PODER JUDICIAL DEL

ESTADO DE SINALOA

PLAN DE ACCIONES INSTITUCIONALES 2012

MANUAL DE POLTICAS Y
ESTNDARES DE SEGURIDAD
INFORMTICA PARA USUARIOS

DIRECCIN DE TECNOLOGAS DE LA INFORMACIN Y

COMUNICACIONES

www.stj-sin.gob.mx
 CONTENID
O

Propsito............................................................................................
......................................... 1
Introduccin.......................................................................................
........................................ 1
Objetivo .............................................................................................
.......................................... 1

Alcance ..............................................................................................
.......................................... 2
Justificacin........................................................................................
........................................ 2
Sanciones por incumplimiento
.......................................................................................... 2

Beneficios...........................................................................................
......................................... 2

1.-POLTICAS Y ESTNDARES DE SEGURIDAD DEL PERSONAL

Poltica ...............................................................................................
.......................................... 2
1.1. Obligaciones de los usuarios
................................................................................................. 2
1.2. Acuerdos de uso y confidencialidad
................................................................................... 2

1.3. Entrenamiento en seguridad informtica

.......................................................................... 3
1.4. Medidas
disciplinarias.................................................................................................
.............. 3

2.-POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL

Poltica ...............................................................................................
.......................................... 3
2.1. Resguardo y proteccin de la
informacin....................................................................... 3

2.2. Controles de acceso

fsico....................................................................................................... 4
2.3. Seguridad en reas de trabajo
.............................................................................................. 4
2.4. Proteccin y ubicacin de los equipos
............................................................................... 4

2.5. Mantenimiento de equipo

...................................................................................................... 5
2.6. Prdida o transferencia de
equipo....................................................................................... 6

2.7. Uso de dispositivos especiales

.............................................................................................. 6
2.8. Dao del equipo
.....................................................................................................................
.... 7

3.-POLTICAS Y ESTNDARES DE SEGURIDAD Y

ADMINISTRACIN DE OPERACIONES DE CMPUTO

Poltica ..................................................................................................
....................................... 7
3.1. Uso de medios de almacenamiento
.................................................................................... 7
3.2. Instalacin de Software
............................................................................................................ 8

3.3. Identificacin del

incidente.....................................................................................................
9
3.4. Administracin de la
configuracin..................................................................................... 9
3.5. Seguridad de la red
...................................................................................................................
9

3.6. Uso del correo

electrnico....................................................................................................
10
3.7. Controles contra cdigo malicioso
.................................................................................... 11
3.8. Permisos de uso de Internet
................................................................................................ 12

4.-POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICO

Poltica ..................................................................................................
..................................... 14
4.1. Controles de acceso
lgico................................................................................................... 14

4.2. Administracin de privilegios

.............................................................................................. 15
4.3. Equipo desatendido
................................................................................................................ 16
4.4. Administracin y uso de contraseas
............................................................................... 16

4.5. Control de accesos

remotos................................................................................................. 17
5.-POLTICAS Y ESTNDARES DE CUMPLIMIENTO DE SEGURIDAD
INFORMTICA

Poltica ...................................................................................................
.................................... 17
5.1. Derechos de propiedad
intelectual.................................................................................... 18
5.2. Revisiones del cumplimiento
............................................................................................... 18

5.3. Violaciones de Seguridad Informtica

.............................................................................. 18
GLOSARIO DE TRMINOS
............................................................................................................. 19
Propsito El presente documento tiene como finalidad dar a
conocer las
polticas y estndares de Seguridad Informtica que debern
observar los usuarios de servicios de tecnologas de
informacin, para proteger adecuadamente los activos
tecnolgicos y la informacin del Poder Judicial del Estado
de Sinaloa.

Introduccin La base para que cualquier organizacin pueda operar de

una forma
confiable en materia de Seguridad Informtica comienza con
la definicin de polticas y estndares adecuados.

La Seguridad Informtica es una funcin en la que se deben

evaluar y administrar los riesgos, basndose en polticas y
estndares que cubran las necesidades del Poder Judicial del
Estado de Sinaloa en materia de seguridad.

Este documento se encuentra estructurado en cinco

polticas generales de seguridad para usuarios de
informtica, con sus respectivos estndares que consideran
los siguiente puntos:

Seguridad de Personal
Seguridad Fsica y Ambiental
Administracin de Operaciones de Cmputo
Controles de Acceso Lgico
Cumplimiento

Estas Polticas en seguridad informtica se encuentran

alineadas con el Estndar Britnico ISO/IEC: 27002.

Objetivo Establecer y difundir las Polticas y Estndares

de Seguridad Informtica a todo el personal del Poder
Judicial, para que sea de su conocimiento y cumplimiento
en los recursos informticos asignados.

Pgina 1
Alcance El documento define las Polticas y Estndares de
Seguridad que
debern observar de manera obligatoria todos los usuarios
para el buen uso del equipo de cmputo, aplicaciones
y servicios informticos del Poder Judicial del Estado de
Sinaloa.

Justificacin La Direccin de Tecnologas de la Informacin y

Comunicaciones del Supremo Tribunal de Justicia del
Estado de Sinaloa est facultada para definir Polticas y
Estndares en materia informtica.
Sanciones El incumplimiento al presente Manual podr presumirse
por como causa de responsabilidad administrativa y/o penal,
Incumplimien
to dependiendo de su naturaleza y gravedad, cuya sancin ser
aplicada por las autoridades competentes.

