Buenas prácticas en materia de Tecnologías de la Información

SISTEMAS

BUENAS PRÁCTICAS PARA EL USO DE LA INFORMACIÓN LOS SISTEMAS

Como usuarios de los sistemas de información de Servicios de Salud de Veracruz deben de recordar que:

  • La clave es para uso personal y no es transferible bajo ninguna justificación.
  • Cuando reciben la responsiva de la cuenta de usuario deben de cambiar la contraseña otorgada en dicho formato.
  • En caso de que el usuario cause baja de la Institución, cambie de funciones o se reubique en otra área administrativa, deberá notificarlo por los medios oficiales al Departamento de Tecnologías para realizar las acciones correspondientes en cuanto a claves de acceso.
  • La información contenida en los sistemas es propiedad de Servicios de Salud de Veracruz y es responsabilidad del usuario aplicar la confidencialidad de la misma, en caso contrario se procederá jurídicamente según sea el caso.

Ver Infografías de las buenas prácticas

BASE DE DATOS

CUENTAS DE DOMINIO

Para garantizar la seguridad de la información en cuanto a la autenticación [1], cuando se entrega el acuse/responsiva de cuenta de dominio el usuario se compromete a cumplir con lo siguiente:

  • El nombre de usuario y contraseña de la Cuenta de Dominio asignada para el acceso a la Red Local de SESVER, es personal e intransferible, por lo que el uso y el manejo de estos, es responsabilidad absoluta del Usuario.
  • Es responsabilidad del Usuario cambiar cada determinado tiempo su contraseña, por motivos de seguridad (se recomienda hacerlo mínimo cada 6 meses).
  • En caso de robo, extravío o alguna otra vulneración de su nombre de usuario o contraseña deberá notificarlo al Departamento de Tecnologías de la Información para proceder a su cambio.
  • La vigencia de la Cuenta de Dominio asignada para el acceso a la Red Local de SESVER será en tanto el Usuario mantenga una relación laboral con SESVER o hasta que el jefe inmediato del usuario solicite la cancelación de esta.
  • La falta de uso de la Cuenta de Dominio de acceso a la Red Local de SESVER por un período de 90 días naturales consecutivos será motivo de suspensión de esta.
  • El Usuario deberá notificar al Departamento de Tecnologías de la Información de manera fehaciente e inmediata cualquier uso no autorizado de su Cuenta de Dominio para el acceso a la Red Local de SESVER, para la evaluación del impacto del uso no autorizado y tomar las medidas necesarias para la solución del incidente.
  • El uso de la Cuenta de Dominio para el acceso a la Red Local de SESVER es ininterrumpido, sin embargo, El Departamento de Tecnologías de la Información se reserva el derecho a suspenderlo por razones de mantenimiento a instalaciones y equipos, desastres naturales, falta de corriente eléctrica, razones administrativas o causas de fuerza mayor. Se notificará a los Usuarios de las Cuentas de Dominio para el acceso a la Red Local de SESVER de la interrupción del servicio cuando se trate de eventos controlados.

La contraseña debe cumplir con los siguientes requisitos mínimos:

  • No contener el nombre de la cuenta de usuario parte del nombre completo del usuario en más de dos caracteres consecutivos.
  • Tener una longitud mínima de seis caracteres.
  • Incluir caracteres de tres de las siguientes categorías:
    • Mayúsculas (de la A a la Z)
    • Minúsculas (de la a a la z)
    • Dígitos de base 10 (del 0 al 9)
    • Caracteres no alfanuméricos (por ejemplo. ¡, $. #, %)

Estos requisitos de complejidad se exigen al cambiar o crear contraseñas.

Ver Infografías de las buenas prácticas

PORTALES

Las cuentas de usuario correspondientes a la creación de micrositios, serán entregadas al usuario solicitante mediante el documento “Responsiva de cuenta de acceso a micrositio”.

