Вы находитесь на странице: 1из 27

Polticas de Seguridad Informtica

Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Pgina 1 de 27

Validez a partir de: Septiembre 2011

POLTICAS DE SEGURIDAD INFORMTICA.

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Validez a partir de: Septiembre 2011

Pgina 2 de 27

INDICE
1. Alcance. ....................................................................................................................................... 3
2. Objetivos Generales. .................................................................................................................. 3
4. Poltica De Clasificacin de la Informacin ............................................................................. 5
4.1.
Clasificacin y Proteccin de la Informacin
5
5. Poltica de Seguridad General ................................................................................................... 5
5.1.
Seguridad en la definicin y los recursos del trabajo
5
5.2.
Incumplimiento sobre la seguridad de la informacin
6
6. Uso de recursos de informtica ................................................................................................ 6
6.1.
Normas de seguridad de equipos de cmputo (hardware)
6
6.2.
Asignacin de equipo de cmputo.
8
6.3.
Siniestros de equipo de cmputo .............................................................................. 9
6.3..10. Referencia de Documentos
11
6.4.
Normas de seguridad de programas de cmputo (software) y de la informacin
12
7. Poltica de Seguridad Fsica y Ambiental............................................................................... 14
7.1.
Seguridad Fsica en Instalaciones
14
7.2.
Seguridad de los equipos
15
7.3. Manejo de Impresoras o Impresiones .................................................................................... 15
8. Polticas de Seguridad de Soporte y Operaciones de Cmputo ......................................... 16
8.1.
Procedimientos de Operacin y Segregacin de Funciones
16
8.2.
Deteccin y respuesta a fallas e incidentes de seguridad de la tecnologa de la
informacin
16
9.
Internet
16
9.2.
Mensajera Instantnea
16
10. Seguridad en Correo Electrnico ............................................................................................ 17
11.
Respaldos
17
12. Poltica de Control de Acceso ................................................................................................. 18
12.2. Normas de control de acceso
18
12.3. Responsabilidades de usuarios
18
13. Uso de USBs ............................................................................................................................ 20
14. Uso de PDAs (Personal Digital Assistant). ........................................................................... 22
15. Integridad de la informacin / Controles de seguridad ........................................................ 23
16. Proteccin de Datos Personales ............................................................................................. 23
17. Poltica de Cumplimiento ......................................................................................................... 24
17.2. Cumplimiento de requerimientos legales
24
17.3. Revisiones de seguridad y cumplimientos tcnicos
25
GLOSARIO DE TRMINOS ............................................................................................................. 26
Lista de Distribucin. ...................................................................................................................... 26
Anexos .............................................................................................................................................. 26

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Pgina 3 de 27

Validez a partir de: Septiembre 2011

POLTICAS DE SEGURIDAD INFORMTICA

La responsabilidad de Seguridad en Tecnologa de Informacin es de todos, por lo que, basado


en la misin, visin, valores y estrategias de Negocio de Cinemex, se establecen las siguientes
Polticas de Seguridad Informtica.
Entindase por Cinemex, cualquiera de las sociedades afiliadas, subsidiarias o relacionadas a
Cadena Mexicana de Exhibicin, S.A. de C.V como Servicios Cinematogrficos Especializados
S.A. de C.V., Serviuno S.A. de C.V., y Latin America Movie Theatres, S.A.P.I. DE C.V.
(conjuntamente denominadas Cinemex)
Debido a que la informacin es uno de los factores crticos de xito, es necesario que sta cuente
con la debida proteccin para garantizar su propiedad, integridad, confidencialidad y
disponibilidad.
El objetivo de esta polticas es la de regular la utilizacin de hardware, software, accesorios de
cmputo y asegurar el buen uso de la informacin y servicios.
Todos los recursos e informacin a la que acceden los empleados, ex-empleados, proveedores y
externos de Cinemex, deber ser protegida con controles y procedimientos que nos permitan
evitar cualquier amenaza de robo, mal uso, fraude, prdida sea directa, indirecta o a travs de
herramientas de cmputo.
Es responsabilidad de los usuarios conocer y cumplir las Polticas de Seguridad Informtica.
El incumplimiento con las polticas, estndares, guas o procedimientos de Seguridad Informtica
se notificar a la Direccin de Recursos Humanos y la Direccin correspondiente, quienes
debern asegurarse de cumplir con las polticas que definen las acciones a seguir.
Los empleados debern conocer estas polticas desde su ingreso y confirmar dicho conocimiento.
Para lo anterior, debern firmar la confirmacin que aparece como Anexo de este documento.
Estas polticas estn sujetas a modificacin y/o cambios conforme se integren ms controles de
Seguridad Informtica, y que de acuerdo al alcance intrnseco de cada una de ellas requiera
ampliarse para que sean claras.

1. Alcance.
Estas polticas y cualesquier otras normas y procedimientos relacionados deben ser
observador por todos los usuarios de los sistemas y aplicaciones de Cinemex y por la
organizacin del rea de Tecnologas de Informacin.

2. Objetivos Generales.
Reglamentar el uso de software, hardware, accesorios e Informacin.
Responsabilizar a los usuarios de los equipos asignados y del software instalado en estos.

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Pgina 4 de 27

Validez a partir de: Septiembre 2011

Asegurar que todos los usuarios entiendan y reconozcan sus roles y responsabilidades
referentes a los activos de informacin de Cinemex incluyendo la tecnologa y los controles
asociados.

3. Organizacin de las funciones y responsabilidades de seguridad en la informacin.


3.1. El Comit de Polticas y Procedimientos es el que autoriza las polticas de Seguridad
Informtica, coordinados por la Gerencia de Seguridad Informtica.
3.2. La responsabilidad principal de la Gerencia de Seguridad Informtica es la de apoyar en
la gestin de administracin de riesgos tecnolgicos, cuya tarea es establecer un
proceso de mejora continua y lograr el nivel de madurez de su aplicacin.
3.3. La gestin de la Seguridad Informtica, debe buscar se den los controles y mecanismos
necesarios y justificados para proteger la informacin, de acuerdo a regulaciones y leyes
que rijan a la institucin o a las necesidades del negocio.
3.4. Organigrama de Seguridad

Comit de Polticas y Procedimientos

Gestin de Seguridad Informtica


Andrei Svtchenko
andreis@cinemex.net
Diana P. Jimnez P.

Control Interno y Auditoria


Blanca Morfn
blancam@cinemex.net

dianaj@cinemex.net

Procesos de Infraestructura

Acceso a Sistemas

Daniel Tristan

Armando Aguilar

danielt@cinemex.net

armandoa@cinemex.net

Mesa de Ayuda
Reporte a Incidentes
Juan Carlos Rojas
juanr@cinemex.net

3.5. Es responsabilidad de todas las direcciones de Cinemex cumplir y supervisar la


aplicacin de stas polticas y de proteger los activos y la informacin que estn bajo su
responsabilidad, funcin y rea de competencia.
3.6. Es responsabilidad del rea de Tecnologas de Informacin cumplir con las polticas y
procedimientos de Seguridad Informtica para asegurar la integridad, confidencialidad y
disponibilidad de la informacin
3.7. Es responsabilidad del rea de Recursos Humanos establecer, difundir y ejecutar las
sanciones aplicables a los casos de desviacin a polticas, procedimientos y estndares
de Seguridad Informtica.
3.8. No se permite excepciones en cuanto a las declaraciones de la Poltica de Seguridad
Informtica.
Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Pgina 5 de 27

Validez a partir de: Septiembre 2011

4. Poltica De Clasificacin de la Informacin


4.1. Clasificacin y Proteccin de la Informacin

Propiedad y uso exclusivo de la informacin.