Beneficios Las Polticas y Estndares de Seguridad Informtica

establecidos
dentro de este documento son la base para la proteccin de
los activos tecnolgicos e informacin del Poder Judicial del
Estado de Sinaloa.

1. POLTICAS Y ESTNDARES DE SEGURIDAD DEL PERSONAL

Poltica Todo usuario de bienes y servicios informticos se

comprometen a conducirse bajo los principios de
confidencialidad de la informacin y de uso adecuado de
los recursos informticos del Poder Judicial del Estado de
Sinaloa, as como el estricto apego al Manual de Polticas y
Estndares de Seguridad Informtica para usuarios.
1.1.Obligacion Es responsabilidad de los usuarios de bienes y
es servicios
De los informticos cumplir las Polticas y Estndares de
Usuarios Seguridad
Informtica para Usuarios del presente manual.
1.2 Acuerdos Todos los usuarios de bienes y servicios informticos del
de Supremo
uso y Tribunal de Justicia debern conducirse conforme a los
confidencialid principios de confidencialidad y uso adecuado de los
ad recursos informticos y de informacin del Poder Judicial
del Estado de Sinaloa, as como comprometerse a cumplir
con lo
establecido
en el
Manual de
 Polticas y Estndares de Seguridad Informtica para
Usuarios.
1.3. Todo empleado del Supremo Tribunal de Justicia de nuevo
Entrenamien ingreso
to en deber:
Seguridad
Informtica Leer el Manual de Polticas y Estndares de
Seguridad Informtica para Usuarios del Poder
Judicial del Estado de Sinaloa, el cual se encuentra
disponible en el portal de internet del Supremo
Tribunal de Justicia del Estado de Sinaloa, donde se
dan a conocer las obligaciones para los usuarios y las
sanciones que pueden aplicar en caso de
incumplimiento.

1.4. 1.4.1. Cuando la Direccin identifique el incumplimiento al

Medidas presente
disciplinari Manual remitir el reporte o denuncia correspondiente al
as rgano Interno de Control del Supremo Tribunal de
Justicia, para los efectos de su competencia y
atribuciones.

2.-POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL

Poltica Los mecanismos de control y acceso fsico para el

personal y terceros deben permitir el acceso a las
instalaciones y reas restringidas del Poder Judicial del
Estado de Sinaloa, slo a personas autorizadas para la
salvaguarda de los equipos de cmputo y de
comunicaciones, as como las instalaciones y los diferentes
Centros de Cmputo del Poder Judicial.
2.1 Resguardo 2.1.1. El usuario deber reportar de forma inmediata a la
y Oficiala
proteccin de Mayor, cuando detecte que existan riesgos reales o
la informacin potenciales para equipos de cmputo o comunicaciones,
como pueden ser fugas de agua, conatos de incendio u
otros.

2.1.2. El usuario tiene la obligacin de proteger los CD-

ROM, DVDs, memorias USB, tarjetas de memoria, discos
externos, computadoras y dispositivos porttiles que se
encuentren bajo su administracin, aun cuando no se
utilicen y contengan informacin reservada o confidencial.

2.1.3. Es responsabilidad del usuario evitar en todo

momento la
 fuga de la informacin del Poder Judicial que se
encuentre
almacenada en los equipos de cmputo personal
que tenga asignados.
2.2. Controles 2.2.1. Cualquier persona que tenga acceso a las
de instalaciones del
acceso fsico Poder Judicial del Estado de Sinaloa, deber registrar en el
Sistema de Ingreso (cuando ya se encuentre instalado), el
equipo de cmputo, equipo de comunicaciones, medios de
almacenamiento y herramientas que no sean propiedad
del Poder Judicial del Estado de Sinaloa, el cual podrn
retirar el mismo da, sin necesidad de trmite alguno.

En caso de que el equipo que no es propiedad del Poder

Judicial del Estado de Sinaloa, permanezca dentro de la
institucin ms de un da hbil, es necesario que el
responsable del rgano del Poder Judicial en el que
trabaja el dueo del equipo, elabore y firme oficio de
autorizacin de salida.
2.3. Seguridad Los Centros de Cmputo del Poder Judicial del Estado son
en reas
reas de restringidas, por lo que slo el personal autorizado por la
trabajo Direccin puede acceder a ellos.
2.4. 2.4.1. Los usuarios no deben mover o reubicar los
Proteccin y equipos de
ubicacin de cmputo o de telecomunicaciones, instalar o desinstalar
los equipos dispositivos, ni retirar sellos de los mismos sin la
autorizacin de la Direccin, debindose solicitar a la
misma en caso de requerir este servicio.

2.4.2. El rea de soporte tcnico de la Direccin ser la

encargada de generar el resguardo y recabar la firma del
usuario informtico como responsable de los activos
informticos que se le asignen y de conservarlos en la
ubicacin autorizada por la Direccin.

2.4.3. El equipo de cmputo asignado, deber ser

para uso exclusivo de las funciones asignadas al usuario
del Poder Judicial del Estado de Sinaloa.
 2.4.4. Ser responsabilidad del usuario solicitar la
capacitacin
necesaria para el manejo de las herramientas informticas
que se utilizan en su equipo, a fin de evitar riesgos por mal
uso y para aprovechar al mximo las mismas.

2.4.5. Es responsabilidad de los usuarios almacenar su

informacin nicamente en el directorio de trabajo que se
le asigne, ya que los otros estn destinados para archivos
de programas y sistema operativo.