Una vez que se entrega el acceso el usuario deberá cumplir los siguientes puntos basados en la (1)

  • La contraseña de usuario deberá actualizarla por lo menos cada 4 meses
  • Tener un mínimo 8 caracteres
  • Contar un máximo 20 caracteres.
  • Deberá tener al menos una letra mayúscula.
  • Contará con al menos una letra minúscula.
  • Contará con al menos un dígito.
  • No usar espacios en blanco.
  • Usará al menos 1 carácter especial, ejemplo (. _ * #)

Ver Infografías de las buenas prácticas

Ver Guía de Información WordPress

REDES Y TELECOMUNICACIONES

Apartado de la norma ISO 270001

La gestión de la seguridad en redes establece controles que certifican la confidencialidad e integridad de la información que circula por la red y por todos los dispositivos que pertenecen a la organización.El principal objetivo de esta gestión es evitar que los activos de la entidad sean visualizados o enviados a personal no autorizado. La protección de activos es un proceso que abarca un amplio abanico de posibilidades, por eso el Sistema de Gestión de Seguridad de la Información ISO 27001 no se puede limitar a la seguridad de equipos informáticos, sino que también se incluye la gestión de recursos humanos, de procesos, etc. Decisivamente si queremos garantizar la protección de la información en redes y en infraestructuras necesitamos:

  • Definir controles que preserven la integridad y confidencialidad de la información localizada en las redes públicas.
  • Crear una separación funcional de las redes.

Un ejemplo es el manual de buenas prácticas del uso de correo electrónico.Manual de buenas prácticas para el uso del correo electrónico

  • INTRODUCCIÓN

Un uso inadecuado del correo electrónico puede llegar a consumir una parte excesiva de los recursos disponibles (tanto nuestros como de los servidores corporativos que nos prestan el servicio), causándonos problemas a nosotros mismos y al resto de Abogados que tengan su correo electrónico alojado en la Infraestructura Tecnológica de la Abogacía