Toda la informacin a la que el empleado acceda, genere, transmita, procese,
obtenga y/o use como parte de sus labores y trabajo realizado, es propiedad de
Cinemex y/o de las personas fsicas o morales con las cuales Cinemex tenga
relaciones comerciales o de negocios, esto incluye, con carcter enunciativo ms
no limitativo lo siguiente:
Aplicaciones de negocio
Bases de datos
Buzones de correo electrnico
Informacin existente en cualquier medio de almacenamiento (discos duros,
compactos, flexibles, cintas magnticas, tarjetas de memoria, USB, entre
otros) y de transmisin por la red interna.

Clasificacin de Informacin.
A toda la informacin se le asigna un dueo
clasificarla como confidencial, interna o pblica.

como responsable, y ste debe

La informacin confidencial es la que est reservada para quienes autorice el


dueo pueda crearla, modificarla o destruirla y utilizarla.
La informacin Pblica es aquella que el dueo autoriza pueda ser revelada a
pblico en general.
El resto de informacin es considerada como interna, y slo debe ser utilizada
por los empleados de Cinemex.
Este tratamiento deber estar alineado con los controles y polticas
establecidas para la Proteccin de Datos Personales.

Revisiones por actividades sospechosas.


La Gerencia de Seguridad Informtica y el rea de Auditoria Interna pueden realizar
revisiones cuando detecten o sospechen de la existencia de actividades no
autorizadas en el uso de los recursos de cmputo o de la informacin de Cinemex.

5. Poltica de Seguridad General


5.1. Seguridad en la definicin y los recursos del trabajo

Responsabilidad sobre la Seguridad de Informacin.


La proteccin de informacin es responsabilidad de todos y cada uno de los
empleados de Cinemex.

Alineacin a las polticas, estndares, guas y procedimientos de Seguridad de


Informacin.
Cada empleado debe conocer, entender y acatar las polticas, estndares, guas y
procedimientos de Seguridad Informtica de Cinemex.

Adecuado uso de credenciales y objetos de autenticacin.

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Pgina 6 de 27

Validez a partir de: Septiembre 2011

Es responsabilidad del empleado y personal externo hacer buen uso de los objetos
de autenticacin y activos o recursos de cmputo de trabajo que les han sido
asignados en Cinemex.

Cumplimiento con los requerimientos de Seguridad por el personal externo.


El personal externo que colabore con Cinemex est sujeto a stas Poltica de
Seguridad Informtica.

Formalidad para la asignacin de los nombres de usuario y contraseas a los


sistemas de informacin y recursos informticos.
Los usuarios deben firmar una responsiva sobre los permisos de acceso y uso de
recursos autorizados antes de recibir sus nombres de usuario, contrasea de
acceso a los sistemas los cuales sern personales e intransferibles y de los
recursos que se les asignen (Computadoras de Escritorio, Equipos porttiles,
impresoras, etc).

5.2. Incumplimiento sobre la seguridad de la informacin

Medidas disciplinarias debido a incumplimiento de la Poltica de Seguridad de


Tecnologa de Informacin
El incumplimiento con las polticas, estndares, guas o procedimientos de
Seguridad Informtica se notificar a la Direccin de Recursos Humanos y a la
Direccin correspondiente, quienes debern asegurarse de cumplir con las polticas
que definen las acciones a seguir.

6. Uso de recursos de informtica


6.1. Normas de seguridad de equipos de cmputo (hardware)

El rea de Tecnologa de Informacin debe de asegurar que est cumpliendo con


los controles de Entrega de Equipo limpio (formateado) al usuario al que le est
asignando un equipo.

La computadora personal siempre se debe apagar mediante el proceso de


desconexin o cierre de sesin metdico establecido antes de retirarse a menos
que durante la noche se est corriendo algn proceso para el da siguiente, en cuyo
caso se debe activar el protector de pantalla.

En todos los casos el personal debe hacer uso de su buen criterio y tener cuidado
razonable a fin de proteger el equipo porttil. Por ejemplo, el equipo debe
asegurarse fsicamente cuando no se est usando y nunca debe dejarse solo en
lugares pblicos.

Todo el equipo de cmputo proporcionado por Cinemex al personal es propiedad de


Cinemex, as como la informacin que reside en el mismo. Como tal en cualquier
momento puede ser objeto de revisiones de auditora sin previo aviso.

El personal debe tomar todas las medidas razonables para asegurarse que todo el
equipo de Cinemex que se encuentre en su posesin o bajo su control, est

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Validez a partir de: Septiembre 2011

Pgina 7 de 27

protegido siempre contra robo y dao accidental o deliberado, o daos por


elementos naturales. Esto se aplica a todo el equipo de cmputo y electrnico que
utilicen los usuarios al cumplir con sus responsabilidades de trabajo, ya sea en las
oficinas o en cualquier otro lugar, incluyendo domicilios particulares.

La prdida, robo o dao de equipo de TI se debe reportar de inmediato a la


Subdireccin de TI andreis@cinemex.net y a la Mesa de Ayuda Cinemex
mesadeayuda@cinemex.net.

Queda prohibido que una persona no autorizada utilice un equipo de cmputo que
est dado de alta en cualquier red de la empresa. Para tal efecto, el usuario
autorizado de cada equipo de cmputo facilitado, deber evitar el desatender su
equipo, o en su defecto, deber utilizar protectores de pantalla con contrasea.

Adicionalmente, se debern tomar las siguientes medidas con relacin a los


equipos:
6.1..1.

6.1..2.
6.1..3.

6.1..4.

Usar candados con cables fijos a objetos inamovibles en todo el equipo


porttil cuando no se pueda garantizar la seguridad fsica durante el da, del
lugar en donde estn trabajando los usuarios. (Esto se puede solicitar al
rea de TI mediante una requisicin autorizada por el jefe inmediato)
Nunca documentar los equipos de cmputo como equipaje.
Siempre que salga del cuarto del hotel, trate de dejar su equipo porttil en la
caja fuerte del hotel o de lo contrario djela asegurada con el candado a un
mueble o superficie fija. Tambin debe tomar estas medidas con documentos
importantes.
Si deja el automvil en el servicio de Valet Parking nunca deje su equipo
porttil o informacin importante en el auto.

6.1..5. Los usuarios finales no deben permitir que otras personas tengan acceso a reas
restringidas y debern acompaarlas a travs de puertas de seguridad y otros
mecanismos. Los usuarios finales deben mantener todos los dispositivos de acceso
y de seguridad en un lugar seguro. El personal es responsable de las
consecuencias de permitir a personas el acceso a reas restringidas. El usuario
final debe cuestionar la presencia de personas que no cuenten con la debida
identificacin.
6.1..6. nicamente el rea de Tecnologas de Informacin tiene facultades para instalar y
configurar hardware, partes, refacciones y accesorios en los equipos de cmputo;
en caso contrario, el usuario que no respete estos lineamientos ser responsable
de la reparacin o en su defecto reposicin total o parcial tanto del equipo facilitado
como de sus programas.
6.1..7. En caso de robo o extravo total o parcial del equipo, el usuario deber informar
inmediatamente al rea de Tecnologas de Informacin para recibir asesora.
Independientemente de que en caso de robo sin violencia, descuido, abandono u
olvido por negligencia del usuario, queda entendido que el usuario pagar el 100%
Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Validez a partir de: Septiembre 2011

