones que proporcionen servicios de recepción de documentos digitales, CFDI,
EDI y cualquier aplicativo que reciba datos e información hacia ATEB, deberán seguir siempre la línea
mínima de seguridad para aplicaciones descrita en las “Políticas Corporativas de Seguridad
Informática”.
Estándares
En todos los aplicativos que proporcionen servicios de recepción de documentos digitales se deberán
programar como mínimo los siguientes módulos:
1. Módulo de Control de validación de datos de entrada, el cual deberá hacer la validación de los datos
y compatibilidad de los datos esperados con los datos ingresados.
2. Módulo de compatibilidad de datos, el cual evaluará que la información ingresada/esperada sea
correcta.
A T E B
3. Módulo de Seguridad de ingreso de datos, el cual analizará que la información ingresada no contenga
amenazas que pongan en riesgo la seguridad del aplicativo, la infraestructura y el servicio Web.
4. Módulo balanceador, identificador y regulador de datos, el cual tendrá un LOG que registre el ingreso
de los datos de cada usuario y regule la entrada de los datos con respecto a la salida de los mismos.
Módulo controlador de transacciones, el cual registre en un LOG las transacciones aceptadas y
rechazadas de cada uno de los usuarios que ingresan al aplicativo.
Módulo de Calidad de los datos, el cual verifique la integridad de los datos y genere un registro tipo
LOG que permita la auditabilidad de la información, cuando menos en sus siguientes características:
Ingreso y creación de la información - Fecha, hora, usuario
Consulta de la Información - Fecha, hora, usuario
Copia de la Información - Fecha, hora, usuario
Eliminación de la Información - Fecha, hora, usuario
Cambios a la Información - Fecha, hora, usuario
En todos los aplicativos que proporcionen servicios de EDI, CFDI (Facturación), eberán programar
como mínimo los siguientes módulos:
1. Módulo de Control de validación de datos de entrada, el cual deberá hacer la validación de los datos
y compatibilidad de los datos esperados con los datos ingresados.
2. Módulo de compatibilidad de datos, el cual evaluará que la información ingresada/esperada sea
correcta.
3. Módulo de Seguridad de ingreso de datos, el cual analizará que la información ingresada no contenga
amenazas que pongan en riesgo la seguridad del aplicativo, la infraestructura y el servicio Web.
4. Módulo balanceador, identificador y regulador de datos, el cual tendrá un LOG que registre el ingreso
de los datos de cada usuario y regule la entrada de los datos con respecto a la salida de los mismos.
5. Módulo controlador de transacciones, el cual registre en un LOG las transacciones aceptadas y
rechazadas de cada uno de los usuarios que ingresan al aplicativo.
6. Módulo de Calidad de los datos, el cual verifique la integridad de los datos y genere un registro tipo
LOG que permita la auditabilidad de la información, cuando menos en sus siguientes características:
Ingreso y creación de la información - Fecha, hora, usuario
Consulta de la Información - Fecha, hora, usuario
Copia de la Información - Fecha, hora, usuario
Eliminación de la Información - Fecha, hora, usuario
Cambios a la Información - Fecha, hora, usuario
En todos los servidores de bases de datos de aplicativos que proporcionen servicios de Recepción de
Documentos Digitales, EDI, Timbrado, CFDI (Facturación), se deberá programar un Módulo de Calidad de
los datos en la base de datos, el cual verifique la integridad de los datos y genere un registro tipo LOG que
permita la auditabilidad de la información, cuando menos en sus siguientes características:
Ingreso a la base de datos - Fecha, hora, usuario
Creación de registros de información - Fecha, hora, registro, usuario
Consulta de registros de Información - Fecha, hora, registro, usuario
Copia de registros de Información - Fecha, hora, registro, usuario
Eliminación de registros de Información - Fecha, hora, registro, usuario
