(po-ti-sti-01-1) políticas de seguridad informática v9 nov 2011

Polticas de Seguridad Informtica

rea Emisora: Tecnologas de Informacin

Clave del Documento.

PO-TI-STI-01-1

Versin: 5.0 Validez a partir de: Septiembre 2011 Pgina 1 de 27

Elabor Cinemex:

Seguridad Informtica

Revis Cinemex:

Tecnologas de Informacin y Control Interno

Aprob Cinemex:

Comit de Polticas y Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

POLTICAS DE SEGURIDAD INFORMTICA.




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



INDICE 1. Alcance. ....................................................................................................................................... 3

2. Objetivos Generales. .................................................................................................................. 3

4. Poltica De Clasificacin de la Informacin ............................................................................. 5

4.1. Clasificacin y Proteccin de la Informacin 5 5. Poltica de Seguridad General ................................................................................................... 5

5.1. Seguridad en la definicin y los recursos del trabajo 5 5.2. Incumplimiento sobre la seguridad de la informacin 6

6. Uso de recursos de informtica ................................................................................................ 6

6.1. Normas de seguridad de equipos de cmputo (hardware) 6 6.2. Asignacin de equipo de cmputo. 8 6.3. Siniestros de equipo de cmputo .............................................................................. 9

6.3..10. Referencia de Documentos 11 6.4. Normas de seguridad de programas de cmputo (software) y de la informacin 12

7. Poltica de Seguridad Fsica y Ambiental............................................................................... 14

7.1. Seguridad Fsica en Instalaciones 14 7.2. Seguridad de los equipos 15

7.3. Manejo de Impresoras o Impresiones .................................................................................... 15

8. Polticas de Seguridad de Soporte y Operaciones de Cmputo ......................................... 16

8.1. Procedimientos de Operacin y Segregacin de Funciones 16 8.2. Deteccin y respuesta a fallas e incidentes de seguridad de la tecnologa de la informacin 16 9. Internet 16 9.2. Mensajera Instantnea 16

10. Seguridad en Correo Electrnico ............................................................................................ 17

11. Respaldos 17 12. Poltica de Control de Acceso ................................................................................................. 18

12.2. Normas de control de acceso 18 12.3. Responsabilidades de usuarios 18

13. Uso de USBs ............................................................................................................................ 20

14. Uso de PDAs (Personal Digital Assistant). ........................................................................... 22

15. Integridad de la informacin / Controles de seguridad ........................................................ 23

16. Proteccin de Datos Personales ............................................................................................. 23

17. Poltica de Cumplimiento ......................................................................................................... 24

17.2. Cumplimiento de requerimientos legales 24 17.3. Revisiones de seguridad y cumplimientos tcnicos 25

GLOSARIO DE TRMINOS ............................................................................................................. 26

Lista de Distribucin. ...................................................................................................................... 26

Anexos .............................................................................................................................................. 26




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



POLTICAS DE SEGURIDAD INFORMTICA

La responsabilidad de Seguridad en Tecnologa de Informacin es de todos, por lo que, basado

en la misin, visin, valores y estrategias de Negocio de Cinemex, se establecen las siguientes

Polticas de Seguridad Informtica.

Entindase por Cinemex, cualquiera de las sociedades afiliadas, subsidiarias o relacionadas a

Cadena Mexicana de Exhibicin, S.A. de C.V como Servicios Cinematogrficos Especializados

S.A. de C.V., Serviuno S.A. de C.V., y Latin America Movie Theatres, S.A.P.I. DE C.V.

(conjuntamente denominadas Cinemex)

Debido a que la informacin es uno de los factores crticos de xito, es necesario que sta cuente

con la debida proteccin para garantizar su propiedad, integridad, confidencialidad y

disponibilidad.

El objetivo de esta polticas es la de regular la utilizacin de hardware, software, accesorios de

cmputo y asegurar el buen uso de la informacin y servicios.

Todos los recursos e informacin a la que acceden los empleados, ex-empleados, proveedores y

externos de Cinemex, deber ser protegida con controles y procedimientos que nos permitan

evitar cualquier amenaza de robo, mal uso, fraude, prdida sea directa, indirecta o a travs de

herramientas de cmputo.

Es responsabilidad de los usuarios conocer y cumplir las Polticas de Seguridad Informtica.

El incumplimiento con las polticas, estndares, guas o procedimientos de Seguridad Informtica

se notificar a la Direccin de Recursos Humanos y la Direccin correspondiente, quienes

debern asegurarse de cumplir con las polticas que definen las acciones a seguir.

Los empleados debern conocer estas polticas desde su ingreso y confirmar dicho conocimiento.

Para lo anterior, debern firmar la confirmacin que aparece como Anexo de este documento.

Estas polticas estn sujetas a modificacin y/o cambios conforme se integren ms controles de

Seguridad Informtica, y que de acuerdo al alcance intrnseco de cada una de ellas requiera

ampliarse para que sean claras.

1. Alcance. Estas polticas y cualesquier otras normas y procedimientos relacionados deben ser observador por todos los usuarios de los sistemas y aplicaciones de Cinemex y por la organizacin del rea de Tecnologas de Informacin.

2. Objetivos Generales. Reglamentar el uso de software, hardware, accesorios e Informacin. Responsabilizar a los usuarios de los equipos asignados y del software instalado en estos.




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



Asegurar que todos los usuarios entiendan y reconozcan sus roles y responsabilidades referentes a los activos de informacin de Cinemex incluyendo la tecnologa y los controles asociados.

3. Organizacin de las funciones y responsabilidades de seguridad en la informacin. 3.1. El Comit de Polticas y Procedimientos es el que autoriza las polticas de Seguridad

Informtica, coordinados por la Gerencia de Seguridad Informtica. 3.2. La responsabilidad principal de la Gerencia de Seguridad Informtica es la de apoyar en

la gestin de administracin de riesgos tecnolgicos, cuya tarea es establecer un proceso de mejora continua y lograr el nivel de madurez de su aplicacin.

3.3. La gestin de la Seguridad Informtica, debe buscar se den los controles y mecanismos

necesarios y justificados para proteger la informacin, de acuerdo a regulaciones y leyes que rijan a la institucin o a las necesidades del negocio.

3.4. Organigrama de Seguridad

3.5. Es responsabilidad de todas las direcciones de Cinemex cumplir y supervisar la aplicacin de stas polticas y de proteger los activos y la informacin que estn bajo su responsabilidad, funcin y rea de competencia.

3.6. Es responsabilidad del rea de Tecnologas de Informacin cumplir con las polticas y

procedimientos de Seguridad Informtica para asegurar la integridad, confidencialidad y disponibilidad de la informacin

3.7. Es responsabilidad del rea de Recursos Humanos establecer, difundir y ejecutar las

sanciones aplicables a los casos de desviacin a polticas, procedimientos y estndares de Seguridad Informtica.

3.8. No se permite excepciones en cuanto a las declaraciones de la Poltica de Seguridad

Informtica.


Procesos de Infraestructura

Daniel Tristan

[email protected]

Acceso a Sistemas

Armando Aguilar

[email protected]

Control Interno y Auditoria

Blanca Morfn

[email protected]

Mesa de Ayuda

Reporte a Incidentes

Juan Carlos Rojas

[email protected]

Gestin de Seguridad Informtica

Andrei Svtchenko [email protected]

Diana P. Jimnez P.