2.4.6. Mientras se opera el equipo de cmputo, no se

debern consumir alimentos o ingerir lquidos, a menos
que sea en botellas de plstico.

2.4.7. Se debe evitar colocar objetos encima del equipo o

cubrir los orificios de ventilacin del monitor o del
gabinete.

2.4.8. Se debe mantener el equipo informtico en un

entorno limpio y sin humedad.

2.4.9. El usuario debe asegurarse que los cables de

conexin no sean pisados o aplastados al colocar otros
objetos encima o contra ellos.

2.4.10. Cuando se requiera realizar cambios mltiples del

equipo de cmputo derivado de reubicacin de lugares
fsicos de trabajo, stos debern ser notificados con una
semana de anticipacin a la Direccin a travs de un plan
detallado de movimientos debidamente autorizados por el
titular del rea que corresponda.

2.4.11. Queda prohibido que el usuario abra o desarme los

equipos de cmputo, porque con ello perdera la garanta
que proporciona el proveedor de dicho equipo.
2.5. 2.5.1. nicamente el personal autorizado de la
Mantenimient Direccin podr
o de equipo llevar a cabo los servicios y reparaciones al equipo
informtico, por lo que los usuarios debern solicitar la
identificacin del personal designado antes de permitir el
acceso a sus equipos.
 2.5.2. Los usuarios debern asegurarse de respaldar la
informacin
que considere relevante cuando el equipo sea enviado a
reparacin y borrar aquella informacin sensible que se
encuentre en el equipo previendo as la prdida
involuntaria de informacin, derivada de proceso de
reparacin, solicitando la asesora del personal de la
Direccin.
2.6. Prdida o 2.6.1. El usuario que tenga bajo su resguardo algn
transferencia equipo de
de equipo cmputo ser responsable de su uso y custodia; en
consecuencia, responder por dicho bien de acuerdo a la
normatividad vigente en los casos de robo, extravo o
prdida del mismo.

2.6.2. El resguardo para las laptops, tiene el carcter de

personal y ser intransferible. Por tal motivo, queda
prohibido su prstamo.

2.6.3. El usuario deber dar aviso de inmediato a la

Direccin de la desaparicin, robo o extravo del equipo de
cmputo o accesorios bajo su resguardo.
2.7. Uso 2.7.1. El uso de los grabadores de discos compactos es
de exclusivo
dispositivo para respaldos de informacin que por su volumen as
s lo justifiquen.
especiales
2.7.2. La asignacin de este tipo de equipo ser previa
justificacin por escrito y autorizacin del titular o jefe
inmediato correspondiente.

2.7.3. El usuario que tenga bajo su resguardo este tipo de

dispositivos ser responsable del buen uso que se le d.

2.7.4. Los mdems internos debern existir solo

en las computadoras porttiles y no se debern
utilizar dentro de las instalaciones de la institucin para
conectarse a ningn servicio de informacin externo,
excepto cuando lo autorice la Direccin.
2.8. Dao El equipo de cmputo o cualquier recurso de
del tecnologa de
equipo informacin que sufra alguna descompostura por
maltrato, descuido o negligencia por parte del usuario,
deber cubrir el valor de la reparacin o reposicin del
equipo o accesorio afectado. Para tal caso la determinar
la causa de dicha descompostura.

3. POLTICAS, ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE

OPERACIONES DE CMPUTO

Poltica Los usuarios debern utilizar los mecanismos

institucionales para proteger la informacin que reside y
utiliza la infraestructura del Poder Judicial del Estado de
Sinaloa. De igual forma, debern proteger la informacin
reservada o confidencial que por necesidades
institucionales deba ser almacenada o transmitida, ya sea
dentro de la red interna del Poder Judicial del Estado
de Sinaloa o hacia redes externas como internet.

Los usuarios del Poder Judicial del Estado de Sinaloa

que hagan uso de equipo de cmputo, deben conocer y
aplicar las medidas para la prevencin de cdigo malicioso
como pueden ser virus, malware o spyware. El usuario
puede acudir a la Direccin , o al representante de sta en
su zona, para solicitar asesora.
3.1. Uso de 3.1.1. Toda solicitud para utilizar un medio de
medios de almacenamiento de
almacenamien informacin compartido, deber contar con la autorizacin
to del Juez o jefe inmediato del usuario y del titular del rea
duea de la informacin.

Dicha solicitud deber explicar en forma clara y concisa los

fines para los que se otorgar la autorizacin, ese
documento se presentar con sello y firma del titular de
rea o Juez a la Direccin o al representante de sta en su
zona..

3.1.2. Los usuarios debern respaldar de manera peridica

la informacin sensible y crtica que se encuentre
en sus computadoras personales o estaciones de trabajo,
solicitando asesora de la Direccin o al representante
de sta en su zona,
 para que dichos asesores determinen el medio en que se
realizar
dicho
respaldo.

3.1.3. En caso de que por el volumen de informacin se

requiera algn respaldo en CD, este servicio deber
solicitarse por escrito al Titular de la Direccin, y deber
contar con la firma del titular del rea de adscripcin del
solicitante.