Cambios a los registros de Información - Fecha, hora, registro, usuario
De todos los registros LOG se debe de tener una bitácora de consulta la cual será monitorizada por el Área
de Operaciones, administrada por la Gerencia de Sistemas y Supervisada por el Área de Seguridad
Informática.
ATEB
19. Política de uso de dispositivos móviles
1. En ATEB se considera como dispositivo móvil cualquiera de los siguientes medios electrónicos:
a. Smartphone: La familia de teléfonos móviles que disponen de un hardware y un sistema
operativo propio capaz de realizar tareas y funciones similares a las realizadas por un equipo
de cómputo, añadiéndole al teléfono funcionalidades extras a la realización y recepción de
llamadas, envió y recepción de correo electrónico, y envío/recepción de mensajes telefónicos
(SMS).
b. Tablet: es una computadora portátil más grande en tamaño físico que un Smartphone pero
más pequeña que una laptop y se caracteriza por contar con pantalla táctil, disponen de
teclado virtual.
c. Booklets: es una computadora perteneciente a la familia de las tablet's generalmente de
doble pantalla que se pliegan como un libro abierto. Una PC típica Booklet está equipado con
pantallas multitáctiles y capacidades de reconocimiento de escritura de la pluma.
d. Phablets: Un phablet es un dispositivo móvil que surge de la combinación de las funciones de
un Smartphone y una Tablet, tiene características definidas como una pantalla que se ubica
entre las 5 y 7 pulgadas, un lápiz especial como accesorio que sirve para realizar algunas
acciones como escribir y dibujar, aplicaciones y funciones exclusivas para su tipo.
e. Reproductores de Música con Capacidad de Almacenamiento de Información.
2. Los dispositivos móviles de los usuarios de ATEB no deben poder conectarse a la red electrónica de
datos de ATEB.
3. Los dispositivos móviles de los usuarios de ATEB no deben resguardar o almacenar información que
se maneja en ATEB.
4. Los dispositivos móviles propiedad de ATEB que sean asignados a los usuarios no deben poder
conectarse a la red electrónica de datos de ATEB.
5. Los dispositivos móviles propiedad de ATEB que sean asignados a los usuarios deberán apegarse a
los siguientes puntos:
a) Instalación y configuración de aplicaciones
• El aseguramiento de la administración de los recursos de los dispositivos móviles inteligentes y
tabletas, pertenecientes a ATEB será administrado por personal designado por el área de
seguridad informática y el área de sistemas.
• El área de sistemas elaborara y mantendrá vigente un proceso de instalación y configuración de
las aplicaciones de los dispositivos móviles inteligentes y tabletas, el cual define todas las
actividades y responsabilidades que desempeña el personal de sistemas, así como el personal
que utilizara los dispositivos móviles inteligente y/o tabletas respecto del uso correcto,
administración, configuración de seguridad, respaldo y soporte de dichos dispositivos de ATEB.
• El proceso de instalación y configuración de las aplicaciones de los dispositivos móviles
inteligentes y tabletas, será difundido a todas las áreas donde serán utilizados para su aplicación.
• ATEB a través de la gerencia o área de sistemas, mantendrá una administración centralizada de
las características de los dispositivos y las aplicaciones instaladas, que procesan o almacenan
información crítica.
sensibilidad de la información manejada:
• La ejecución y efectividad de la presente política, así como el plan y el proceso requerido, serán
revisadas de manera trimestral por la gerencia o área de sistemas.
b) Autenticación y Accesos
• Se protegerá el acceso a los dispositivos móviles mediante (passwords, tokens, huella digital, etc.)
las capacidades del equipo respecto al control de acceso.
c) Seguridad en el Sistema Operativo
• En el caso de dispositivos inteligentes (Smartphone) que almacene información sensible, el área
de sistemas instalara un software para la detección y prevención de malware, en función de la