[email protected]




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



4. Poltica De Clasificacin de la Informacin

4.1. Clasificacin y Proteccin de la Informacin

Propiedad y uso exclusivo de la informacin. Toda la informacin a la que el empleado acceda, genere, transmita, procese, obtenga y/o use como parte de sus labores y trabajo realizado, es propiedad de Cinemex y/o de las personas fsicas o morales con las cuales Cinemex tenga relaciones comerciales o de negocios, esto incluye, con carcter enunciativo ms no limitativo lo siguiente:

Aplicaciones de negocio

Bases de datos

Buzones de correo electrnico

Informacin existente en cualquier medio de almacenamiento (discos duros, compactos, flexibles, cintas magnticas, tarjetas de memoria, USB, entre otros) y de transmisin por la red interna.

Clasificacin de Informacin. A toda la informacin se le asigna un dueo como responsable, y ste debe clasificarla como confidencial, interna o pblica.

La informacin confidencial es la que est reservada para quienes autorice el dueo pueda crearla, modificarla o destruirla y utilizarla. La informacin Pblica es aquella que el dueo autoriza pueda ser revelada a pblico en general. El resto de informacin es considerada como interna, y slo debe ser utilizada por los empleados de Cinemex. Este tratamiento deber estar alineado con los controles y polticas establecidas para la Proteccin de Datos Personales.

Revisiones por actividades sospechosas. La Gerencia de Seguridad Informtica y el rea de Auditoria Interna pueden realizar revisiones cuando detecten o sospechen de la existencia de actividades no autorizadas en el uso de los recursos de cmputo o de la informacin de Cinemex.

5. Poltica de Seguridad General

5.1. Seguridad en la definicin y los recursos del trabajo

Responsabilidad sobre la Seguridad de Informacin. La proteccin de informacin es responsabilidad de todos y cada uno de los empleados de Cinemex.

Alineacin a las polticas, estndares, guas y procedimientos de Seguridad de Informacin. Cada empleado debe conocer, entender y acatar las polticas, estndares, guas y procedimientos de Seguridad Informtica de Cinemex.

Adecuado uso de credenciales y objetos de autenticacin.




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



Es responsabilidad del empleado y personal externo hacer buen uso de los objetos de autenticacin y activos o recursos de cmputo de trabajo que les han sido asignados en Cinemex.

Cumplimiento con los requerimientos de Seguridad por el personal externo. El personal externo que colabore con Cinemex est sujeto a stas Poltica de Seguridad Informtica.

Formalidad para la asignacin de los nombres de usuario y contraseas a los sistemas de informacin y recursos informticos. Los usuarios deben firmar una responsiva sobre los permisos de acceso y uso de recursos autorizados antes de recibir sus nombres de usuario, contrasea de acceso a los sistemas los cuales sern personales e intransferibles y de los recursos que se les asignen (Computadoras de Escritorio, Equipos porttiles, impresoras, etc).

5.2. Incumplimiento sobre la seguridad de la informacin

Medidas disciplinarias debido a incumplimiento de la Poltica de Seguridad de Tecnologa de Informacin El incumplimiento con las polticas, estndares, guas o procedimientos de Seguridad Informtica se notificar a la Direccin de Recursos Humanos y a la Direccin correspondiente, quienes debern asegurarse de cumplir con las polticas que definen las acciones a seguir.

6. Uso de recursos de informtica

6.1. Normas de seguridad de equipos de cmputo (hardware)

El rea de Tecnologa de Informacin debe de asegurar que est cumpliendo con los controles de Entrega de Equipo limpio (formateado) al usuario al que le est asignando un equipo.

La computadora personal siempre se debe apagar mediante el proceso de desconexin o cierre de sesin metdico establecido antes de retirarse a menos que durante la noche se est corriendo algn proceso para el da siguiente, en cuyo caso se debe activar el protector de pantalla.

En todos los casos el personal debe hacer uso de su buen criterio y tener cuidado razonable a fin de proteger el equipo porttil. Por ejemplo, el equipo debe asegurarse fsicamente cuando no se est usando y nunca debe dejarse solo en lugares pblicos.

Todo el equipo de cmputo proporcionado por Cinemex al personal es propiedad de Cinemex, as como la informacin que reside en el mismo. Como tal en cualquier momento puede ser objeto de revisiones de auditora sin previo aviso.

El personal debe tomar todas las medidas razonables para asegurarse que todo el equipo de Cinemex que se encuentre en su posesin o bajo su control, est




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



protegido siempre contra robo y dao accidental o deliberado, o daos por elementos naturales. Esto se aplica a todo el equipo de cmputo y electrnico que utilicen los usuarios al cumplir con sus responsabilidades de trabajo, ya sea en las oficinas o en cualquier otro lugar, incluyendo domicilios particulares.

La prdida, robo o dao de equipo de TI se debe reportar de inmediato a la Subdireccin de TI [email protected] y a la Mesa de Ayuda Cinemex [email protected].

Queda prohibido que una persona no autorizada utilice un equipo de cmputo que est dado de alta en cualquier red de la empresa. Para tal efecto, el usuario autorizado de cada equipo de cmputo facilitado, deber evitar el desatender su equipo, o en su defecto, deber utilizar protectores de pantalla con contrasea.

Adicionalmente, se debern tomar las siguientes medidas con relacin a los equipos:

6.1..1. Usar candados con cables fijos a objetos inamovibles en todo el equipo porttil cuando no se pueda garantizar la seguridad fsica durante el da, del lugar en donde estn trabajando los usuarios. (Esto se puede solicitar al rea de TI mediante una requisicin autorizada por el jefe inmediato)

6.1..2. Nunca documentar los equipos de cmputo como equipaje.

6.1..3. Siempre que salga del cuarto del hotel, trate de dejar su equipo porttil en la caja fuerte del hotel o de lo contrario djela asegurada con el candado a un mueble o superficie fija. Tambin debe tomar estas medidas con documentos importantes.

6.1..4. Si deja el automvil en el servicio de Valet Parking nunca deje su equipo porttil o informacin importante en el auto.

6.1..5. Los usuarios finales no deben permitir que otras personas tengan acceso a reas

restringidas y debern acompaarlas a travs de puertas de seguridad y otros

mecanismos. Los usuarios finales deben mantener todos los dispositivos de acceso

y de seguridad en un lugar seguro. El personal es responsable de las

consecuencias de permitir a personas el acceso a reas restringidas. El usuario

final debe cuestionar la presencia de personas que no cuenten con la debida

identificacin.

6.1..6. nicamente el rea de Tecnologas de Informacin tiene facultades para instalar y

configurar hardware, partes, refacciones y accesorios en los equipos de cmputo;

en caso contrario, el usuario que no respete estos lineamientos ser responsable

de la reparacin o en su defecto reposicin total o parcial tanto del equipo facilitado

como de sus programas.

6.1..7. En caso de robo o extravo total o parcial del equipo, el usuario deber informar

inmediatamente al rea de Tecnologas de Informacin para recibir asesora.

Independientemente de que en caso de robo sin violencia, descuido, abandono u

olvido por negligencia del usuario, queda entendido que el usuario pagar el 100%




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



del valor del equipo y ser responsable de la divulgacin o del mal uso que se haga

de la informacin que contenga el equipo robado o extraviado, siendo responsable

de cualquier accin legal que se derive de esto. Asimismo, queda establecido que

el usuario del equipo ser responsable, en los casos que aplique, del pago del

100% de la prima que el seguro establezca, as como de la obtencin de las actas

que deban levantarse ante las autoridades correspondientes o de cualquier otro

documento necesario y requerido por la compaa de seguros, en caso de robo.