Pgina 8 de 27

del valor del equipo y ser responsable de la divulgacin o del mal uso que se haga
de la informacin que contenga el equipo robado o extraviado, siendo responsable
de cualquier accin legal que se derive de esto. Asimismo, queda establecido que
el usuario del equipo ser responsable, en los casos que aplique, del pago del
100% de la prima que el seguro establezca, as como de la obtencin de las actas
que deban levantarse ante las autoridades correspondientes o de cualquier otro
documento necesario y requerido por la compaa de seguros, en caso de robo.
6.1..8. El usuario es responsable de todos los daos ocasionados al equipo que se le haya
asignado, as como del robo o extravo total o parcial del mismo y de la informacin
que ste contenga, toda vez que estar bajo su custodia y cuidado, quedndole
estrictamente prohibido prestarlo, arrendarlo o transmitir su uso de cualquier otra
forma, as como permitir que cualquier otra persona, salvo autorizacin expresa y
por escrito del rea de Tecnologa de Informacin.
6.1..9. Slo la notificacin escrita y autorizada por la Direccin de Tecnologa de
Informacin, libera la responsabilidad de custodia por la asignacin de equipo de
cmputo. Finalmente, tambin queda entendido que Cinemex puede tomar
posesin del equipo que se le ha asignado, en cualquier momento y en cualquier
lugar en que el equipo se encuentre, sin incurrir en responsabilidad de ninguna
ndole, toda vez que desde este momento queda expresamente entendido y
aceptado por usted que en el caso de violacin a las obligaciones sealadas en
este documento, podr incurrir en todas las responsabilidades legales que
procedan, incluyendo de manera enunciativa, ms no limitativa las de carcter
penal a que se refieren los artculos 424, 426, 427, 428 y 429 del Cdigo Penal
para el Distrito Federal en materia del Fuero Comn, y para toda la Repblica en
materia de Fuero Federal, as como los artculos 223 fracciones III, IV y V; 224 de la
Ley Federal del Derecho de Autor o de carcter laboral segn lo previene el artculo
47 fracciones IX y XI de la Ley Federal del Trabajo.
6.2. Asignacin de equipo de cmputo.
Se considera que el equipo que Cinemex proporciona a su personal es slo una
herramienta que facilita la ejecucin de las labores que se tienen contratadas con sus
empleados. Por lo tanto, Cinemex queda facultada para retirar en el momento en que as
lo estime pertinente, la facilidad que se proporciona consistente en el uso del equipo de
cmputo, sin que por ello Cinemex deba cubrir a ninguno de sus empleados retribucin o
compensacin de ninguna especie y sin que por este motivo puedan atribuir a Cinemex el
incumplimiento de las condiciones de trabajo pactadas. Estas condiciones constan en sus
contratos individuales de trabajo que tienen celebrados con Cinemex, que es el nico
documento que establece deberes y obligaciones para los empleados y para Cinemex. El
equipo de cmputo es una facilidad voluntaria y revocable en cualquier momento, que
Cinemex est dispuesta a otorgar a sus empleados. Toda asignacin o entrega de
recursos informticos propiedad de Cinemex a sus empleados, deber realizarse a travs
del documento denominado Asignacin de Equipo de Cmputo. La Direccin de
Tecnologa de Informacin debe aprobar en todos los casos dicho documento. Toda
Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Pgina 9 de 27

Validez a partir de: Septiembre 2011

transferencia de recursos informticos debe realizarse enterando por escrito a la Direccin


de Tecnologa de Informacin.
6.3. Siniestros de equipo de cmputo
6.3..1. Alcance
Establecer la participacin y responsabilidad del usuario en caso de presentarse
algn siniestro con el equipo de cmputo asignado.
Esta poltica es de observancia de todo el personal de Cinemex.
6.3..2. Declaracin de la poltica
Es poltica de Cinemex salvaguardar y hacer uso correcto del equipo de cmputo,
impresoras, perifricos y cableado de red, por lo que debe considerar lo siguiente:
Todo equipo debe estar respaldado por una factura.
Todo equipo enviado para reparacin y/o reasignacin debe ser asegurado para
su traslado, y es responsabilidad del rea de Tecnologas de Informacin.
No debe disponerse de los accesorios o partes del equipo siniestrado hasta
obtener la inspeccin de parte de la aseguradora.
Los equipos de cmputo de Cinemex estn asegurados.
6.3..3. Siniestros cubiertos.
Incendio,
Impacto directo de rayo,
Explosin
Extincin de incendio
Prdida o daos materiales causados por robo con violencia
Corto circuito
Actos mal intencionados y dolo de terceros
Fenmenos naturales como: terremoto y erupcin volcnica, fenmenos meteorolgicos, helada y nieve
6.3..4. Siniestros excluidos.
Todo aquel ocasionado por negligencia del usuario, por ejemplo:
Huelgas y alborotos populares
Hurtos no originados por negligencia del usuario.
Dejar el equipo en el cuarto del hotel a la vista.
Documentar la computadora como equipaje.
Separarse del equipo cuando se encuentra dentro de una multitud.
Dejar el equipo a un lado o en el piso cuando est en mostradores o
recepciones de hoteles.
Colocar el equipo en compartimientos de aviones, camiones o trenes.
En aeropuerto dejar el equipo en la banda transportadora antes de su turno.
Distraerse fcilmente donde alguien puede tomar simplemente su equipo.

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Pgina 10 de 27

Validez a partir de: Septiembre 2011

Cuando se encuentran en alguna sala u oficina dejar el equipo sin el candado


de seguridad.
Dejar el equipo dentro de un cajn abierto sin ninguna proteccin.
Y cualquier situacin en la que el usuario se haya separado o descuidado el
equipo en cualquier medio de transporte.
Cadas para equipos mviles.
Todo siniestro NO cubierto por la compaa de seguros debe ser pagado por el
usuario que tena el equipo asignado; a costo de adquisicin actualizado.
El deducible es pagado por la empresa ya que slo el seguro responde a eventos
en los que el usuario no es responsable

6.3..5. Puntos a considerar al presentarse algn siniestro:


El usuario afectado debe reportar inmediatamente el siniestro (mximo24 horas
despus de haber sucedido el siniestro) al rea de Tecnologas de Informacin.
En dao parcial o total, el usuario debe entregar el equipo siniestrado al rea de
Tecnologas de Informacin.
Si el siniestro se present dentro de las instalaciones de Cinemex, el usuario en
coordinacin con la Gerencia de Recursos Humanos o Encargado Administrativo
deben elaborar una Acta Administrativa.
El usuario debe elaborar una Relacin detallada de los bienes siniestrados, la cual
debe entregar al al rea de Tecnologas de Informacin.
En caso de robo, el usuario debe levantar las Actas ante el Ministerio Pblico;
presentando copia de la factura del equipo robado. As mismo recabar las copias
certificadas de las actuaciones de las autoridades. En esta acta debe contener la
narracin de los hechos del origen del siniestro, modelo y nmero de serie del
equipo y la leyenda Este equipo es propiedad de Cadena Mexicana de Exhibicin
S.A. de C.V.
Cabe mencionar que el usuario no debe delegar esta actividad a terceras
personas, sin embargo puede solicitar asesora jurdica de Cinemex.
El usuario debe entregar las actas y copias certificadas correspondientes al rea
de Administracin de Riesgos, (Sergio Zuno y/o Benjamn Mendoza) para su
presentacin ante la aseguradora correspondiente y proceder con la reclamacin
de los bienes siniestrados.
6.3..6. Contactos
Para cualquier pregunta relacionada con esta poltica se puede contactar al
departamento de Tecnologas de Informacin con el Subdirector
andreis@cinemex.net .
6.3..7. Definiciones
Siniestro: Robo o dao total o parcial del equipo.
Tercero involucrado: Persona a la que ocurre el siniestro y no es encargada del
equipo.
Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Validez a partir de: Septiembre 2011