de de
Programa Seguridad la Información
ATEB
- Alternativas de autenticación
Cifrado de memory card y contenido del dispositivo
- Antivirus
Borrado seguro de contenido y memory card
- VPN
Parches y Actualizaciones
Todos los usuarios de dispositivos móviles que contengan información altamente confidencial o
crítica de ATEB, utilizaran la última o la versión más estable de las aplicaciones.
Los parches o actualizaciones serán obtenidos de manera formal, provenientes del fabricante.
Responsabilidades
El área de seguridad informática junto con el área de sistemas son responsables de gestionar el
cumplimiento de la presente política, así como la revisión periódica, actualización, difusión,
concientización para su adecuado cumplimiento.
6. Los dispositivos móviles propiedad de ATEB que sean asignados a los usuarios, deberán de estar
protegidos de forma legal para sustentar cada asignación.
7. Los dispositivos móviles propiedad de ATEB que sean asignados a los usuarios, no deben de ser
expuestos a ningún tipo de Hackeo que altere la integridad del dispositivo móvil.
8. Los dispositivos móviles propiedad de ATEB que sean asignados a los usuarios, deberán de ser
entregados al finalizar el tiempo laboral del usuario con la organización.
Estándares
1. Cualquier dispositivo móvil perteneciente a proveedores externos o usuarios y que requieran conexión
a internet solo podrán ser conectados a la red de invitados de ATEB, la cual solo provee servicio de
internet y no tiene conexión a la infraestructura de ATEB.
2. Los procesos de entrega, recepción y revisión de dispositivos móviles, deberán de ser elaborados y
efectuados únicamente por la Gerencia de Administración. Si se llegara a encontrar alguna
anormalidad en un dispositivo móvil propiedad de ATEB el cual viole las políticas corporativas de
seguridad informática, el ISO tiene la responsabilidad y compromiso de informar de esta violación a la
Dirección General de ATEB y a la Gerencia de Recursos Humanos.
20. Política de teletrabajo
Se debe de entender que en ATEB al tener sucursales en diversas partes del país y clientes en cualquier
parte del mundo, deberá tener la capacidad para que los usuarios puedan realizar trabajos desde lugares
distintos al de las instalaciones de la organización, a esta capacidad de poder conectarse desde cualquier
punto del país o del mundo la conocemos como Teletrabajo.
1. La conexión para poder establecer sesión desde un equipo fuera de las instalaciones de ATEB y de
ATEB hacia fuera será realizada únicamente mediante un canal seguro por medio de VPN.
2. La comunicación que se establezca desde un equipo fuera de las instalaciones de ATEB, y de ATEB
hacia fuera, no se establecerán por medio de comunicaciones en claro.
3. La conexión para poder establecer sesión desde un equipo fuera de las instalaciones de ATEB contará
con mecanismos de autenticación, al menos usuario y contraseña.
Estándares
1. La Gerencia de Sistemas de ATEB deberá generar y tener los mecanismos legales para poder
responsabilizar a cada uno de los usuarios de ATEB que necesitan hacer uso de teletrabajo.
ATEB
2. Las conexiones hacia ATEB y de ATEB hacia fuera deben de están centradas y basadas en los
estándares y línea mínima de seguridad de ATEB.
3. La Gerencia de Sistemas proporcionará las herramientas de hardware y proveerá del software
necesario para realizar las conexiones seguras desde y hacia ATEB.
21. Política para visitantes
1. Toda persona ajena a la organización que desee ingresar a la organización debe tener contacto
primero con la recepción de la organización, informando la persona que visita, gerencia o dependencia.
2. Toda persona ajena a la organización deberá de identificarse con documentos oficiales y vigentes para
poder tener acceso a la organización.
3. Toda persona ajena a la organización deberá ser recibida y hacer estancia en la zona de recepción de
la organización.
4. Toda persona ajena a la organización deberá de comprometerse a acatar las políticas de seguridad
informática que se manifiestan en este documento.
5. Toda persona ajena a la organización que desee utilizar su equipo de cómputo dentro de la
organización, deberá de someterlo a una revisión por parte de la Gerencia de Sistemas para evitar la
propagación de vulnerabilidades.
Estándares
1. Cualquier persona ajena a la organización siempre debe de dirigirse como primer contacto a la
recepción de ATEB en cualquiera de sus oficinas.
2. Cualquier persona ajena a la organización deberá de identificarse con un documento oficial y vigente,
ya que sin dicha documentación ATEB tendrá el derecho de negar la entrada a sus instalaciones a
esta persona.
3. Ninguna persona ajena a la organización podrá estar en un área de ATEB sin portar un gafete de
invitado.
4. Cualquier persona ajena a la organización en calidad de “Visitante” deberá permanecer en la
recepción de ATEB en cualquiera de sus oficinas o sucursales. Si la persona es supervisada o