6.1..8. El usuario es responsable de todos los daos ocasionados al equipo que se le haya

asignado, as como del robo o extravo total o parcial del mismo y de la informacin

que ste contenga, toda vez que estar bajo su custodia y cuidado, quedndole

estrictamente prohibido prestarlo, arrendarlo o transmitir su uso de cualquier otra

forma, as como permitir que cualquier otra persona, salvo autorizacin expresa y

por escrito del rea de Tecnologa de Informacin.

6.1..9. Slo la notificacin escrita y autorizada por la Direccin de Tecnologa de

Informacin, libera la responsabilidad de custodia por la asignacin de equipo de

cmputo. Finalmente, tambin queda entendido que Cinemex puede tomar

posesin del equipo que se le ha asignado, en cualquier momento y en cualquier

lugar en que el equipo se encuentre, sin incurrir en responsabilidad de ninguna

ndole, toda vez que desde este momento queda expresamente entendido y

aceptado por usted que en el caso de violacin a las obligaciones sealadas en

este documento, podr incurrir en todas las responsabilidades legales que

procedan, incluyendo de manera enunciativa, ms no limitativa las de carcter

penal a que se refieren los artculos 424, 426, 427, 428 y 429 del Cdigo Penal

para el Distrito Federal en materia del Fuero Comn, y para toda la Repblica en

materia de Fuero Federal, as como los artculos 223 fracciones III, IV y V; 224 de la

Ley Federal del Derecho de Autor o de carcter laboral segn lo previene el artculo

47 fracciones IX y XI de la Ley Federal del Trabajo.

6.2. Asignacin de equipo de cmputo.

Se considera que el equipo que Cinemex proporciona a su personal es slo una herramienta que facilita la ejecucin de las labores que se tienen contratadas con sus empleados. Por lo tanto, Cinemex queda facultada para retirar en el momento en que as lo estime pertinente, la facilidad que se proporciona consistente en el uso del equipo de cmputo, sin que por ello Cinemex deba cubrir a ninguno de sus empleados retribucin o compensacin de ninguna especie y sin que por este motivo puedan atribuir a Cinemex el incumplimiento de las condiciones de trabajo pactadas. Estas condiciones constan en sus contratos individuales de trabajo que tienen celebrados con Cinemex, que es el nico documento que establece deberes y obligaciones para los empleados y para Cinemex. El equipo de cmputo es una facilidad voluntaria y revocable en cualquier momento, que Cinemex est dispuesta a otorgar a sus empleados. Toda asignacin o entrega de recursos informticos propiedad de Cinemex a sus empleados, deber realizarse a travs del documento denominado Asignacin de Equipo de Cmputo. La Direccin de Tecnologa de Informacin debe aprobar en todos los casos dicho documento. Toda




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



transferencia de recursos informticos debe realizarse enterando por escrito a la Direccin de Tecnologa de Informacin.

6.3. Siniestros de equipo de cmputo

6.3..1. Alcance Establecer la participacin y responsabilidad del usuario en caso de presentarse algn siniestro con el equipo de cmputo asignado.

Esta poltica es de observancia de todo el personal de Cinemex.

6.3..2. Declaracin de la poltica

Es poltica de Cinemex salvaguardar y hacer uso correcto del equipo de cmputo, impresoras, perifricos y cableado de red, por lo que debe considerar lo siguiente:

Todo equipo debe estar respaldado por una factura.

Todo equipo enviado para reparacin y/o reasignacin debe ser asegurado para su traslado, y es responsabilidad del rea de Tecnologas de Informacin.

No debe disponerse de los accesorios o partes del equipo siniestrado hasta obtener la inspeccin de parte de la aseguradora. Los equipos de cmputo de Cinemex estn asegurados.

6.3..3. Siniestros cubiertos.

Incendio, Impacto directo de rayo, Explosin Extincin de incendio Prdida o daos materiales causados por robo con violencia Corto circuito Actos mal intencionados y dolo de terceros Fenmenos naturales como: terremoto y erupcin volcnica, fenmenos - meteorolgicos, helada y nieve

6.3..4. Siniestros excluidos.

Todo aquel ocasionado por negligencia del usuario, por ejemplo:

Huelgas y alborotos populares Hurtos no originados por negligencia del usuario. Dejar el equipo en el cuarto del hotel a la vista. Documentar la computadora como equipaje. Separarse del equipo cuando se encuentra dentro de una multitud. Dejar el equipo a un lado o en el piso cuando est en mostradores o recepciones de hoteles. Colocar el equipo en compartimientos de aviones, camiones o trenes. En aeropuerto dejar el equipo en la banda transportadora antes de su turno. Distraerse fcilmente donde alguien puede tomar simplemente su equipo.




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



Cuando se encuentran en alguna sala u oficina dejar el equipo sin el candado de seguridad. Dejar el equipo dentro de un cajn abierto sin ninguna proteccin. Y cualquier situacin en la que el usuario se haya separado o descuidado el equipo en cualquier medio de transporte. Cadas para equipos mviles.

Todo siniestro NO cubierto por la compaa de seguros debe ser pagado por el usuario que tena el equipo asignado; a costo de adquisicin actualizado. El deducible es pagado por la empresa ya que slo el seguro responde a eventos en los que el usuario no es responsable

6.3..5. Puntos a considerar al presentarse algn siniestro:

El usuario afectado debe reportar inmediatamente el siniestro (mximo24 horas despus de haber sucedido el siniestro) al rea de Tecnologas de Informacin. En dao parcial o total, el usuario debe entregar el equipo siniestrado al rea de Tecnologas de Informacin. Si el siniestro se present dentro de las instalaciones de Cinemex, el usuario en coordinacin con la Gerencia de Recursos Humanos o Encargado Administrativo deben elaborar una Acta Administrativa. El usuario debe elaborar una Relacin detallada de los bienes siniestrados, la cual debe entregar al al rea de Tecnologas de Informacin. En caso de robo, el usuario debe levantar las Actas ante el Ministerio Pblico; presentando copia de la factura del equipo robado. As mismo recabar las copias certificadas de las actuaciones de las autoridades. En esta acta debe contener la narracin de los hechos del origen del siniestro, modelo y nmero de serie del equipo y la leyenda Este equipo es propiedad de Cadena Mexicana de Exhibicin S.A. de C.V.

Cabe mencionar que el usuario no debe delegar esta actividad a terceras personas, sin embargo puede solicitar asesora jurdica de Cinemex.

El usuario debe entregar las actas y copias certificadas correspondientes al rea de Administracin de Riesgos, (Sergio Zuno y/o Benjamn Mendoza) para su presentacin ante la aseguradora correspondiente y proceder con la reclamacin de los bienes siniestrados.

6.3..6. Contactos

Para cualquier pregunta relacionada con esta poltica se puede contactar al departamento de Tecnologas de Informacin con el Subdirector [email protected] .

6.3..7. Definiciones Siniestro: Robo o dao total o parcial del equipo. Tercero involucrado: Persona a la que ocurre el siniestro y no es encargada del

equipo.