Pgina 11 de 27

6.3..8. Facultades y Responsabilidades


Los usuarios tienen la responsabilidad de salvaguardar la custodia del equipo de
cmputo asignado, as como, hacer buen uso del mismo.
El Departamento de Tecnologas de Informacin debe mantener actualizada la
Relacin del equipo asignado a usuarios.
6.3..9. Situaciones especiales
En caso de que a un tercero le ocurra el siniestro, no se debe celebrar ningn
convenio con ste sin previa autorizacin de la Aseguradora.
6.3..10. Referencia de Documentos
Solicitud de salida de equipo.Para Corporativo
Documento proporcionado por el rea de TI y autorizado por el rea
de Administracin para sacar equipo de cmputo de las instalaciones
de Cinemex.
Acta Administrativa.Contiene: nombre del usuario, nmero de empleado, fecha,
especificacin de que el equipo era de Cinemex y descripcin
detallada del siniestro y del equipo siniestrado.
Relacin detallada de los bienes siniestrados - Descripcin fsica de
los bienes robados o daados parcialmente o totalmente.
Carta de confirmacin.Solicita los servicios de la Aseguradora y detalla lo siguiente: origen
del dao, bienes afectados, importe estimado de las prdidas o daos
y cualquier otro dato que ayude a conocer las causas del dao.
Manual de reclamaciones.Documentacin necesaria para hacer un reclamo formal a la
Aseguradora, el cual es proporcionado por el Corredor de Seguros.
Reporte Tcnico.Especifica: Causas del dao (considerando la vida til del equipo) y
cotizacin de un equipo similar, o bien, presupuesto y tiempo de
reparacin (segn sea el caso).
La carta formal de declaracin contiene:
Carta de confirmacin.
Copia de la salida de equipo (para siniestros que ocurran fuera de la
oficina)
Copia de la relacin del equipo asignado a usuarios.
Copia de la Alta(o modificacin) al IMSS del usuario (proporcionado
por el Departamento de Recursos Humanos).
Copia de la credencial de identificacin interna del usuario.
Acta administrativa.
Acta ante el ministerio pblico y copia certificada.
Relacin detallada de los bienes siniestrados (proporcionada por el
usuario).
Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Validez a partir de: Septiembre 2011

Pgina 12 de 27

Certificado de averas (en caso de intervencin por algn inspector de


la aseguradora).
Copia de la factura del equipo siniestrado (proporcionada por el
Departamento de contabilidad).
Comprobante de reparacin o reposicin .
Copia de la carta de reclamacin al responsable del siniestro (en caso
de terceros involucrados).
Reporte tcnico.
6.4. Normas de seguridad de programas de cmputo (software) y de la informacin

No se debern instalar en las computadoras personales programas de cmputo que


carezcan de la respectiva licencia.

Los programas de cmputo no autorizados por la Direccin de TI pueden ocasionar


problemas y por ello no se deben instalar en las computadoras personales
asignadas.

El personal no puede permitir que otros copien programas de cmputo respecto de


los cuales Cinemex tenga licencia, incluyendo la documentacin respectiva, y
tampoco puede l mismo hacer copias que no sean las estipuladas en los contratos
de licencia correspondientes.

No se debe descargar o bajar ni almacenar material ofensivo o inapropiado en los


equipos de Cinemex, lo cual incluye servidores y computadoras personales.

El personal no puede tener acceso a informacin y datos contenidos en algn


sistema de cmputo o en computadoras sin la debida autoridad para ello, de igual
manera no puede hacer modificaciones al contenido de cualquier sistema de
cmputo de Cinemex, lo cual incluye la eliminacin o realizacin de cambios de la
informacin.

Los sistemas de cmputo de Cinemex debern utilizarse principalmente para


actividades relacionadas con los negocios de sta.

Todos los equipos, accesorios y recursos de TI asignados a los empleados de


Cinemex, incluyendo la informacin de Cinemex y sus clientes, deben ser
entregados a la Direccin de TI o a la persona que se designe, al trmino de su
contrato.

Todas las compras de software, hardware y servicios de tecnologa debern ser


autorizadas por el rea de Tecnologas de Informacin, para asegurar que se
cumpla con los estndares de Cinemex, que exista una uniformidad de equipos,
programas y servicios y, en su caso, lograr un beneficio en costos.

Los Servicios de TI se reservan el derecho de borrar informacin personal en discos


duros si en su opinin estn teniendo un impacto negativo en el desempeo de la
computadora personal.

Se ha establecido que la informacin personal que se puede almacenar en los


equipos de cmputo de Cinemex, no debe ocupar un espacio mayor a 3 GB y

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Validez a partir de: Septiembre 2011

Pgina 13 de 27

aunque esta informacin sea personal, su contenido debe cumplir con las polticas
de Cinemex.

Todo el hardware (equipo fsico) y software (programas) que utilizan los usuarios
son propiedad de Cinemex y como tal podr, en cualquier momento, sin aviso
previo, ser examinado por la administracin de Cinemex. Esto abarca el correo
electrnico, directorios personales de archivos y cualquier otra informacin que se
almacene o transmita a travs de computadoras o equipo de comunicaciones de
Cinemex.

Los sistemas de cmputo de Cinemex debern utilizarse principalmente para


actividades relacionadas con los negocios de sta.

Cinemex obliga al uso de productos de software estndar exclusivamente bajo


licencia, en propiedad o renta, debidamente documentados por Cinemex.

Los usuarios solamente instalarn y usarn software autorizado y bajo licencia en


el equipo que les sea facilitado. Asimismo, no debern permitir que otros copien
dicho software autorizado y no harn copias ms que las que contemplan los
contratos de licencias respectivos.

Los usuarios no debern participar o aprobar la piratera de software.

Queda terminantemente prohibido instalar ms programas de aqullos autorizados


por Cinemex (ver anexo de Programas Autorizados) y/o que no cuenten con la
licencia respectiva. En caso de que sea cargado un software o programa sin
previa autorizacin de Cinemex y que no cuente con la respectiva licencia del
titular de los derechos del programa, los usuarios podrn ser directamente
responsables en forma enunciativa ms no limitativa, de las sanciones legales
que por responsabilidad laboral, penal, y/o civil incurran, adems de los costos y
gastos en que pudiera incurrir Cinemex derivados de la defensa por el uso no
autorizado de dicho software o programa de cmputo.

Los usuarios se debern abstener de instalar cualquier programa y/o archivos que
contengan material vulgar, ofensivo o inapropiado, incluyendo los de carcter racial,
sexual o religioso y aquellos que se puedan usar para fines no ticos como son el
hackeo, crackeo, etc. en el equipo que les sea facilitado, ya que la instalacin de
estos ltimos ser sancionada con la rescisin del contrato de trabajo del
responsable del equipo.

A todos los programas (software) que se bajen de Internet se les deber tratar como
de dudosa procedencia. En caso de que se requieran programas adicionales a los
proporcionados de forma estndar por Cinemex, debern ser solicitados al rea de
Tecnologas de Informacin y no debern ser instalados hasta obtener dicha
autorizacin. Esto aplica para software licenciado, gratuito, de uso personal y/o para
uso de Cinemex.

En los casos particulares, donde el software, se trate de un aplicativo,


entendindose por ste trmino que se trata de un programa o conjunto de stos,
que maneja informacin relacionada con clientes, proveedores, empleados (ej.:
programas de contabilidad, nmina, administracin de contactos, etc.), incluyendo

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Pgina 14 de 27

Validez a partir de: Septiembre 2011

aquellos basados en WEB (software as a service), se debern considerar las


siguientes restricciones:
6.4..1. La bsqueda y seleccin del software aplicativo, debe realizarse habiendo
desarrollado previamente un documento con los requerimientos de negocio
(funcionales, operacionales y de seguridad) y obteniendo la aprobacin del
rea de Tecnologas de Informacin,
6.4..2. Al documento de requerimientos, debe acompaarsele un anlisis y viabilidad,
incluyendo la restriccin de servicios del software al mnimo necesario,
proceso de manejo de passwords, registro y de registro de usuarios, etc.
6.4..3. Para todo el software aplicativo, que se utilice en los equipos o a travs de los
medios de comunicacin de Cinemex, debe hacerse un anlisis del tipo de
informacin que se manejar, y, definir los niveles de acceso, controles de
respaldo y transmisin de informacin necesarios.
6.4..4. El fabricante o titular de los derechos de autor de software, debe permitir en su
contrato a Cinemex, la realizacin de pruebas de penetracin y/o revisin del
cdigo para fines de bsqueda de troyanos, software malicioso y
aseguramiento de la confidencialidad de la informacin.
6.4..5. El rea de Tecnologas de Informacin debe aprobar la instalacin y/o uso de
este tipo de software.