custodiada por personal de ATEB podrá ingresara las oficinas siempre bajo la supervisión del personal
de ATEB.
5. Cualquier persona ajena a la organización en calidad “Laboral” hacia ATEB, podrá estar en las
diferentes áreas de ATEB siempre desempeñando su trabajo pero bajo la vigilancia de algún miembro
de ATEB.
6. Si alguna persona ajena a la organización en calidad laboral hacia ATEB requiere utilizar servicios de
internet, únicamente lo podrá hacer en la red de invitados de la organización previa autorización por el
Área de Seguridad Informática. Nunca podrá acceder a la red empresarial de ATEB.
7. Si alguna persona ajena a la organización en calidad laboral hacia ATEB requiere conectarse a la red
interna de la organización o red empresarial, únicamente lo podrá hacer bajo permiso escrito por parte
de la Gerencia de Sistemas y el Área de Seguridad Informática, esto previa revisión del equipo de
cómputo por parte de la Gerencia de Sistemas, la cual revisará los siguientes puntos:
a. Revisión de Software antivirus, instalado y actualizado.
b. Revisión de Actualizaciones Criticas de seguridad de sistema operativo.
ATEB
VIII. Continuidad del negocio
Antecedentes
Todas las áreas de ATEB desarrollarán y supervisarán que exista un plan de recuperación ante desastres
para todas y cada una de sus aplicaciones que sean consideradas como críticas, para el supuesto de que
se presente la eventualidad de una interrupción mayor a 4 (cuatro) horas en la infraestructura tecnológica.
Estos planes deberán soportar las funciones mínimas para cumplir con los objetivos de negocio,
regulatorios, técnicos, administrativos y operativos de cada área. Estas necesidades considerarán la
infraestructura tecnológica requerida para su funcionamiento.
1. Política de continuidad del negocio
1. Los procedimientos para ejecutar las tareas indispensables de cada área estarán documentados
en un plan formal de continuidad de sus operaciones denominado “Plan de Recuperación ante
Desastres”, que será revisado anualmente y actualizado conforme sea necesario por la entrada,
salida o actualizaciones de sus aplicaciones.
2. Se hará conciencia de que el objetivo del plan de recuperación ante desastres, es mantener
operando las funciones críticas de los procesos sustantivos relacionados a la facturación
electrónica y al Prestador de servicios de certificación (PSC).
3. Deberá haber un entendimiento claro de que la eficacia del plan de continuidad de las operaciones
reside en que éste sea parte natural de la operación de cada área y no se considere solamente
como un ejercicio anual u ocasional.
4. El Comité para el Manejo de Contingencias tomará las acciones y medidas necesarias que
permitan la recuperación de la infraestructura informática ante la eventualidad de un desastre.
5. La elaboración del plan de recuperación ante contingencias debe abarcar a todas las áreas
involucradas en la función, actividad o proceso, para asegurar que se genere una respuesta
coordinada ante cualquier interrupción de la infraestructura de las tecnologías de la información.
6. El plan de recuperación ante contingencias considerará minimizar el impacto de una eventualidad,
junto con el proceso de recuperación para volver a la normalidad.
7. El plan de recuperación ante contingencias se basará en un análisis de impacto operativo o de
negocios.
8. El plan de recuperación ante contingencias considerará escenarios reales de tiempos de fallas en
la infraestructura de las tecnologías de la información.
9. Se divulgará un programa de concientización para la Dirección y los Gerentes acerca de la
existencia y ejecución del plan, para asegurase que éstos comprendan y estén familiarizados en
todo momento con el plan.
10. El plan asignará roles y responsabilidades específicas a los Gerentes y Líderes de Proyectos para
recuperar la continuidad de las funciones esenciales.
11. La estrategia de pruebas del plan buscará identificar problemas y deficiencias en la ejecución del
mismo para corregirlos oportunamente.
12. Se realizarán pruebas para probar la capacidad de recuperación de los sistemas críticos así como
las aptitudes del personal responsable involucrado.
13. La estrategia deberá considerar como mínimo una prueba de simulacro real anual.

Politicas Corporativas de Seguridad Informatica Ver 5 1

Cargado por

Copyright:

Formatos disponibles

Politicas Corporativas de Seguridad Informatica Ver 5 1

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Politicas Corporativas de Seguridad Informatica Ver 5 1

Cargado por

Copyright:

Formatos disponibles

5.

Elaboro: ATEB Elaboración inicial: 10/Nov./2010 Actualización: 30/Jun./2017

Elaboro: ATEB Elaboración inicial: 10/Nov./2010 Actualización: 30/Jun./2017

Elaboro: ATEB Elaboración inicial: 10/Nov./2010 Actualización: 30/Jun./2017

Elaboro: ATEB Elaboración inicial: 10/Nov./2010 Actualización: 30/Jun./2017

También podría gustarte