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



6.3..8. Facultades y Responsabilidades

Los usuarios tienen la responsabilidad de salvaguardar la custodia del equipo de cmputo asignado, as como, hacer buen uso del mismo.

El Departamento de Tecnologas de Informacin debe mantener actualizada la Relacin del equipo asignado a usuarios.

6.3..9. Situaciones especiales

En caso de que a un tercero le ocurra el siniestro, no se debe celebrar ningn convenio con ste sin previa autorizacin de la Aseguradora.

6.3..10. Referencia de Documentos

Solicitud de salida de equipo.- Para Corporativo Documento proporcionado por el rea de TI y autorizado por el rea de Administracin para sacar equipo de cmputo de las instalaciones de Cinemex.

Acta Administrativa.-

Contiene: nombre del usuario, nmero de empleado, fecha, especificacin de que el equipo era de Cinemex y descripcin detallada del siniestro y del equipo siniestrado. Relacin detallada de los bienes siniestrados - Descripcin fsica de los bienes robados o daados parcialmente o totalmente.

Carta de confirmacin.- Solicita los servicios de la Aseguradora y detalla lo siguiente: origen del dao, bienes afectados, importe estimado de las prdidas o daos y cualquier otro dato que ayude a conocer las causas del dao.

Manual de reclamaciones.- Documentacin necesaria para hacer un reclamo formal a la Aseguradora, el cual es proporcionado por el Corredor de Seguros.

Reporte Tcnico.- Especifica: Causas del dao (considerando la vida til del equipo) y cotizacin de un equipo similar, o bien, presupuesto y tiempo de reparacin (segn sea el caso).

La carta formal de declaracin contiene:

Carta de confirmacin. Copia de la salida de equipo (para siniestros que ocurran fuera de la oficina) Copia de la relacin del equipo asignado a usuarios. Copia de la Alta(o modificacin) al IMSS del usuario (proporcionado por el Departamento de Recursos Humanos). Copia de la credencial de identificacin interna del usuario. Acta administrativa. Acta ante el ministerio pblico y copia certificada. Relacin detallada de los bienes siniestrados (proporcionada por el usuario).




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



Certificado de averas (en caso de intervencin por algn inspector de la aseguradora). Copia de la factura del equipo siniestrado (proporcionada por el Departamento de contabilidad). Comprobante de reparacin o reposicin . Copia de la carta de reclamacin al responsable del siniestro (en caso de terceros involucrados). Reporte tcnico.

6.4. Normas de seguridad de programas de cmputo (software) y de la informacin

No se debern instalar en las computadoras personales programas de cmputo que carezcan de la respectiva licencia.

Los programas de cmputo no autorizados por la Direccin de TI pueden ocasionar problemas y por ello no se deben instalar en las computadoras personales asignadas.

El personal no puede permitir que otros copien programas de cmputo respecto de los cuales Cinemex tenga licencia, incluyendo la documentacin respectiva, y tampoco puede l mismo hacer copias que no sean las estipuladas en los contratos de licencia correspondientes.

No se debe descargar o bajar ni almacenar material ofensivo o inapropiado en los equipos de Cinemex, lo cual incluye servidores y computadoras personales.

El personal no puede tener acceso a informacin y datos contenidos en algn sistema de cmputo o en computadoras sin la debida autoridad para ello, de igual manera no puede hacer modificaciones al contenido de cualquier sistema de cmputo de Cinemex, lo cual incluye la eliminacin o realizacin de cambios de la informacin.

Los sistemas de cmputo de Cinemex debern utilizarse principalmente para actividades relacionadas con los negocios de sta.

Todos los equipos, accesorios y recursos de TI asignados a los empleados de Cinemex, incluyendo la informacin de Cinemex y sus clientes, deben ser entregados a la Direccin de TI o a la persona que se designe, al trmino de su contrato.

Todas las compras de software, hardware y servicios de tecnologa debern ser autorizadas por el rea de Tecnologas de Informacin, para asegurar que se cumpla con los estndares de Cinemex, que exista una uniformidad de equipos, programas y servicios y, en su caso, lograr un beneficio en costos.

Los Servicios de TI se reservan el derecho de borrar informacin personal en discos duros si en su opinin estn teniendo un impacto negativo en el desempeo de la computadora personal.

Se ha establecido que la informacin personal que se puede almacenar en los equipos de cmputo de Cinemex, no debe ocupar un espacio mayor a 3 GB y




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



aunque esta informacin sea personal, su contenido debe cumplir con las polticas de Cinemex.

Todo el hardware (equipo fsico) y software (programas) que utilizan los usuarios son propiedad de Cinemex y como tal podr, en cualquier momento, sin aviso previo, ser examinado por la administracin de Cinemex. Esto abarca el correo electrnico, directorios personales de archivos y cualquier otra informacin que se almacene o transmita a travs de computadoras o equipo de comunicaciones de Cinemex.

Los sistemas de cmputo de Cinemex debern utilizarse principalmente para actividades relacionadas con los negocios de sta.

Cinemex obliga al uso de productos de software estndar exclusivamente bajo licencia, en propiedad o renta, debidamente documentados por Cinemex.

Los usuarios solamente instalarn y usarn software autorizado y bajo licencia en el equipo que les sea facilitado. Asimismo, no debern permitir que otros copien dicho software autorizado y no harn copias ms que las que contemplan los contratos de licencias respectivos.

Los usuarios no debern participar o aprobar la piratera de software.

Queda terminantemente prohibido instalar ms programas de aqullos autorizados por Cinemex (ver anexo de Programas Autorizados) y/o que no cuenten con la licencia respectiva. En caso de que sea cargado un software o programa sin previa autorizacin de Cinemex y que no cuente con la respectiva licencia del titular de los derechos del programa, los usuarios podrn ser directamente responsables en forma enunciativa ms no limitativa, de las sanciones legales que por responsabilidad laboral, penal, y/o civil incurran, adems de los costos y gastos en que pudiera incurrir Cinemex derivados de la defensa por el uso no autorizado de dicho software o programa de cmputo.

Los usuarios se debern abstener de instalar cualquier programa y/o archivos que contengan material vulgar, ofensivo o inapropiado, incluyendo los de carcter racial, sexual o religioso y aquellos que se puedan usar para fines no ticos como son el hackeo, crackeo, etc. en el equipo que les sea facilitado, ya que la instalacin de estos ltimos ser sancionada con la rescisin del contrato de trabajo del responsable del equipo.

A todos los programas (software) que se bajen de Internet se les deber tratar como de dudosa procedencia. En caso de que se requieran programas adicionales a los proporcionados de forma estndar por Cinemex, debern ser solicitados al rea de Tecnologas de Informacin y no debern ser instalados hasta obtener dicha autorizacin. Esto aplica para software licenciado, gratuito, de uso personal y/o para uso de Cinemex.

En los casos particulares, donde el software, se trate de un aplicativo, entendindose por ste trmino que se trata de un programa o conjunto de stos, que maneja informacin relacionada con clientes, proveedores, empleados (ej.: programas de contabilidad, nmina, administracin de contactos, etc.), incluyendo




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



aquellos basados en WEB (software as a service), se debern considerar las siguientes restricciones:

6.4..1. La bsqueda y seleccin del software aplicativo, debe realizarse habiendo

desarrollado previamente un documento con los requerimientos de negocio (funcionales, operacionales y de seguridad) y obteniendo la aprobacin del rea de Tecnologas de Informacin,

6.4..2. Al documento de requerimientos, debe acompaarsele un anlisis y viabilidad, incluyendo la restriccin de servicios del software al mnimo necesario, proceso de manejo de passwords, registro y de registro de usuarios, etc.