3.1.4. Los trabajadores del Poder Judicial del Estado de

Sinaloa deben conservar los registros o informacin
que se encuentra activa y aquella que ha sido clasificada
como reservada o confidencial, de conformidad a las
disposiciones que emita la Unidad de Acceso a la
Informacin Pblica del Poder Judicial del Estado de
Sinaloa, en trminos de Ley de Acceso a la Informacin
pblica del Estado de Sinaloa, Acuerdo General que
establece el rgano, y dems criterios y procedimientos
establecidos en esta materia.

3.1.5. Las actividades que realicen los usuarios del

Poder Judicial del Estado de Sinaloa en la infraestructura
de Tecnologa de la Informacin son registradas y
susceptibles de auditora.
3.2. 3.2.1. Los usuarios que requieran la instalacin de
Instalacin software que no
de Software sea propiedad del Poder Judicial del Estado de Sinaloa,
debern justificar su uso y solicitar su autorizacin a la
Direccin, a travs de un oficio firmado por el titular
del rea de su adscripcin, indicando el equipo de
cmputo donde se instalar el software y el perodo que
permanecer dicha instalacin, siempre y cuando el dueo
del software presente la factura de compra de dicho
software.

Si el dueo del software no presenta la factura de compra

del software, el personal asignado por la Direccin
proceder de manera inmediata a desinstalar dicho
software.

3.2.2. Se considera una falta grave el que los

usuarios instalen cualquier tipo de programa
(software) en sus computadoras,
 estaciones de trabajo, servidores, o cualquier equipo
conectado a
la red del Poder Judicial del Estado de Sinaloa, que
no est autorizado por la Direccin.
3.3. 3.3.1. El usuario que sospeche o tenga
Identificacin conocimiento de la
del incidente ocurrencia de un incidente de seguridad informtica
deber reportarlo a la Direccin o al representante de sta
en su zona, lo antes posible, indicando claramente los
datos por los cuales lo considera un incidente de seguridad
informtica.

3.3.2.Cuando exista la sospecha o el conocimiento de que

informacin confidencial o reservada ha sido revelada,
modificada, alterada o borrada sin la autorizacin de las
unidades administrativas competentes, el usuario
informtico deber notificar al titular de su adscripcin.

3.3.3. Cualquier incidente generado durante la utilizacin u

operacin de los activos de tecnologa de informacin del
Poder Judicial del Estado de Sinaloa, debe ser reportado a
la Direccin.
3.4. Los usuarios de las reas del Poder Judicial del Estado de
Administraci Sinaloa
n de la no deben establecer redes de rea local, conexiones
configuracin remotas a redes internas o externas, intercambio de
informacin con otros equipos de cmputo utilizando el
protocolo de transferencia de archivos (FTP), u otro tipo de
protocolo para la transferencia de informacin empleando
la infraestructura de red del Poder Judicial del Estado de
Sinaloa, sin la autorizacin por escrito de la Direccin.
3.5. Seguridad Ser considerado como un ataque a la seguridad
de informtica y una
la red falta grave, cualquier actividad no autorizada por la
Direccin en la cual los usuarios realicen la
exploracin de los recursos informticos en la red del
Poder Judicial del Estado de Sinaloa, as como de las
aplicaciones que sobre dicha red operan, con fines de
detectar y mostrar una posible vulnerabilidad.
3.6. Uso 3.6.1. Los usuarios no deben usar cuentas de correo
del electrnico
correo asignadas a otras personas, ni recibir mensajes en cuentas
electrnic de otros. Si fuera necesario leer el correo de alguien ms
o (mientras esta persona se encuentra fuera o ausente), el
usuario ausente debe redireccionar el correo a otra cuenta
de correo interno, quedando prohibido hacerlo a una
direccin de correo electrnico externa al Poder Judicial del
Estado de Sinaloa, a menos que cuente con la autorizacin
del titular del rea de adscripcin.

3.6.2. Los usuarios deben tratar los mensajes de correo

electrnico y archivos adjuntos como informacin que es
propiedad del Poder Judicial del Estado de Sinaloa (si es
propiedad del Poder Judicial del Estado es informacin
pblica). Los mensajes de correo electrnico deben ser
manejados como una comunicacin privada y directa
entre emisor y receptor.

3.6.3. Los usuarios podrn enviar informacin reservada

y/o confidencial exclusivamente a personas autorizadas y
en el ejercicio estricto de sus funciones y atribuciones, a
travs del correo institucional que le proporcion la
Direccin.

3.6.4. El Poder Judicial del Estado de Sinaloa, se reserva el

derecho de acceder y revelar todos los mensajes enviados
por este medio para cualquier propsito y revisar las
comunicaciones va correo electrnico de personal que
ha comprometido la seguridad violando polticas de
Seguridad Informtica del Poder Judicial del Estado de
Sinaloa o realizado acciones no autorizadas.

Como la informacin del correo electrnico institucional del

Poder Judicial del Estado de Sinaloa es privada, la nica
forma en la que puede ser revelada es mediante una orden
judicial.

3.6.5. El usuario debe de utilizar el correo electrnico del

Poder Judicial del Estado de Sinaloa, nica y
exclusivamente para los recursos que tenga asignados y
las facultades que les hayan sido atribuidas para el
desempeo de su empleo, cargo o comisin, quedando
prohibido cualquier otro uso distinto.
 3.6.6. La asignacin de una cuenta de correo electrnico
externo,
deber solicitarse por escrito a la Direccin o al
representante de sta en su zona , sealando los motivos
por los que se desea el servicio. Esta solicitud deber
contar con el visto bueno del titular del rea que
corresponda.