  • ¿CÓMO HACER UN USO ADECUADO DEL CORREO ELECTRÓNICO?
    • Consultar periódicamente la cuenta Los correos que nos envían a nuestra cuenta de correo serán almacenados por el servidor en nuestro buzón hasta que el usuario elimine ese mensaje o lo descargue localmente en su ordenador a través de su cliente de correo. En el caso de la Abogacía, el tamaño máximo de este buzón se ha actualizado recientemente a 1GB. Esto significa que si un buzón supera este límite de 1GB, el servidor de correo ante la imposibilidad de almacenar el mensaje, lo devolverá al remitente indicándole este inconveniente. Por lo tanto, la principal tarea a la hora de gestionar una cuenta de email es descargar o eliminar el correo con una periodicidad frecuente, con el fin de evitar que nuestro buzón se llene.
    • Limitar el uso del Webmail Webmail es un servicio que nos permite utilizar el correo electrónico a través de una web, es decir, sin necesidad de descargar el correo electrónico localmente. Si bien su uso es muy útil como complemento al gestor de correo en aquellas ocasiones (viajes, trabajo en casa, etc.) en las que necesitamos acceder a nuestra cuenta desde un ordenador que no es el habitual, también presenta grandes inconvenientes que hacen que no sea la opción más adecuada para ser usado como único acceso a nuestro correo, siendo el más importante que se alcanza fácilmente el límite de tamaño de nuestro buzón en el servidor. Así pues, debe limitarse su uso, o en caso de utilizarse como método habitual de uso de correo, preocuparse de liberar espacio de forma permanente
  • RECOMENDACIONES ESPECÍFICAS PARA LA RECEPCIÓN DE CORREOS
    • No acepte documentos ni archivos adjuntos provenientes de direcciones desconocidas o que contengan un asunto u origen poco fiable. Debe prestar atención a correos electrónicos con datos adjuntos sospechosos o susceptibles de contener virus.
    • No asuma que un mensaje es válido porque el nombre del remitente es conocido. Recibimos algunos mensajes que aparecen como provenientes de una persona de su propia libreta de destinatarios que en realidad no es el autor.
    • Utilizar filtros anti-Spam: Aunque el servidor de correo corporativo de la Abogacía cuenta con una de las mejores herramientas anti-spam del mercado, es conveniente tener instalado alguno localmente.
    • No lea los correos spam ni sus adjuntos. El spam o correo basura son los mensajes no deseados que hacen referencia a publicidad, pudiendo además contener virus. Estos mensajes deben eliminarse sin ser leídos para evitar el aumento de la cantidad de correo basura en el buzón, así como la posibilidad de intrusión de virus en el sistema.
    • Analice con su antivirus cualquier documento adjunto antes de abrirlo directamente. Es mucho más seguro extraer previamente el adjunto a un directorio del ordenador y analizarlo con un buen antivirus.
    • No confíe en regalos y promociones de fácil obtención. En ocasiones la infección de su equipo se puede producir al visitar una página Web facilitada en un correo aparentemente inofensivo.
    • Desconfíe de los correos de supuestas entidades bancarias que le solicitan introducir o modificar sus claves de acceso. No es la forma de proceder de las entidades legítimas y probablemente se trate de un intento de fraude. Ante cualquier duda póngase en contacto con su entidad.
    • Trate de disminuir sensiblemente el peso de sus mensajes adjuntos la compresión de los archivos (*.rar, *.zip, etc.) o la utilización de otros medios para enviar imágenes o vídeos son una buena alternativa.
  • RECOMENDACIONES ESPECÍFICAS PARA EL ENVÍO DE CORREOS
    • Incluya un «Asunto» lo más descriptivo posible del contenido del mensaje. Esto facilita la lectura, clasificación y posterior recuperación del correo al destinatario y constituye una norma de cortesía hacia el destinatario.
    • Tenga en cuenta que el uso de mayúsculas en Internet sugiere emociones fuertes. Evite emplear mayúsculas en el cuerpo de texto de sus correos, pues implica GRITAR. En la medida de lo posible, enfatice con comillas, negrita, uso de colores o subrayados, etc. Si estima que el cuerpo de letra es demasiado pequeño, puede agrandarlo hasta un tamaño que resulte más conveniente, nunca extravagante.
    • No utilice fondos prediseñados o con colores para su mensaje ya que aumentan el tamaño del mismo y pueden provocar problemas de recepción en el destinatario (filtrado por el sistema antivirus-antispam).
    • Evite imágenes o información innecesaria en su pie de firma de correo, intentando resultar lo más esquemático posible.
    • No facilite datos personales o financieros a personas desconocidas.
    • No responda al correo no solicitado (spam) pues aumenta la cantidad de correo basura ya que indica al remitente que la cuenta es leída.
    • .Procure eliminar mensajes masivos innecesarios (felicitaciones, chistes, correos piramidales, etc.) a través de servidores destinados al trabajo.
    • Evite participar en el reenvío de correo no solicitado (cadenas de mensajes, rumores, publicidad, etc.). Recuerde que los correos legítimos provenientes de casas comerciales y centros de alerta tienen como norma redirigir a servidores Web donde dan información de forma fiable y detallan las acciones a realizar.
    • No active por defecto funcionalidades como el «aviso de lectura», su eficacia es escasa cuando lo utilizamos de manera indiscriminada o continuada, y puede llegar a molestar al remitente. Se debe activar sólo en los casos en los que sea estrictamente necesario.
    • Respete la privacidad de sus destinatarios de envíos múltiples, añadiéndolos siempre en copia oculta (CCO) y poniendo su propia dirección en el campo “Para”. De esta forma evita: a. Que los destinatarios de su mensaje puedan ver y hacer uso de todas las direcciones de email a quienes Ud. remite su mensaje. b. Que todos sus destinatarios reciban todas las respuestas. Si alguien decide “Responder a todos”, todas las direcciones en los campos “Para” o “CC” recibirán la respuesta, inundando su buzón de correos no deseados o de remitentes desconocidos para ellos.

Ver Infografías de las buenas prácticas

SOPORTE A USUARIOS

En cuanto al buen uso del equipamiento de cómputo y para salvaguardar la información es necesario apegarse al Software brindado y aprobado por el Departamento de Tecnologías de la Información, para mantener las buenas practicas (1).

Protección contra el código malicioso (Virus)
  • Tener instalado un Software Antivirus para escanear los ficheros adjuntos en correos electrónicos y a otros que descarguemos.
  • Apegarnos al Antivirus Institucional para prohibir cualquier software malicioso que no esté autorizado.
  • Definir controles de acceso a la información.
Copias de seguridad
  • Hacer regularmente copias de los archivos de la información.
  • Comprobar que las copias son correctas.
  • Comprobar que la copia realizada es efectiva para hacer una restauración.

Ver Infografías de las buenas prácticas