6.4..3. Para todo el software aplicativo, que se utilice en los equipos o a travs de los

medios de comunicacin de Cinemex, debe hacerse un anlisis del tipo de informacin que se manejar, y, definir los niveles de acceso, controles de respaldo y transmisin de informacin necesarios.

6.4..4. El fabricante o titular de los derechos de autor de software, debe permitir en su

contrato a Cinemex, la realizacin de pruebas de penetracin y/o revisin del cdigo para fines de bsqueda de troyanos, software malicioso y aseguramiento de la confidencialidad de la informacin.

6.4..5. El rea de Tecnologas de Informacin debe aprobar la instalacin y/o uso de

este tipo de software.

7. Poltica de Seguridad Fsica y Ambiental

7.1. Seguridad Fsica en Instalaciones

Escritorios Al concluir la jornada laboral o en horario de comida, los usuarios debern asegurarse de no dejar ningn papel o medios de informacin sobre el escritorio que pongan en riesgo la confidencialidad y proteccin de la informacin.

Entrada y salida de equipos de cmputo y herramientas en general El equipo de cmputo o herramientas en general, antes de entrar o salir de las instalaciones de Cinemex, pudiendo ser enunciativas pero no limitativas, las computadoras (PCs), monitores, impresoras, mdems y cualquier activo de Tecnologa de Informacin, deber registrarse en las bitcoras de Recepcin destinadas para dicho fin. Los usuarios que requieran ingresar computadoras personales a las instalaciones de Cinemex, debern solicitar formalmente el ingreso indicando el motivo de ingreso y debiendo ser autorizado por la Direccin del Solicitante y con el Visto Bueno del rea de Tecnologas de Informacin. nicamente estn autorizados a ingresar o salir de las instalaciones de Cinemex sin necesidad de registro en Bitcora, los equipos porttiles (laptops) designados o autorizados por el rea de Tecnologas de Informacin.

Acceso al centro de cmputo en Corporativo y Lnea Cinemex




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



Los centros de cmputo de Cinemex son reas restringidas, por lo cual los usuarios y cualquier personal empleado, externo o visitante, no puede acceder solo, ni permanecer en ellos, a menos que cuente con la autorizacin correspondiente. Y en su caso acompaado de personal autorizado.

RACKs en Complejos Se consideran cmo reas restringidas las zonas destinadas para los RACKs de Cmputo en Complejos, por lo que nicamente personal Gerencial del Complejo, de Sistemas o personal autorizado por la subdireccin de Tecnologa de Informacin estn autorizados a acceder a ellos por motivo operativo, de mantenimiento y/o soporte.

7.2. Seguridad de los equipos

Traslado de equipo de cmputo No deben moverse o reubicarse computadoras (PCs), monitores, impresoras, mdems, telecomunicaciones y/o cualquier otro activo de Tecnologa sin la autorizacin del rea de Tecnologas de Informacin.

Controles generales en equipo de cmputo Todos los usuarios deben apagar su computadora al trmino de su jornada laboral (computadora PC y Monitor), salvo que por cuestiones de operacin se requiera dejar encendido.

7.3. Manejo de Impresoras o Impresiones

7.1. El personal nunca deber dejar las impresoras desatendidas mientras est imprimiendo informacin confidencial y/o con datos personales.

7.2. El personal nicamente tiene permitido imprimir informacin relacionada con su actividad dentro de la empresa. Est prohibido el uso de las impresoras para imprimir cosas personales.

7.3. El personal es responsable de mantener la confidencialidad de la informacin que

haya impreso. Las impresiones confidenciales debern destruirse cuando estas ya no sean necesarias.

7.4. El personal se compromete a hacer buen uso del papel, consumibles y en general de

cualquier equipo de impresin, as como no imprimir ms de lo estrictamente necesario.

7.5. Se debe tener especial cuidado en no enviar hojas para reciclar que contengan

informacin confidencial y/o datos personales; estas se deben destruir de forma segura (triturar).

7.6. Si se presentara alguna falla con la impresora el personal debe reportarla

inmediatamente al departamento de Tecnologas de Informacin o al rea de Administracin.

7.7. Si la impresora se queda sin tner y/o suministro de papel, se deber notificar

inmediatamente al rea de administracin para su abastecimiento.




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



7.8. Algunos equipos de impresin con los que contamos tienen la opcin de imprimir las hojas a doble cara, todos los usuarios debern considerar esta opcin si la presentacin de su trabajo se los permite.

8. Polticas de Seguridad de Soporte y Operaciones de Cmputo

8.1. Procedimientos de Operacin y Segregacin de Funciones

Separacin de actividades y datos de Usuario a Usuario Los usuarios de Cinemex, no deben tener acceso a equipos de cmputo de otros usuarios salvo que se cuente con la autorizacin del dueo del equipo o de la informacin y sean utilizados los mecanismos de autenticacin provistos para tal efecto, ingresando con su usuario y contrasea personalizados.

Solicitud de Acceso a Informacin Para solicitar acceso a Informacin especfica no definida previamente en el perfil de acceso o alta de personal (carpetas y/o archivos en equipos, bases de datos, etc.), ser necesario obtener el visto bueno del Director de rea y ste a su vez, solicitar el acceso formalmente al Dueo de Informacin a travs del rea de Tecnologas de Informacin

8.2. Deteccin y respuesta a fallas e incidentes de seguridad de la tecnologa de la

informacin

Reporte de incidentes de Seguridad de Tecnologa de Informacin Toda sospecha de la existencia de un incidente de seguridad debe ser reportada al responsable de la Funcin de Seguridad al correo [email protected] y en caso de que se amerite, se dar aviso al rea de Auditoria Interna [email protected] para su investigacin y seguimiento.

Instalacin de programas en computadoras conectadas a la red Los usuarios no deben instalar ningn programa (software) en sus computadoras, estaciones de trabajo, servidores, o cualquier equipo de Cinemex conectado o no a la red, que no est autorizado por la Subdireccin de Tecnologas de Informacin y avalado por la Funcin de Seguridad de la Informacin.

9. Internet

9.1. Autorizacin para el acceso a Internet El acceso a internet est restringido, es monitoreado y est destinado exclusivamente para actividades de trabajo. El Director del rea solicitante, es responsable de autorizar en el Formato de Alta o Cambio de usuario, quin puede tener acceso a Internet.

9.2. Mensajera Instantnea La utilizacin de aplicaciones de mensajera instantnea, por ejemplo MSN Messenger estn prohibidas y solo se permite su uso al personal que por la naturaleza de sus funciones justifique su uso, esto previa autorizacin escrita de la direccin de su rea.

9.3. Descarga de informacin o archivos desde Internet Para evitar afectaciones en redes y sistemas, problemas con virus, as como el uso de software ilegal, se prohbe terminantemente descargar e instalar de cualquier tipo




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



de software. En caso de requerir algn software adicional al instalado, este deber ser solicitado al departamento de tecnologas de Informacin.

10. Seguridad en Correo Electrnico

10.1. Uso de correo electrnico asignado a otras personas Queda prohibido el uso de las cuentas de correo electrnico de otras personas para la recepcin o envo de mensajes.