7. Poltica de Seguridad Fsica y Ambiental


7.1. Seguridad Fsica en Instalaciones

Escritorios
Al concluir la jornada laboral o en horario de comida, los usuarios debern
asegurarse de no dejar ningn papel o medios de informacin sobre el escritorio
que pongan en riesgo la confidencialidad y proteccin de la informacin.

Entrada y salida de equipos de cmputo y herramientas en general


El equipo de cmputo o herramientas en general, antes de entrar o salir de las
instalaciones de Cinemex, pudiendo ser enunciativas pero no limitativas, las
computadoras (PCs), monitores, impresoras, mdems y cualquier activo de
Tecnologa de Informacin, deber registrarse en las bitcoras de Recepcin
destinadas para dicho fin.
Los usuarios que requieran ingresar computadoras personales a las instalaciones
de Cinemex, debern solicitar formalmente el ingreso indicando el motivo de
ingreso y debiendo ser autorizado por la Direccin del Solicitante y con el Visto
Bueno del rea de Tecnologas de Informacin.
nicamente estn autorizados a ingresar o salir de las instalaciones de Cinemex sin
necesidad de registro en Bitcora, los equipos porttiles (laptops) designados o
autorizados por el rea de Tecnologas de Informacin.

Acceso al centro de cmputo en Corporativo y Lnea Cinemex

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Validez a partir de: Septiembre 2011

Pgina 15 de 27

Los centros de cmputo de Cinemex son reas restringidas, por lo cual los usuarios
y cualquier personal empleado, externo o visitante, no puede acceder solo, ni
permanecer en ellos, a menos que cuente con la autorizacin correspondiente. Y en
su caso acompaado de personal autorizado.

RACKs en Complejos
Se consideran cmo reas restringidas las zonas destinadas para los RACKs de
Cmputo en Complejos, por lo que nicamente personal Gerencial del Complejo, de
Sistemas o personal autorizado por la subdireccin de Tecnologa de Informacin
estn autorizados a acceder a ellos por motivo operativo, de mantenimiento y/o
soporte.

7.2. Seguridad de los equipos

Traslado de equipo de cmputo


No deben moverse o reubicarse computadoras (PCs), monitores, impresoras,
mdems, telecomunicaciones y/o cualquier otro activo de Tecnologa sin la
autorizacin del rea de Tecnologas de Informacin.

Controles generales en equipo de cmputo


Todos los usuarios deben apagar su computadora al trmino de su jornada laboral
(computadora PC y Monitor), salvo que por cuestiones de operacin se requiera
dejar encendido.

7.3. Manejo de Impresoras o Impresiones


7.1. El personal nunca deber dejar las impresoras desatendidas mientras est
imprimiendo informacin confidencial y/o con datos personales.
7.2. El personal nicamente tiene permitido imprimir informacin relacionada con su
actividad dentro de la empresa. Est prohibido el uso de las impresoras para imprimir
cosas personales.
7.3. El personal es responsable de mantener la confidencialidad de la informacin que
haya impreso. Las impresiones confidenciales debern destruirse cuando estas ya
no sean necesarias.
7.4. El personal se compromete a hacer buen uso del papel, consumibles y en general de
cualquier equipo de impresin, as como no imprimir ms de lo estrictamente
necesario.
7.5. Se debe tener especial cuidado en no enviar hojas para reciclar que contengan
informacin confidencial y/o datos personales; estas se deben destruir de forma
segura (triturar).
7.6. Si se presentara alguna falla con la impresora el personal debe reportarla
inmediatamente al departamento de Tecnologas de Informacin o al rea de
Administracin.
7.7. Si la impresora se queda sin tner y/o suministro de papel, se deber notificar
inmediatamente al rea de administracin para su abastecimiento.

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Pgina 16 de 27

Validez a partir de: Septiembre 2011

7.8. Algunos equipos de impresin con los que contamos tienen la opcin de imprimir las
hojas a doble cara, todos los usuarios debern considerar esta opcin si la
presentacin de su trabajo se los permite.

8. Polticas de Seguridad de Soporte y Operaciones de Cmputo


8.1. Procedimientos de Operacin y Segregacin de Funciones

Separacin de actividades y datos de Usuario a Usuario


Los usuarios de Cinemex, no deben tener acceso a equipos de cmputo de otros
usuarios salvo que se cuente con la autorizacin del dueo del equipo o de la
informacin y sean utilizados los mecanismos de autenticacin provistos para tal
efecto, ingresando con su usuario y contrasea personalizados.

Solicitud de Acceso a Informacin


Para solicitar acceso a Informacin especfica no definida previamente en el perfil
de acceso o alta de personal (carpetas y/o archivos en equipos, bases de datos,
etc.), ser necesario obtener el visto bueno del Director de rea y ste a su vez,
solicitar el acceso formalmente al Dueo de Informacin a travs del rea de
Tecnologas de Informacin

8.2. Deteccin y respuesta a fallas e incidentes de seguridad de la tecnologa de la


informacin

Reporte de incidentes de Seguridad de Tecnologa de Informacin


Toda sospecha de la existencia de un incidente de seguridad debe ser reportada al
responsable de la Funcin de Seguridad al correo seguridad@cinemex.net y en
caso de que se amerite, se dar aviso al rea de Auditoria Interna
auditoria@cinemex.net para su investigacin y seguimiento.

Instalacin de programas en computadoras conectadas a la red


Los usuarios no deben instalar ningn programa (software) en sus computadoras,
estaciones de trabajo, servidores, o cualquier equipo de Cinemex conectado o no a
la red, que no est autorizado por la Subdireccin de Tecnologas de Informacin y
avalado por la Funcin de Seguridad de la Informacin.

9. Internet
9.1. Autorizacin para el acceso a Internet
El acceso a internet est restringido, es monitoreado y est destinado
exclusivamente para actividades de trabajo.
El Director del rea solicitante, es responsable de autorizar en el Formato de Alta o
Cambio de usuario, quin puede tener acceso a Internet.
9.2. Mensajera Instantnea
La utilizacin de aplicaciones de mensajera instantnea, por ejemplo MSN
Messenger estn prohibidas y solo se permite su uso al personal que por la
naturaleza de sus funciones justifique su uso, esto previa autorizacin escrita de la
direccin de su rea.
9.3. Descarga de informacin o archivos desde Internet
Para evitar afectaciones en redes y sistemas, problemas con virus, as como el uso
de software ilegal, se prohbe terminantemente descargar e instalar de cualquier tipo
Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Validez a partir de: Septiembre 2011

Pgina 17 de 27

de software. En caso de requerir algn software adicional al instalado, este deber


ser solicitado al departamento de tecnologas de Informacin.

10.

Seguridad en Correo Electrnico

10.1.

Uso de correo electrnico asignado a otras personas


Queda prohibido el uso de las cuentas de correo electrnico de otras personas para
la recepcin o envo de mensajes.

10.2.

Propiedad de los mensajes de correo electrnico


Todos los mensajes de correo electrnico almacenados en equipos de Cinemex
son propiedad de Cinemex.
Cinemex se reserva el derecho a acceder y revelar todos los mensajes enviados
por este medio para cualquier propsito que considere la empresa y revisar las
comunicaciones va correo electrnico de los empleados que han comprometido la
seguridad, violado polticas de la compaa y/o tomado acciones no autorizadas,
con la autorizacin de la Direccin General o la Direccin de Finanzas.

10.3.

Autorizacin para transmisiones de correo


Queda prohibido el uso del correo electrnico de Cinemex para la transmisin de
programas, cadenas, pornografa, chistes, correos de temas polticos, religiosos y
que contengan mensajes ofensivos.