3.6.7. Queda prohibido falsear, esconder, suprimir o

sustituir la identidad de un usuario de correo electrnico.
3.7. 3.7.1. Para prevenir infecciones por virus informticos, los
Controles usuarios
contra del Poder Judicial del Estado de Sinaloa, deben evitar hacer
cdigo uso de cualquier clase de software que no haya sido
malicioso proporcionado y validado por la Direccin.

3.7.2. Los usuarios del Poder Judicial del Estado de Sinaloa,

deben verificar que la informacin y los medios de
almacenamiento, considerando al menos memorias USB,
discos flexibles, CDs, estn libres de cualquier tipo de
cdigo malicioso, para lo cual deben ejecutar el software
antivirus autorizado por la Direccin.

3.7.3. El usuario debe verificar mediante el software de

antivirus autorizado por la Direccin que estn libres de
virus todos los archivos de computadora, bases de datos,
documentos u hojas de clculo, etc. que sean
proporcionados por personal externo o interno,
considerando que tengan que ser descomprimidos.

3.7.4. Ningn usuario del Poder Judicial del Estado de

Sinaloa debe intencionalmente escribir, generar, compilar,
copiar, propagar, ejecutar o tratar de introducir cdigo de
computadora diseado para autoreplicarse, daar o en
otros casos impedir el funcionamiento de cualquier
memoria de computadora, archivos de sistema o
software. Tampoco debe probarlos en cualquiera de los
ambientes o plataformas del Poder Judicial del Estado de
Sinaloa. El incumplimiento de este estndar ser
considerado una falta grave.
 3.7.5. Ningn usuario ni empleado del Poder Judicial del
Estado de
Sinaloa o personal externo podr bajar o descargar
software de sistemas, boletines electrnicos, sistemas de
correo electrnico, de mensajera instantnea y redes de
comunicaciones externas, sin la debida autorizacin de la
Direccin de Tecnologas de Informacin y
Comunicaciones del Supremo Tribunal de Justicia.

3.7.6. Cualquier usuario que sospeche de alguna infeccin

por virus de computadora, deber dejar de usar
inmediatamente el equipo y llamar a la Direccin para la
deteccin y erradicacin del virus.

3.7.7. Cada usuario que tenga bajo su resguardo algn

equipo de cmputo personal porttil, ser responsable de
solicitar de manera peridica a la Direccin las
actualizaciones del software de antivirus.

3.7.8. Los usuarios no debern alterar o eliminar las

configuraciones de seguridad para detectar y/o prevenir
la propagacin de virus que sean implantadas por la
Direccin en programas tales como:

Antivirus;
Correo electrnico;
Paquetera Office;
Navegadores; u
Otros programas.

3.7.9. Debido a que algunos virus son extremadamente

complejos, ningn usuario del Poder Judicial del Estado de
Sinaloa debe intentar erradicarlos de las computadoras, lo
indicado es llamar al personal de la Direccin para que
sean ellos quienes lo solucionen.
3.8. Permisos 3.8.1. El acceso a internet provisto a los usuarios del
de Poder Judicial
uso de del Estado de Sinaloa es exclusivamente para las
Internet actividades relacionadas con las necesidades del puesto y
funcin que desempea. En caso de dao a la imagen de
la institucin se proceder de acuerdo a lo que determine
el rgano Interno de Control del Supremo Tribunal de
Justicia del Estado de Sinaloa.
3.8.2. La asignacin del servicio de internet, deber
solicitarse por
escrito a la Direccin, sealando los motivos por los que
se desea el servicio. Esta solicitud deber contar con
el visto bueno del titular del rea correspondiente.

3.8.3. Todos los accesos a internet tienen que ser

realizados a travs de los canales de acceso provistos por
el Poder Judicial del Estado de Sinaloa.

3.8.4. Los usuarios con acceso a Internet del Poder Judicial

del Estado de Sinaloa tienen que reportar todos los
incidentes de seguridad informtica a la, inmediatamente
despus de su identificacin, indicando claramente que
se trata de un incidente de seguridad informtica.

3.8.5. El acceso y uso de mdem en el Supremo Tribunal

de Justicia tiene que ser previamente autorizado por la
Direccin.

3.8.7. Los usuarios con servicio de navegacin en internet

al utilizar el servicio aceptan que:

Sern sujetos de monitoreo de las actividades que

realizan en internet.
Saben que existe la prohibicin al acceso de
pginas no autorizadas.
Saben que existe la prohibicin de transmisin de
archivos reservados o confidenciales no autorizados.
Saben que existe la prohibicin de descarga de
software sin la autorizacin de la Direccin.
La utilizacin de internet es para el desempeo
de su funcin y puesto en el Poder Judicial del
Estado de Sinaloa y no para propsitos personales.

3.8.8. Los esquemas de permisos de acceso a internet y

servicios de mensajera instantnea son:
NIVEL 1: Sin restricciones: Los usuarios podrn
navegar en
 las pginas que as deseen, as como realizar
descargas de
informacin multimedia en sus diferentes
presentaciones y acceso total a servicios de
mensajera instantnea.

NIVEL 2: Internet restringido y mensajera

instantnea: Los usuarios podrn hacer uso de
internet y servicios de mensajera instantnea,
aplicndose las polticas de seguridad y
navegacin.

NIVEL 3: Internet restringido y sin mensajera

instantnea: Los usuarios slo podrn hacer uso de
internet aplicndose las polticas de seguridad y
navegacin

NIVEL 4: El usuario no tendr acceso a Internet ni a

servicios de mensajera instantnea.