10.2. Propiedad de los mensajes de correo electrnico Todos los mensajes de correo electrnico almacenados en equipos de Cinemex son propiedad de Cinemex. Cinemex se reserva el derecho a acceder y revelar todos los mensajes enviados por este medio para cualquier propsito que considere la empresa y revisar las comunicaciones va correo electrnico de los empleados que han comprometido la seguridad, violado polticas de la compaa y/o tomado acciones no autorizadas, con la autorizacin de la Direccin General o la Direccin de Finanzas.

10.3. Autorizacin para transmisiones de correo Queda prohibido el uso del correo electrnico de Cinemex para la transmisin de programas, cadenas, pornografa, chistes, correos de temas polticos, religiosos y que contengan mensajes ofensivos.

10.4. Seguridad en correo electrnico Los usuarios no deben abrir archivos ni programas adjuntos de personas desconocidas, ya que de hacerlo se corre el riesgo de que tenga un virus informtico. Los usuarios deben desconfiar de correos de personas desconocidas, cuyo asunto incluya smbolos como $, %, &, etctera, o estn escritos en un idioma que no conocen. Los usuarios debern depurar peridicamente su buzn de correo.

11. Respaldos 11.1. Resguardo de informacin

Todos los empleados deben asegurarse de resguardar la informacin de la empresa en los los Servidores designados por el rea de Tecnologas de Informacin.

En el Caso de Corporativo: Users (U://) En el Caso de Complejos: Users (G://)

11.2. Responsabilidades

Es responsabilidad del rea de Tecnologas de Informacin cumplir las Polticas y Procedimientos de Respaldo vigente para asegurar la proteccin y disponibilidad de la informacin.

11.3. Restauracin de informacin

El rea de Tecnologas de Informacin podr apoyar en la restauracin de informacin, slo en el caso de que haya estado resguardada en estas rutas y con su reporte levantado a la Mesa de Ayuda ([email protected])




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



12. Poltica de Control de Acceso

12.1. Gestin de Usuarios Para la administracin de altas y bajas de usuarios refirase al documento de gestin de Usuarios.

12.2. Normas de control de acceso

Alta de Usuario y acceso (s) a Sistemas Los empleados que requieran acceso a Sistemas y/o aplicaciones de Cinemex, debern acudir a su Jefe inmediato o Director de rea para solicitar el acceso con el Procedimiento de Alta de Usuario y obtener el visto bueno del Dueo de la Aplicacin. Es responsabilidad del Jefe inmediato y Director de rea solicitante el indicar el perfil y los accesos o recursos que se estarn requiriendo.

Divulgacin de controles de acceso a terceras partes Los empleados no deben proporcionar informacin sobre los mecanismos de control de acceso a las instalaciones e infraestructura tecnolgica de Cinemex a personal externo, a menos que se tenga la autorizacin por el rea de Tecnologas de Informacin.

Usuarios Genricos El uso de usuarios genricos ser restringido a casos especficos y debern estar formalmente identificados y justificados; debern estar autorizados por la Subdireccin de Tecnologas de Informacin y la Gerencia de Seguridad Informtica habiendo establecido los controles compensatorios que mitiguen el riesgo (monitoreo).

Responsabilidad por el uso del nombre de usuario Los empleados y personal externo son responsables de todas las actividades realizadas con su nombre de usuario asignado. No deben permitir que otros utilicen su nombre de usuario.

Proteccin para los equipos de cmputo Para Corporativo Los usuarios deben bloquear su equipo de cmputo en cuanto se alejen de su lugar de trabajo. Las estaciones de trabajo del Corporativo, cuentan con un mecanismo de control de acceso que bloquea su uso despus de 5 minutos de inactividad.

Baja de Usuario y acceso (s) a Sistemas Es responsabilidad de la Direccin de Recursos Humanos el notificar las Bajas de los empleados al rea de Tecnologas de Informacin, identificando junto con el Director del rea involucrada (empleado a dar de baja) los respaldos requeridos y formalizar la entrega y/o devolucin del equipo asignado. Para el detalle de Gestin de Bajas, refirase al documento de Gestin de Usuarios.

12.3. Responsabilidades de usuarios




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



Dispositivos de Autenticacin Los usuarios que posean un dispositivo de autenticacin o SecurID (token) deben guardarlo en un lugar seguro. La prdida de dicho dispositivo se debe reportar de inmediato al rea de Tecnologas de Informacin.

Manejo de Contraseas 12.3..1. Sin importar las circunstancias, las contraseas nunca se deben compartir o

revelar. Hacer esto responsabiliza al empleado que prest su contrasea de todas las acciones que se realicen con la misma.

12.3..2. Nunca debern tenerse por escrito (en casos excepcionales que sea

necesario llevar un registro de contraseas, se deber mantener bajo llave, con acceso muy restringido).

12.3..3. Cuando el empleado teclee su contrasea deber asegurarse de no ser

observado.

12.3..4. Nunca debern estar grabadas en textos de entrada u otros procedimientos automatizados

Caractersticas de construccin y vigencia de la contrasea Para Corporativo en Estaciones de Trabajo (Equipos de Escritorio, Laptops) Las contraseas deben conformarse cubriendo las siguientes reglas:

No contener todo o una parte del nombre de usuario

Contener forzosamente los caracteres de al menos 3 de los siguientes 4 grupos de caracteres:

o Maysculas (A-Z) o Minsculas (a-z) o Dgitos base (0-9) o Caracteres especiales como ($, &, !, por ejemplo) u otros smbolos

especiales Adems se cuenta con los siguientes controles de seguridad:

Las contraseas debern cambiarse cada 90 das como mximo.

El sistema recordar las 6 ltimas contraseas que no se podrn reutilizar.

La longitud mnima de las contraseas es de 6 posiciones. En caso de requerir apoyo el usuario deber comunicarse a Mesa de Ayuda

Cinemex o enviando un correo a [email protected] solicitando el apoyo.

Para cuentas de administrador La complejidad y/o manejo de histricos ser nicamente conocido y administrado por la Subdireccin de TI, la Gerencia de Operacin de TI y la Gerencia de Seguridad Informtica. El cambio de contraseas para usuarios de servicio y administradores, tendr una caducidad de 365 das y el cambio ser monitoreado por la Gerencia de Seguridad Informtica.




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



Cambio de contrasea por cuestiones de seguridad Todo empleado que tenga la sospecha de que su contrasea es conocida por otra persona, deber cambiarla inmediatamente.

Acceso no autorizado Esta prohibido que los empleados y personal externo utilicen la infraestructura tecnolgica de Cinemex para obtener acceso no autorizado a la informacin u otros sistemas de informacin de la empresa.

Revocacin de privilegios de acceso Cinemex se reserva el derecho de revocar los privilegios de acceso a cualquier usuario en cualquier momento con la autorizacin de la Direccin General o la Direccin de Finanzas.

13. Uso de USBs 13.1. Definicin

USB (Universal Serial Bus)

Son aditamentos difciles de daar que uno puede llevar en el bolsillo y cargar toda la informacin necesaria dada su capacidad de almacenamiento. Lo nico que se requiere para poder acceder a la informacin que se encuentra en una memoria USB es que la PC o laptop cuente con entrada USB, misma que se encuentra integrada en la mayora de los equipos nuevos.