10.4.

Seguridad en correo electrnico


Los usuarios no deben abrir archivos ni programas adjuntos de personas
desconocidas, ya que de hacerlo se corre el riesgo de que tenga un virus
informtico.
Los usuarios deben desconfiar de correos de personas desconocidas, cuyo asunto
incluya smbolos como $, %, &, etctera, o estn escritos en un idioma que no
conocen.
Los usuarios debern depurar peridicamente su buzn de correo.

11.

Respaldos

11.1.

Resguardo de informacin
Todos los empleados deben asegurarse de resguardar la informacin de la empresa
en los los Servidores designados por el rea de Tecnologas de Informacin.
En el Caso de Corporativo: Users (U://)
En el Caso de Complejos: Users (G://)

11.2.
Responsabilidades
Es responsabilidad del rea de Tecnologas de Informacin cumplir las Polticas y
Procedimientos de Respaldo vigente para asegurar la proteccin y disponibilidad de la
informacin.
11.3.
Restauracin de informacin
El rea de Tecnologas de Informacin podr apoyar en la restauracin de informacin,
slo en el caso de que haya estado resguardada en estas rutas y con su reporte
levantado a la Mesa de Ayuda (mesadeayuda@cinemex.net)

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

12.

PO-TI-STI-01-1

Validez a partir de: Septiembre 2011

Pgina 18 de 27

Poltica de Control de Acceso

12.1.
Gestin de Usuarios
Para la administracin de altas y bajas de usuarios refirase al documento de gestin de
Usuarios.

12.2.

Normas de control de acceso

Alta de Usuario y acceso (s) a Sistemas


Los empleados que requieran acceso a Sistemas y/o aplicaciones de Cinemex,
debern acudir a su Jefe inmediato o Director de rea para solicitar el acceso con el
Procedimiento de Alta de Usuario y obtener el visto bueno del Dueo de la
Aplicacin.
Es responsabilidad del Jefe inmediato y Director de rea solicitante el indicar el
perfil y los accesos o recursos que se estarn requiriendo.

Divulgacin de controles de acceso a terceras partes


Los empleados no deben proporcionar informacin sobre los mecanismos de control
de acceso a las instalaciones e infraestructura tecnolgica de Cinemex a personal
externo, a menos que se tenga la autorizacin por el rea de Tecnologas de
Informacin.

Usuarios Genricos
El uso de usuarios genricos ser restringido a casos especficos y debern estar
formalmente identificados y justificados; debern estar autorizados por la
Subdireccin de Tecnologas de Informacin y la Gerencia de Seguridad Informtica
habiendo establecido los controles compensatorios que mitiguen el riesgo
(monitoreo).

Responsabilidad por el uso del nombre de usuario


Los empleados y personal externo son responsables de todas las actividades
realizadas con su nombre de usuario asignado. No deben permitir que otros utilicen
su nombre de usuario.

Proteccin para los equipos de cmputo


Para Corporativo
Los usuarios deben bloquear su equipo de cmputo en cuanto se alejen de su lugar
de trabajo.
Las estaciones de trabajo del Corporativo, cuentan con un mecanismo de control de
acceso que bloquea su uso despus de 5 minutos de inactividad.

12.3.

Baja de Usuario y acceso (s) a Sistemas


Es responsabilidad de la Direccin de Recursos Humanos el notificar las Bajas de
los empleados al rea de Tecnologas de Informacin, identificando junto con el
Director del rea involucrada (empleado a dar de baja) los respaldos requeridos y
formalizar la entrega y/o devolucin del equipo asignado. Para el detalle de Gestin
de Bajas, refirase al documento de Gestin de Usuarios.
Responsabilidades de usuarios

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Pgina 19 de 27

Validez a partir de: Septiembre 2011

Dispositivos de Autenticacin
Los usuarios que posean un dispositivo de autenticacin o SecurID (token) deben
guardarlo en un lugar seguro. La prdida de dicho dispositivo se debe reportar de
inmediato al rea de Tecnologas de Informacin.

Manejo de Contraseas
12.3..1. Sin importar las circunstancias, las contraseas nunca se deben compartir o
revelar. Hacer esto responsabiliza al empleado que prest su contrasea de
todas las acciones que se realicen con la misma.
12.3..2. Nunca debern tenerse por escrito (en casos excepcionales que sea
necesario llevar un registro de contraseas, se deber mantener bajo llave,
con acceso muy restringido).
12.3..3. Cuando el empleado teclee su contrasea deber asegurarse de no ser
observado.
12.3..4. Nunca debern estar grabadas en textos de entrada u otros procedimientos
automatizados

Caractersticas de construccin y vigencia de la contrasea


Para Corporativo en Estaciones de Trabajo (Equipos de Escritorio, Laptops)
Las contraseas deben conformarse cubriendo las siguientes reglas:
No contener todo o una parte del nombre de usuario
Contener forzosamente los caracteres de al menos 3 de los siguientes 4 grupos
de caracteres:
o Maysculas (A-Z)
o Minsculas (a-z)
o Dgitos base (0-9)
o Caracteres especiales como ($, &, !, por ejemplo) u otros smbolos
especiales
Adems se cuenta con los siguientes controles de seguridad:

Las contraseas debern cambiarse cada 90 das como mximo.


El sistema recordar las 6 ltimas contraseas que no se podrn reutilizar.
La longitud mnima de las contraseas es de 6 posiciones.

En caso de requerir apoyo el usuario deber comunicarse a Mesa de Ayuda


Cinemex o enviando un correo a mesadeayudacinemex@cinemex.net solicitando el
apoyo.
Para cuentas de administrador
La complejidad y/o manejo de histricos ser nicamente conocido y administrado
por la Subdireccin de TI, la Gerencia de Operacin de TI y la Gerencia de
Seguridad Informtica.
El cambio de contraseas para usuarios de servicio y administradores, tendr una
caducidad de 365 das y el cambio ser monitoreado por la Gerencia de Seguridad
Informtica.

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

13.

PO-TI-STI-01-1

Pgina 20 de 27

Validez a partir de: Septiembre 2011

Cambio de contrasea por cuestiones de seguridad


Todo empleado que tenga la sospecha de que su contrasea es conocida por otra
persona, deber cambiarla inmediatamente.

Acceso no autorizado
Esta prohibido que los empleados y personal externo utilicen la infraestructura
tecnolgica de Cinemex para obtener acceso no autorizado a la informacin u otros
sistemas de informacin de la empresa.

Revocacin de privilegios de acceso


Cinemex se reserva el derecho de revocar los privilegios de acceso a cualquier
usuario en cualquier momento con la autorizacin de la Direccin General o la
Direccin de Finanzas.

Uso de USBs

13.1.

Definicin
USB (Universal Serial Bus)
Son aditamentos difciles de daar que uno puede llevar en el bolsillo y cargar toda la
informacin necesaria dada su capacidad de almacenamiento. Lo nico que se
requiere para poder acceder a la informacin que se encuentra en una memoria USB
es que la PC o laptop cuente con entrada USB, misma que se encuentra integrada en
la mayora de los equipos nuevos.

Algunos de los riesgos que se corren con el uso de estos dispositivos son:

La mayora de los usuarios no utilizan contraseas de acceso a estos dispositivos


Es un dispositivo tan pequeo que corre el riesgo de perderse o est expuesto al
robo.
En caso de prdida o robo, la cantidad de informacin que contiene, podra exponer
seriamente a Cinemex a la extorsin, fraude digital o dao a su reputacin.
Se puede introducir a Cinemex, cualquier tipo de virus ya que se desconoce el origen
de la informacin.
Quien posee un dispositivo USB puede hacer mal uso de la informacin que
almacena.