4.POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICO

Poltica Cada usuario es responsable del mecanismo de control

de acceso que le sea proporcionado; esto es, de su
identificador de usuario (userID) y contrasea (password)
necesarios para acceder a la informacin y a la
infraestructura tecnolgica del Poder Judicial del Estado de
Sinaloa, por lo cual deber mantenerlo de forma
confidencial.

La Presidencia del Supremo Tribunal de Justicia del Estado

de Sinaloa, es el nico que puede otorgar la autorizacin
para que se tenga acceso a la informacin que se
encuentra en la infraestructura tecnolgica del Poder
Judicial del Estado de Sinaloa, otorgndose los permisos
mnimos necesarios para el desempeo de sus funciones,
con apego al principio Necesidad de saber.
4.1. Controles 4.1.1. El acceso a la infraestructura tecnolgica del
de Poder Judicial
acceso lgico del Estado de Sinaloa para personal externo debe ser
autorizado al menos por un titular de rea del Poder
Judicial del Estado de Sinaloa, quien deber notificarlo
por oficio a la Direccin, quien lo habilitar.
 4.1.2. Est prohibido que los usuarios utilicen la
infraestructura
tecnolgica del Poder Judicial del Estado para obtener
acceso no autorizado a la informacin u otros sistemas de
informacin del Poder Judicial del Estado de Sinaloa.

4.1.3. Todos los usuarios de servicios de informacin son

responsables por su identificador de usuario y
contrasea que recibe para el uso y acceso de los
recursos.

4.1.4. Todos los usuarios debern autenticarse por los

mecanismos de control de acceso provistos por la
Direccin antes de poder usar la infraestructura
tecnolgica del Poder Judicial del Estado de Sinaloa.

4.1.5. Los usuarios no deben proporcionar informacin a

personal externo, de los mecanismos de control de acceso
a las instalaciones e infraestructura tecnolgica del Poder
Judicial del Estado de Sinaloa, a menos que se tenga
autorizacin de la Direccin.

4.1.6. Cada usuario que accede a la infraestructura

tecnolgica del Poder Judicial del Estado de Sinaloa debe
contar con un identificador de usuario nico y
personalizado, por lo cual no est permitido el uso de un
mismo identificador de usuario por varios usuarios.

4.1.7. Los usuarios tienen prohibido compartir su

identificador de usuario y contrasea, ya que todo lo que
ocurra con ese identificador y contrasea ser
responsabilidad exclusiva del usuario al que
pertenezcan, salvo prueba de que le fueron usurpados
esos controles.

4.1.8. Los usuarios tienen prohibido usar el identificador

de usuario y contrasea de otros, aunque ellos les insistan
en usarlo.
4.2. 4.2.1. Cualquier cambio en los roles y responsabilidades
Administraci de los
n de usuarios que modifique sus privilegios de
privilegios acceso a la infraestructura tecnolgica del Poder
Judicial del Estado de Sinaloa,
 debern ser notificados por escrito o va correo
electrnico a la
Direccin con el visto bueno del titular del rea
solicitante, para realizar el ajuste.
4.3. Los usuarios debern mantener sus equipos de
Equipo cmputo con
desatendid controles de acceso como contraseas y protectores de
o pantalla (previamente instalados y autorizados por la
Direccin, como una medida de seguridad cuando el
usuario necesita ausentarse de su escritorio por un tiempo.
4.4. 4.4.1. La asignacin de la contrasea para acceso a la
Administracin red y la
y uso de contrasea para acceso a sistemas, debe ser realizada de
contraseas forma individual, por lo que queda prohibido el uso de
contraseas compartidas est prohibido.

4.4.2. Cuando un usuario olvide, bloquee o extrave su

contrasea, deber reportarlo por escrito a la Direccin,
indicando si es de acceso a la red o a mdulos de
sistemas desarrollados por la Direccin, para que se le
proporcione una nueva contrasea.

4.4.3. La obtencin o cambio de una contrasea debe

hacerse de forma segura; el usuario deber acreditarse
ante la Direccin como empleado del Poder Judicial del
Estado.

4.4.4. Est prohibido que los identificadores de usuarios y

contraseas se encuentren de forma visible en cualquier
medio impreso o escrito en el rea de trabajo del usuario,
de manera de que se permita a personas no autorizadas su
conocimiento.

4.4.5. Todos los usuarios debern observar los siguientes

lineamientos para la construccin de sus contraseas:
No deben contener nmeros consecutivos;

Deben estar compuestos de al menos seis (6)

caracteres y mximo diez (10).Estos caracteres
deben ser alfanumricos, o sea, nmeros y letras;
 Deben ser difciles de adivinar, esto implica
que las contraseas no deben relacionarse con el
trabajo o la vida personal del usuario; y

Deben ser diferentes a las contraseas que se

hayan usado previamente.

4.4.7. La contrasea podr ser cambiada por requerimiento

del dueo de la cuenta.

4.4.8. Todo usuario que tenga la sospecha de que su

contrasea es conocido por otra persona, tendr la
obligacin de cambiarlo inmediatamente.

4.4.9. Los usuarios no deben almacenar las contraseas

en ningn programa o sistema que proporcione esta
facilidad.