Algunos de los riesgos que se corren con el uso de estos dispositivos son:

La mayora de los usuarios no utilizan contraseas de acceso a estos dispositivos

Es un dispositivo tan pequeo que corre el riesgo de perderse o est expuesto al robo.

En caso de prdida o robo, la cantidad de informacin que contiene, podra exponer seriamente a Cinemex a la extorsin, fraude digital o dao a su reputacin.

Se puede introducir a Cinemex, cualquier tipo de virus ya que se desconoce el origen de la informacin.

Quien posee un dispositivo USB puede hacer mal uso de la informacin que almacena.

13.2. Objetivo general.

Reglamentar el uso de dispositivos USBs. Disminuir los riesgos por el uso de dispositivos USB.

13.3. Objetivos especficos

Guiar la compra de dispositivos USB Requerir el uso de una particin privada en el dispositivo.

13.4. Responsabilidades

El rea de Tecnologas de Informacin tiene la facultad del bloqueo de los dispositivos con el fin de salvaguardar la Informacin.

Dispositivos de memoria USB Gua para el personal que desee adquirir dispositivos de memoria USB en lugar de diskettes o CDs.




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



Excepciones y preguntas Observando estos lineamientos podemos administrar en mejor forma los riesgos asociados con el uso de estos dispositivos, sin embargo, estos lineamientos dejan abierta la posibilidad de tener excepciones, basadas en circunstancias especficas. En caso de una posible excepcin, la peticin a Mesa de Ayuda Cinemex (MAC) deber turnarse al Director de TI para su aprobacin.

Aclaraciones adicionales Si el personal requiere una aclaracin adicional a cualquiera de los puntos de la poltica, podr dirigir sus preguntas al rea de Tecnologas de Informacin.

Compra de memorias USB Al personal se le permite comprar dispositivos de memoria USB, sin embargo, cuando los compren, debern considerar los criterios obligatorios identificados por el rea de TI.

Los criterios incluyen lo siguiente: Hardware.- El dispositivo deber contar con una extensin de cable para permitir el acceso fcil a los puertos posteriores. Seguridad del software: 1. Capacidad de crear una particin pblica y otra privada en el dispositivo de memoria USB. 2. Proteccin opcional a travs del uso de contraseas para accesar a la particin privada en el dispositivo de memoria USB. 3. Capacidad de revisar, cambiar y limpiar contraseas. 4. Capacidad de cambiar el nombre del dispositivo y el formateo de las particiones. 5. Capacidad de copiar archivos del sistema al dispositivo, para propsitos de su iniciacin. Existe gran variedad de dispositivos de memoria USB disponibles en el mercado, con diferentes funcionalidades. El rea de TI recomienda el modelo marca Kingston Data Traveler Elite, que satisface los criterios sealados anteriormente y que se encuentra en capacidades de 256 Mb a 2 Gb., siendo el nmero de parte KUSBDTE/xxx (xxx=capacidad).

Utilizando la particin privada. Se recomienda el uso de una particin privada en el dispositivo de memoria USB para ocupar la mayora del espacio total de la misma. Por ejemplo: un dispositivo de 256 Mb deber tener 250 Mb en la particin privada, dejando bastante espacio en la particin pblica para los dispositivos de seguridad del software y el manual del dispositivo nicamente. La particin pblica no deber utilizarse para transportar cualquier informacin de Cinemex. Una vez que el dispositivo se haya insertado en la mquina destino, las herramientas de seguridad del software podrn instalarse, la particin privada podr desbloquearse y accesar a la informacin. En general, el copiado de la informacin de Cinemex, dentro de un dispositivo de memoria USB, deber hacerse y regularse en lnea con la poltica definida en este documento.




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



14. Uso de PDAs (Personal Digital Assistant). 14.1. Definicin.

PDA (Personal Digital Assistant) Es un dispositivo pequeo que es usado para almacenar informacin como nmeros telefnicos, direcciones, calendario, citas, tareas, notas, documentos (Excel, Word, Power Point), correo, etc. Una PDA puede ser una agenda electrnica, un celular, o un dispositivo que combine ambas funciones. El uso inadecuado de las PDAs representa un riesgo latente para la Seguridad Informtica de la empresa. Algunos de los riesgos a los que nos enfrentamos son:

La mayora de los usuarios no utilizan contrasea de acceso en estos dispositivos.

Manejo de informacin confidencial personal, de la empresa y de clientes.

Riesgo de propagacin de virus al copiar informacin de las PDAs a los equipos de Cinemex.

Negacin de servicios en redes inalmbricas.

14.2. Objetivos especficos.

Restringir el tipo de software instalado en los equipos para el uso de PDAs, as como el tipo de informacin almacenado en stas.

Uso de contrasea de acceso.

Sugerir medidas de seguridad en el manejo de PDAs para disminuir los riesgos que el uso de stas implica.

14.3. Configuracin.

Las PDAs deben ser configuradas para que el acceso sea restringido por una contrasea que cumpla con las reglas establecidas en la Poltica de Seguridad Informtica. Adems se sugiere que esta contrasea se active despus de 5 minutos de inactividad del dispositivo.

14.4. Almacenamiento de informacin. Queda prohibido guardar la siguiente informacin en las agendas electrnicas:

Informacin de clientes diferente a direcciones y telfonos,

Contraseas de acceso a la red y sistemas de la compaa.

Mensajes de correo electrnico que contengan informacin confidencial o sensitiva.

14.5. Software permitido. Actualmente el mercado de PDAs est dominado principalmente por dos sistemas operativos, Windows CE y PalmOS, por lo que est permitido instalar en los equipos de Cinemex los programas Microsoft ActiveSync, Palm Desktop and Synchronization Software, Acrobat Reader for Palm OS y Documents to Go. Cabe mencionar que se debern consultar las versione autorizadas en la lista publicada en KWorld o con el rea de TI. Estos programas son utilizados para sincronizar las PDAs con los equipos de cmputo. Si existiera un software adicional a estos que tenga la misma funcin, ser necesario solicitar la autorizacin correspondiente de la Direccin de TI para su instalacin. Aunque el software este previamente autorizado se deber llenar el formato de solicitud de instalacin.

14.6. Software prohibido.




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



Est estrictamente prohibida la instalacin, de cualquier software que no se mencione en el punto anterior. Tampoco se permite la utilizacin de software instalado en las PDAs que pueda interferir con el Global Desktop u otros programas autorizados para la operacin normal de la funcin que desarrolle el usuario. Adicionalmente est prohibido el uso de software instalado en las PDAs que pueda interferir, accesar y/o modificar informacin o servicios informticos de Cinemex como por ejemplo: correo electrnico, informacin almacenada en equipos, configuracin de equipos y/o dispositivos, acceso a la red, etc.

14.7. Antivirus. Se recomienda el uso de un antivirus para PDAs para prevenir la prdida de datos. Adems cualquier informacin que se copie de la agenda al equipo de la empresa, debe ser verificada anticipadamente.

14.8. Seguridad de Hardware. Se recomienda resguardar adecuadamente las PDAs, para evitar el riesgo de robo. Si sta se encuentra ligada al sistema de correo electrnico a travs de un sistema inalmbrico tal como Blackberry, informar inmediatamente en caso de extravo del dispositivo al rea de TI para que se realice un borrado remoto del dispositivo.