13.2.
Objetivo general.
Reglamentar el uso de dispositivos USBs.
Disminuir los riesgos por el uso de dispositivos USB.
13.3.
Objetivos especficos
Guiar la compra de dispositivos USB
Requerir el uso de una particin privada en el dispositivo.
13.4.

Responsabilidades
El rea de Tecnologas de Informacin tiene la facultad del bloqueo de los
dispositivos con el fin de salvaguardar la Informacin.

Dispositivos de memoria USB


Gua para el personal que desee adquirir dispositivos de memoria USB en lugar de
diskettes o CDs.

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Validez a partir de: Septiembre 2011

Pgina 21 de 27

Excepciones y preguntas
Observando estos lineamientos podemos administrar en mejor forma los riesgos
asociados con el uso de estos dispositivos, sin embargo, estos lineamientos dejan
abierta la posibilidad de tener excepciones, basadas en circunstancias especficas.
En caso de una posible excepcin, la peticin a Mesa de Ayuda Cinemex (MAC)
deber turnarse al Director de TI para su aprobacin.

Aclaraciones adicionales
Si el personal requiere una aclaracin adicional a cualquiera de los puntos de la
poltica, podr dirigir sus preguntas al rea de Tecnologas de Informacin.

Compra de memorias USB


Al personal se le permite comprar dispositivos de memoria USB, sin embargo,
cuando los compren, debern considerar los criterios obligatorios identificados por el
rea de TI.
Los criterios incluyen lo siguiente:
Hardware.- El dispositivo deber contar con una extensin de cable para permitir el
acceso fcil a los puertos posteriores.
Seguridad del software:
1. Capacidad de crear una particin pblica y otra privada en el dispositivo de
memoria USB.
2. Proteccin opcional a travs del uso de contraseas para accesar a la particin
privada en el dispositivo de memoria USB.
3. Capacidad de revisar, cambiar y limpiar contraseas.
4. Capacidad de cambiar el nombre del dispositivo y el formateo de las particiones.
5. Capacidad de copiar archivos del sistema al dispositivo, para propsitos de su
iniciacin.
Existe gran variedad de dispositivos de memoria USB disponibles en el mercado,
con diferentes funcionalidades. El rea de TI recomienda el modelo marca Kingston
Data Traveler Elite, que satisface los criterios sealados anteriormente y que se
encuentra en capacidades de 256 Mb a 2 Gb., siendo el nmero de parte
KUSBDTE/xxx (xxx=capacidad).

Utilizando la particin privada.


Se recomienda el uso de una particin privada en el dispositivo de memoria USB
para ocupar la mayora del espacio total de la misma. Por ejemplo: un dispositivo de
256 Mb deber tener 250 Mb en la particin privada, dejando bastante espacio en la
particin pblica para los dispositivos de seguridad del software y el manual del
dispositivo nicamente.
La particin pblica no deber utilizarse para transportar cualquier informacin de
Cinemex.
Una vez que el dispositivo se haya insertado en la mquina destino, las
herramientas de seguridad del software podrn instalarse, la particin privada podr
desbloquearse y accesar a la informacin.
En general, el copiado de la informacin de Cinemex, dentro de un dispositivo de
memoria USB, deber hacerse y regularse en lnea con la poltica definida en este
documento.

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

14.

PO-TI-STI-01-1

Validez a partir de: Septiembre 2011

Pgina 22 de 27

Uso de PDAs (Personal Digital Assistant).

14.1.
Definicin.
PDA (Personal Digital Assistant)
Es un dispositivo pequeo que es usado para almacenar informacin como nmeros
telefnicos, direcciones, calendario, citas, tareas, notas, documentos (Excel, Word, Power
Point), correo, etc.
Una PDA puede ser una agenda electrnica, un celular, o un dispositivo que combine
ambas funciones.
El uso inadecuado de las PDAs representa un riesgo latente para la Seguridad
Informtica de la empresa. Algunos de los riesgos a los que nos enfrentamos son:
La mayora de los usuarios no utilizan contrasea de acceso en estos dispositivos.
Manejo de informacin confidencial personal, de la empresa y de clientes.
Riesgo de propagacin de virus al copiar informacin de las PDAs a los equipos de
Cinemex.
Negacin de servicios en redes inalmbricas.
14.2.

Objetivos especficos.
Restringir el tipo de software instalado en los equipos para el uso de PDAs, as como
el tipo de informacin almacenado en stas.
Uso de contrasea de acceso.
Sugerir medidas de seguridad en el manejo de PDAs para disminuir los riesgos que
el uso de stas implica.

14.3.
Configuracin.
Las PDAs deben ser configuradas para que el acceso sea restringido por una
contrasea que cumpla con las reglas establecidas en la Poltica de Seguridad
Informtica. Adems se sugiere que esta contrasea se active despus de 5 minutos de
inactividad del dispositivo.
14.4.
Almacenamiento de informacin.
Queda prohibido guardar la siguiente informacin en las agendas electrnicas:
Informacin de clientes diferente a direcciones y telfonos,
Contraseas de acceso a la red y sistemas de la compaa.
Mensajes de correo electrnico que contengan informacin confidencial o sensitiva.
14.5.
Software permitido.
Actualmente el mercado de PDAs est dominado principalmente por dos sistemas
operativos, Windows CE y PalmOS, por lo que est permitido instalar en los equipos de
Cinemex los programas Microsoft ActiveSync, Palm Desktop and Synchronization
Software, Acrobat Reader for Palm OS y Documents to Go. Cabe mencionar que se
debern consultar las versione autorizadas en la lista publicada en KWorld o con el rea
de TI. Estos programas son utilizados para sincronizar las PDAs con los equipos de
cmputo. Si existiera un software adicional a estos que tenga la misma funcin, ser
necesario solicitar la autorizacin correspondiente de la Direccin de TI para su
instalacin.
Aunque el software este previamente autorizado se deber llenar el formato de solicitud
de instalacin.
14.6.

Software prohibido.

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Validez a partir de: Septiembre 2011

Pgina 23 de 27

Est estrictamente prohibida la instalacin, de cualquier software que no se mencione en


el punto anterior.
Tampoco se permite la utilizacin de software instalado en las PDAs que pueda interferir
con el Global Desktop u otros programas autorizados para la operacin normal de la
funcin que desarrolle el usuario. Adicionalmente est prohibido el uso de software
instalado en las PDAs que pueda interferir, accesar y/o modificar informacin o servicios
informticos de Cinemex como por ejemplo: correo electrnico, informacin almacenada
en equipos, configuracin de equipos y/o dispositivos, acceso a la red, etc.
14.7.
Antivirus.
Se recomienda el uso de un antivirus para PDAs para prevenir la prdida de datos.
Adems cualquier informacin que se copie de la agenda al equipo de la empresa, debe
ser verificada anticipadamente.
14.8.
Seguridad de Hardware.
Se recomienda resguardar adecuadamente las PDAs, para evitar el riesgo de robo. Si
sta se encuentra ligada al sistema de correo electrnico a travs de un sistema
inalmbrico tal como Blackberry, informar inmediatamente en caso de extravo del
dispositivo al rea de TI para que se realice un borrado remoto del dispositivo.

15.

Integridad de la informacin / Controles de seguridad


Todo usuario es responsable del contenido de informacin que ingresa o transmite en los
activos o recursos tecnolgicos que le fueron designados ya sea dentro o fuera de las
instalaciones.
Toda la informacin contenida en el Disco Duro de las computadoras es responsabilidad
del usuario al que le fue asignado el activo de informacin.
El rea de Tecnologas de Informacin no tiene la obligacin de ayudar a copiar o
respaldar informacin que no tenga que ver con la empresa como: msica, videos, fotos,
etc.

16.