4.4.10. Los cambios o desbloqueo de contraseas

solicitados por el usuario a la Direccin sern solicitados
mediante oficio sellado y firmado por el jefe inmediato del
usuario que lo requiere.
4.5. Control 4.5.1. Est prohibido el acceso a redes externas por va de
de cualquier
accesos dispositivo, cualquier excepcin deber ser documentada y
remotos contar con el visto bueno de la Direccin.

4.5.2. La administracin remota de equipos conectados a

internet no est permitida, salvo que se cuente con la
autorizacin y con un mecanismo de control de acceso
seguro autorizado por la Direccin.

5. POLTICAS Y ESTNDARES DE CUMPLIMIENTO DE SEGURIDAD

INFORMTICA

Poltica De acuerdo al artculo 71 del Reglamento Interior del

Supremo Tribunal de Justicia del Estado de Sinaloa: La
Direccin de Tecnologas de la Informacin y
Comunicaciones, es la encargada de fijar las bases de la
poltica informtica que permitan conocer y planear el
desarrollo tecnolgico al interior del Poder Judicial
5.1. Derechos 5.1.1. Est prohibido por las leyes de derechos de autor
de y por el
Propiedad Poder Judicial del Estado de Sinaloa, realizar copia no
Intelectual autorizadas de software, ya sea adquirido o desarrollado
por el Poder Judicial del Estado de Sinaloa.

5.1.2. Los sistemas desarrollados por personal, interno o

externo, que sea parte de la Direccin, o sea
coordinado por sta, son propiedad intelectual del Poder
Judicial del Estado de Sinaloa.
5.2. Revisiones 5.2.1. La Direccin realizar acciones de
del verificacin del
cumplimiento cumplimiento del Manual de Polticas y Estndares de
Seguridad
Informtica para
usuarios.

5.2.2. La Direccin podr implementar mecanismos de

control que permitan identificar tendencias en el uso de
recursos informticos del personal interno o externo, para
revisar la actividad de procesos que ejecuta y la estructura
de los archivos que se procesan. El mal uso de los recursos
informticos que sea detectado ser reportado conforme a
lo indicado en la Poltica de Seguridad del Personal.
5.3. 5.3.1. Est prohibido el uso de herramientas de
Violaciones hardware o
de software para violar los controles de seguridad
seguridad informtica. A
informtica menos que se autorice por la
Direccin.

5.3.2. Est prohibido realizar pruebas de controles de los

diferentes elementos de Tecnologa de la Informacin.

Ninguna persona puede probar o intentar comprometer los

controles internos a menos de contar con la
aprobacin de la Direccin, con excepcin de los rganos
Fiscalizadores.

5.3.3. Ningn usuario del Poder Judicial del Estado debe

probar o intentar probar fallas de la Seguridad Informtica
identificadas o conocidas, a menos que estas pruebas sean
controladas y aprobadas por la Direccin.
5.3.4. No
se debe
intencional
mente
escribir,
generar,
compilar,
 copiar, coleccionar, propagar, ejecutar, introducir
cualquier tipo de
cdigo (programa) conocidos como virus, malware,
spyware, o similares diseado para autoreplicarse,
daar, afectar el desempeo, acceso a las computadoras,
redes e informacin del Poder Judicial del Estado.

Para los efectos del presente manual, se escribe el presente glosario de

trminos:

GLOSARIO DE TRMINOS
TRMINO
SIGNIFICAD
O
(A)
Acceso Es el privilegio de una persona para utilizar un
objeto o infraestructura.
Acceso Fsico Es la actividad de ingresar a un rea.
Acceso Lgico Es la habilidad de comunicarse y conectarse a
un activo tecnolgico para utilizarlo.
Acceso Remoto Conexin de dos dispositivos de cmputo ubicados en
diferentes lugares fsicos por medio de lneas de
comunicacin, ya sean
telefnicas o por medio de redes de rea amplia, que
permiten el acceso de aplicaciones e informacin de la red.
Este tipo de acceso normalmente viene acompaado de un
Antivirus Programa que busca y eventualmente elimina los virus
informticos que pueden haber infectado un disco rgido, o
cualquier sistema de almacenamiento electrnico de
Ataque Actividades encaminadas a quebrantar las protecciones
establecidas de un activo especfico, con la finalidad de
obtener acceso a ese archivo y lograr afectarlo.
(B)
Base de datos Coleccin almacenada de datos relacionados, requeridos
por las organizaciones e individuos para que cumplan con
los requerimientos de proceso de informacin y
recuperacin de datos.
(C)
Confidencialida Se refiere a la obligacin de los servidores judiciales a no
d divulgar
 informacin a personal no autorizado para su conocimiento.

Contrasea Secuencia de caracteres utilizados para determinar que un

usuario especfico requiere acceso a una computadora
personal, sistema, aplicacin o red en particular.
Control de Es un mecanismo de seguridad diseado para
Acceso prevenir, salvaguardar y detectar acceso no autorizado
y permitir acceso autorizado a un activo.
Copyright Derecho que tiene un autor, incluido el autor de un
programa informtico sobre todas y cada una de sus
obras y que le permite
decidir en qu condiciones han de ser stas reproducidas y
distribuidas. Aunque este derecho es legalmente
irrenunciable puede ser ejercido de forma tan restrictiva o
(D)
Direccin Se refiere a la Direccin de Tecnologas de la Informacin y
Comunicaciones del Supremo Tribunal de Justicia del
Estado de Sinaloa.
Disponibilidad Se refiere a que la informacin est disponible en el
momento que se necesite.
(E)
Estndar Los estndares son actividades, acciones, reglas o
regulaciones obligatorias diseadas para proveer a las
polticas de la estructura y direccin que requieren para
(F)
Falta Accin u omisin contemplada por la normatividad
administrati aplicable a la actividad de un servidor judicial, mediante la
va cual se finca responsabilidad y se sanciona esa accin u
FTP Protocolo de transferencia de archivos. Es un protocolo
estndar de comunicacin que proporciona un camino
simple para extraer y
colocar archivos compartidos entre computadoras
(G)
Gusano Programa de computadora que puede replicarse a s
mismo y enviar copias de una computadora a otra a
travs de conexiones de la red, antes de su llegada al
nuevo sistema, el gusano debe estar activado para