15. Integridad de la informacin / Controles de seguridad Todo usuario es responsable del contenido de informacin que ingresa o transmite en los activos o recursos tecnolgicos que le fueron designados ya sea dentro o fuera de las instalaciones. Toda la informacin contenida en el Disco Duro de las computadoras es responsabilidad del usuario al que le fue asignado el activo de informacin. El rea de Tecnologas de Informacin no tiene la obligacin de ayudar a copiar o respaldar informacin que no tenga que ver con la empresa como: msica, videos, fotos, etc.

16. Proteccin de Datos Personales A fin de dar cumplimiento de la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares (LFPDPPP) se establecen medidas de proteccin adecuadas y apropiadas que salvaguardan los Datos Personales en trminos de lo dispuesto a la Ley. Por lo tanto se tienen los siguientes puntos para considerarse como polticas de seguridad:

16.1. Definicin de datos personales,

patrimoniales y sensibles para comunicrselos a los empleados y sean tomados en cuenta para el tratamiento de los mismos.

16.2. Definir la manera correcta de recopilar

datos personales. Al momento de recopilar datos personales debern proveer un aviso, esto significa que las personas involucradas tienen derecho a decidir si estn de acuerdo con el uso de sus datos personales para el propsito buscado. Los datos personales slo deben ser recopilados cuando sea necesario. Un propsito legtimo es cualquier asunto relacionado con el negocio de Cinemex. El tener datos personales innecesarios representa un riesgo adems de ser ineficiente.




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



Para compartir datos personales dentro de Cinemex y con terceros. Para ello ser importante tomar en consideracin los siguientes puntos:

Transferencia de Datos Personales 16.2..1. Cerciorarnos de que los

receptores conozcan los trminos y limitaciones del uso de la informacin proporcionada.

16.2..2. Compartir los datos personales de una forma segura de acuerdo con las polticas de Cinemex.

16.2..3. No compartir estos datos para un fin secundario.

16.2..4. En el caso de compartir datos con terceros se deben considerar: 16.2..4.1.1. Exista un

convenio escrito adecuado que prevenga que terceros usen los datos de forma incorrecta.

16.2..4.1.2. El tercero est obligado a tomar medidas adecuadas para proteger los datos personales a un nivel similar provistos que Cinemex.

Actividades y recomendaciones para proteger informacin personal en las instalaciones de Cinemex:

16.2..5. No dejar datos personales ni otra informacin confidencial desprotegida sobre los escritorios, ya sea en papel o en dispositivos electrnicos.

16.2..6. Activar el protector de pantalla de los equipos de cmputo cada vez que se dejen desatendidos.

16.2..7. Guardar bajo llave las computadoras porttiles una vez que fueron terminadas de utilizar.

16.2..8. No discutir informacin de datos personales de Cinemex con individuos no autorizados o en lugares pblicos.

16.2..9. Si se piensa transportar una computadora porttil en un automvil, siempre guardarla en la cajuela, nunca a la vista.

Medidas de proteccin que debern seguir los empleados de Cinemex:

16.2..10. Slo utilizar canales de comunicacin electrnica aprobados por Cinemex. 16.2..11. Nunca usar cuentas de correo electrnico, mensajes instantneos o

mensajes de texto de carcter personal para asuntos relacionados con clientes de Cinemex.

16.2..12. Memorizar contraseas, no anotarlas o guardarlas junto con los dispositivos electrnicos.

16.2..13. El uso de cualquier otro sistema slo debe ser de acuerdo a las polticas de Cinemex.

16.2..14. Hojas reciclables, en caso de que contengan datos personales no se podrn utilizar para reciclaje. (Poltica de Impresiones en este mismo documento)

17. Poltica de Cumplimiento

17.2. Cumplimiento de requerimientos legales




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



Prohibido copiar o reproducir software Est prohibido realizar copias no autorizadas de software, ya sea adquirido o desarrollado por Cinemex.

Uso de software autorizado Se cuenta con una relacin del software autorizado a nivel organizacional. Todo programa o software en general que est fuera de sta relacin, para poder instalarlo y utilizarlo deber contar con la autorizacin de uso del Director responsable del rea usuaria y el rea de Tecnologas de Informacin.

Instalacin de software Todo software debe ser instalado por personal designado del rea de Tecnologas de Informacin.

Monitoreo de uso de software autorizado La Gerencia de Operacin de TI cuenta con mecanismos para el control y monitoreo del Software autorizado y tiene la facultad para eliminar el software no autorizado.

Monitoreo de uso de informacin y recursos El usuario de la informacin tiene definido un perfil de acceso a aplicaciones, un alcance de informacin y recursos de cmputo a utilizar, por lo que Cinemex se reserva el derecho de auditar y/o monitorear qu tipo de recursos o informacin estn utilizando, sin necesidad de previo aviso, bastando nicamente para tales efectos, la autorizacin de la Direccin General o la Direccin de Finanzas o Control Interno.

17.3. Revisiones de seguridad y cumplimientos tcnicos

Cumplimiento con las polticas de seguridad Los responsables de las reas usuarias deben apoyar y asegurarse de que todas las polticas, procedimientos y estndares de seguridad informtica se lleven a cabo correctamente. Es responsabilidad de la Gerencia de Seguridad Informtica realizar revisiones peridicas para asegurarse del cumplimiento de las polticas, procedimientos y estndares de Seguridad. Los propietarios de la informacin deben apoyar las revisiones del cumplimiento de los sistemas proporcionando la informacin que se les solicite con las polticas y estndares de seguridad apropiadas y cualquier otro requerimiento de seguridad.

Uso de recursos para fines personales Queda estrictamente prohibido el uso de cualquier informacin y recursos propiedad de Cinemex para propsitos personales o cualquier otro uso no relacionado con las actividades de trabajo que han sido asignadas como parte de las funciones de cada empleado.




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



GLOSARIO DE TRMINOS

Externos Llmese a consultores, proveedores o personal no contratado por Servicios Cinematogrficos Especializados S.A. de C.V o Serviuno S.A. de C.V. CINEMEX Dentro del documento de Polticas de Seguridad Informtica todo lo relacionado con CINEMEX, estar ligado a Servicios Cinematogrficos Especializados S.A. de C.V., Serviuno S.A. de C.V. y/o de alguna Sociedad relacionada con sta.

Lista de Distribucin.

Toda la Empresa

Anexos

1. Lista de Aplicaciones identificando al Dueo de Sistema 2. Gestin de Usuarios 3. Lista de Programas Autorizados (Responsable Tecnologas de Informacin) 4. Confirmacin de Polticas y Procedimientos de Seguridad Informtica




PO-TI-STI-01-1


Elabor Cinemex:


Revis Cinemex:


Aprob Cinemex:



- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Fecha __________________ Yo ________________________________________________________________________________ Firmo de conocer y emplear las Polticas y Procedimientos de Seguridad Informtica difundidas por correo electrnico y/o publicadas en la intranet y acepto la responsabilidad para su estudio y apego a ellas, de consultar con mi jefe inmediato superior si tengo alguna duda para ponerlas en prctica, as como de notificarle cualquier falta o anomala que detecte, o de dirigirme al telfono del Corporativo 5201 5899, o al email [email protected], para el reporte de incidentes. Estoy enterado que Cinemex tiene la facultad de revisar los archivos de trabajo en cualquier formato, los correos electrnicos y/o dispositivos que utilice para el desempeo de las funciones y tareas de mi responsabilidad.

Nombre y Firma Nombre y Firma del Jefe Inmediato