Proteccin de Datos Personales


A fin de dar cumplimiento de la Ley Federal de Proteccin de Datos Personales en
Posesin de los Particulares (LFPDPPP) se establecen medidas de proteccin adecuadas
y apropiadas que salvaguardan los Datos Personales en trminos de lo dispuesto a la
Ley. Por lo tanto se tienen los siguientes puntos para considerarse como polticas de
seguridad:

16.1.
Definicin
de
datos
personales,
patrimoniales y sensibles para comunicrselos a los empleados y sean tomados
en cuenta para el tratamiento de los mismos.
16.2.
Definir la manera correcta de recopilar
datos personales.
Al momento de recopilar datos personales debern proveer un aviso, esto significa que
las personas involucradas tienen derecho a decidir si estn de acuerdo con el uso de
sus datos personales para el propsito buscado. Los datos personales slo deben ser
recopilados cuando sea necesario. Un propsito legtimo es cualquier asunto
relacionado con el negocio de Cinemex. El tener datos personales innecesarios
representa un riesgo adems de ser ineficiente.
Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Pgina 24 de 27

Validez a partir de: Septiembre 2011

Para compartir datos personales dentro de Cinemex y con terceros. Para ello ser
importante tomar en consideracin los siguientes puntos:

Transferencia de Datos Personales


16.2..1.
Cerciorarnos de que los
receptores conozcan los trminos y limitaciones del uso de la informacin
proporcionada.
16.2..2.
Compartir
los
datos
personales de una forma segura de acuerdo con las polticas de Cinemex.
16.2..3.
No compartir estos datos
para un fin secundario.
16.2..4.
En el caso de compartir
datos con terceros se deben considerar:
16.2..4.1.1.
Exista
un
convenio escrito adecuado que prevenga que terceros usen los
datos de forma incorrecta.
16.2..4.1.2.
El tercero est
obligado a tomar medidas adecuadas para proteger los datos
personales a un nivel similar provistos que Cinemex.

Actividades y recomendaciones para proteger informacin personal en las


instalaciones de Cinemex:
16.2..5. No dejar datos personales ni otra informacin confidencial desprotegida sobre
los escritorios, ya sea en papel o en dispositivos electrnicos.
16.2..6. Activar el protector de pantalla de los equipos de cmputo cada vez que se
dejen desatendidos.
16.2..7. Guardar bajo llave las computadoras porttiles una vez que fueron
terminadas de utilizar.
16.2..8. No discutir informacin de datos personales de Cinemex con individuos no
autorizados o en lugares pblicos.
16.2..9. Si se piensa transportar una computadora porttil en un automvil, siempre
guardarla en la cajuela, nunca a la vista.

Medidas de proteccin que debern seguir los empleados de Cinemex:


16.2..10. Slo utilizar canales de comunicacin electrnica aprobados por Cinemex.
16.2..11. Nunca usar cuentas de correo electrnico, mensajes instantneos o
mensajes de texto de carcter personal para asuntos relacionados con
clientes de Cinemex.
16.2..12. Memorizar contraseas, no anotarlas o guardarlas junto con los
dispositivos electrnicos.
16.2..13. El uso de cualquier otro sistema slo debe ser de acuerdo a las polticas
de Cinemex.
16.2..14. Hojas reciclables, en caso de que contengan datos personales no se
podrn utilizar para reciclaje. (Poltica de Impresiones en este mismo
documento)

17.

Poltica de Cumplimiento

17.2.

Cumplimiento de requerimientos legales

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Pgina 25 de 27

Validez a partir de: Septiembre 2011

Prohibido copiar o reproducir software


Est prohibido realizar copias no autorizadas de software, ya sea adquirido o
desarrollado por Cinemex.

Uso de software autorizado


Se cuenta con una relacin del software autorizado a nivel organizacional. Todo
programa o software en general que est fuera de sta relacin, para poder
instalarlo y utilizarlo deber contar con la autorizacin de uso del Director
responsable del rea usuaria y el rea de Tecnologas de Informacin.

Instalacin de software
Todo software debe ser instalado por personal designado del rea de Tecnologas
de Informacin.

Monitoreo de uso de software autorizado


La Gerencia de Operacin de TI cuenta con mecanismos para el control y
monitoreo del Software autorizado y tiene la facultad para eliminar el software no
autorizado.

Monitoreo de uso de informacin y recursos


El usuario de la informacin tiene definido un perfil de acceso a aplicaciones, un
alcance de informacin y recursos de cmputo a utilizar, por lo que Cinemex se
reserva el derecho de auditar y/o monitorear qu tipo de recursos o informacin
estn utilizando, sin necesidad de previo aviso, bastando nicamente para tales
efectos, la autorizacin de la Direccin General o la Direccin de Finanzas o
Control Interno.

17.3.

Revisiones de seguridad y cumplimientos tcnicos


Cumplimiento con las polticas de seguridad
Los responsables de las reas usuarias deben apoyar y asegurarse de que todas
las polticas, procedimientos y estndares de seguridad informtica se lleven a cabo
correctamente.
Es responsabilidad de la Gerencia de Seguridad Informtica realizar revisiones
peridicas para asegurarse del cumplimiento de las polticas, procedimientos y
estndares de Seguridad.
Los propietarios de la informacin deben apoyar las revisiones del cumplimiento de
los sistemas proporcionando la informacin que se les solicite con las polticas y
estndares de seguridad apropiadas y cualquier otro requerimiento de seguridad.

Uso de recursos para fines personales


Queda estrictamente prohibido el uso de cualquier informacin y recursos propiedad
de Cinemex para propsitos personales o cualquier otro uso no relacionado con las
actividades de trabajo que han sido asignadas como parte de las funciones de cada
empleado.

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Validez a partir de: Septiembre 2011

Pgina 26 de 27

GLOSARIO DE TRMINOS
Externos
Llmese a consultores, proveedores o personal no contratado por Servicios Cinematogrficos
Especializados S.A. de C.V o Serviuno S.A. de C.V.
CINEMEX
Dentro del documento de Polticas de Seguridad Informtica todo lo relacionado con CINEMEX,
estar ligado a Servicios Cinematogrficos Especializados S.A. de C.V., Serviuno S.A. de C.V.
y/o de alguna Sociedad relacionada con sta.
Lista de Distribucin.
Toda la Empresa
Anexos

1. Lista de Aplicaciones identificando al Dueo de Sistema


2. Gestin de Usuarios
3. Lista de Programas Autorizados (Responsable Tecnologas de Informacin)
4. Confirmacin de Polticas y Procedimientos de Seguridad Informtica

Elabor Cinemex:
Seguridad Informtica

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX

Polticas de Seguridad Informtica


Clave del Documento.

rea Emisora:
Tecnologas de Informacin
Versin: 5.0

PO-TI-STI-01-1

Pgina 27 de 27

Validez a partir de: Septiembre 2011

---------------------------------------Fecha __________________
Yo
________________________________________________________________________
________

Firmo de conocer y emplear las Polticas y Procedimientos de Seguridad Informtica difundidas


por correo electrnico y/o publicadas en la intranet y acepto la responsabilidad para su estudio y
apego a ellas, de consultar con mi jefe inmediato superior si tengo alguna duda para ponerlas en
prctica, as como de notificarle cualquier falta o anomala que detecte, o de dirigirme al telfono
del Corporativo 5201 5899, o al email mesadeayuda@cinemex.net, para el reporte de
incidentes.
Estoy enterado que Cinemex tiene la facultad de revisar los archivos de trabajo en cualquier
formato, los correos electrnicos y/o dispositivos que utilice para el desempeo de las funciones y
tareas de mi responsabilidad.
Nombre y Firma

Elabor Cinemex:
Seguridad Informtica

Nombre y Firma del Jefe Inmediato

Revis Cinemex:
Tecnologas de Informacin y
Control Interno

Aprob Cinemex:
Comit de Polticas y
Procedimientos

ESTA INFORMACIN ES CONFIDENCIAL Y PARA USO EXCLUSIVO DE CINEMEX