Pgina 20
 propagacin, el gusano desarrolla en los sistemas de
cmputo funciones no deseadas.
(H)
Hardware Se refiere a las caractersticas tcnicas y fsicas
de las computadoras.
Herramientas Son mecanismos de seguridad automatizados que sirven
de seguridad para proteger o salvaguardar a la infraestructura
tecnolgica de una Comisin.
(I)
Identificador de Nombre de usuario (tambin referido como UserID) nico
Usuario asignado a un servidor judicial para el acceso a equipos y
sistemas desarrollados, permitiendo su identificacin en los
Impacto Magnitud del dao ocasionado a un activo en caso de
que se materialice.
Incidente de Cualquier evento que represente un riesgo para la
Seguridad adecuada conservacin de confidencialidad, integridad o
disponibilidad de la informacin utilizada en el desempeo
Integridad Se refiere a la prdida deficiencia en la autorizacin,
totalidad exactitud de la informacin de la organizacin.
Es un principio de
seguridad que asegura que la informacin y los
Internet Es un sistema a nivel mundial de computadoras
conectadas a una misma red, conocida como la red de
redes (world wide web) en donde cualquier usuario
consulta informacin de otra computadora conectada a
Intrusin Es la accin de introducirse o acceder sin autorizacin a un
(M) activo.
Maltrato Son todas aquellas acciones que de manera
voluntaria o involuntaria el usuario ejecuta y como
consecuencia daa los recursos tecnolgicos propiedad del
Supremo Tribunal de Justicia.
Malware Cdigo malicioso desarrollado para causar daos en
equipos informticos, sin el consentimiento del propietario.
Dentro de estos cdigos se encuentran: virus, spyware,
troyanos, rootkits, backdoors, adware y gusanos.
Mecanismos Es un control manual o automtico para proteger la
de seguridad informacin, activos tecnolgicos, instalaciones, etc. que

Pgina 21
control la probabilidad de que una vulnerabilidad exista, sea
explotada, o bien ayude a reducir el impacto en caso de
Medios de Son todos aquellos medios en donde se pueden
almacenamien almacenar cualquier tipo de informacin (diskettes, CDs,
to magnticos DVDs, etc.)
Mdem Es un aparato electrnico que se adapta una terminal o
computadora y se conecta a una red de. Los mdems
convierten los pulsos digitales de una computadora en
frecuencias dentro de
la gama de audio del sistema
telefnico.
(N) Cuando acta en calidad de receptor, un mdem
Necesidad Es un principio o base de seguridad que declara que los
de saber usuarios deben tener exclusivamente acceso a la
principio informacin, instalaciones o recursos tecnolgicos de
informacin entre otros que necesitan para realizar o
completar su trabajo cumpliendo con sus roles y
Normatividad Conjunto de lineamientos que debern seguirse de
manera obligatoria para cumplir un fin dentro de una
(P)
Password Vase Contrasea.
(R)
Respaldo Archivos, equipo, datos y procedimientos disponibles
para el uso en caso de una falla o prdida, si los originales
se destruyen o quedan fuera de servicio.
Riesgo Es el potencial de que una amenaza tome ventaja de una
debilidad de seguridad (vulnerabilidad) asociadas con un
activo, comprometiendo la seguridad de ste.
Usualmente el riesgo se mide por el impacto que tiene.
(S)
Servidor Computadora que responde peticiones o comandos de una
computadora cliente. El cliente y el servidor trabajan
conjuntamente para llevar a cabo funciones de
aplicaciones distribuidas.
El servidor es el elemento que cumple con la colaboracin
en la arquitectura cliente-servidor.

Sitio Web El sitio web es un lugar virtual en el ambiente de

internet, el cual
Pgina 22
 proporciona informacin diversa para el inters del pblico,
donde los usuarios deben proporcionar la direccin de
dicho lugar para llegar a l.
Software Programas y documentacin de respaldo que permite y
facilita el uso de la computadora. El software controla la
operacin del hardware.
Spyware Cdigo malicioso desarrollado para infltrar a la
informacin de un equipo o sistema con la finalidad de
extraer informacin sin la
(U)
UserID Vase Identificador de Usuario.
Usuario Este trmino es utilizado para distinguir a cualquier
persona que utiliza algn sistema, computadora personal o
dispositivo (hardware).
(V)
Virus Programas o cdigos maliciosos diseados para esparcirse
y copiarse de una computadora a otra por medio de los
enlaces de telecomunicaciones o al compartir archivos o
medios de almacenamiento magntico de computadoras.
Vulnerabilidad Es una debilidad de seguridad o brecha de seguridad, la
cual indica que el activo es susceptible a recibir un dao a
travs de un ataque, ya sea intencional o accidental.

Pgina 23