Buenas prácticas en materia de Tecnologías de la Información









SISTEMAS

Como parte del fomento de la cultura organizacional en materia de seguridad de la información y con la finalidad de mantener la confidencialidad de la información estas son las mejores prácticas¹ que nos permiten garantizar el acceso al personal autorizado y como usuarios de los sistemas que administra el Departamento de Tecnologías de la Información las debemos cumplir:
  • La cuenta de usuario es para uso personal y no es transferible bajo ninguna justificación.
  • Para la solicitud de su cuenta de usuario deberá usar un correo electrónico institucional, su correo institucional será el que se use para el cambio de contraseña y renovación de la vigencia de la cuenta de usuario.
Cuando reciben la responsiva de la cuenta de usuario deben de cambiar la contraseña otorgada en dicho formato.
  • La contraseña de usuario deberá actualizarla por lo menos cada 4 meses.
  • Estas son las características que debe cumplir la contraseña de su cuenta de usuario. Tener un mínimo 8 caracteres. Contar un máximo 15 caracteres. Deberá tener al menos una letra mayúscula. Contará con al menos una letra minúscula. Contará con al menos un dígito. No usar espacios en blanco. Usará al menos 1 carácter especial, ejemplo (. _ * #)
  • En caso de que el usuario cause baja de la Institución, cambie de funciones o se reubique en otra área administrativa, deberá notificarlo por los medios oficiales al Departamento de Tecnologías para realizar las acciones correspondientes en cuanto a claves de acceso.
  • La información contenida en los sistemas es propiedad de Servicios de Salud de Veracruz y es responsabilidad del usuario aplicar la confidencialidad de la misma, en caso contrario se procederá jurídicamente según sea el caso.
CONSULTAR LA INFOGRAFÍA








SOPORTE A USUARIOS

En materia de seguridad de datos e información contenida en los equipos de cómputo, es necesario apegarse al Software brindado y aprobado por el Departamento de Tecnologíaas de la Información.  Esto con el objetivo de mantener las buenas practicas¹.
Protección contra el código malicioso (Virus)
  • Tener instalado un Software Antivirus para escanear los ficheros adjuntos en correos electrónicos y a otros que descarguemos.
  • Apegarnos al Antivirus Institucional para prohibir cualquier software malicioso que no esté autorizado.
  • Definir controles de acceso a la información.
Copias de seguridad
  • Hacer regularmente copias de los archivos de la información.
  • Comprobar que las copias son correctas.
  • Comprobar que la copia realizada es efectiva para hacer una restauración.
Manipulación de los equipos de cómputo
  • Reportar cualquier incidente o mal funcionamiento al Departamento de Tecnologías de la información.
  • No realizar reparaciones o alterar el estado de los equipos de cómputo.
  • Solicitar al Departamento de Tecnologías de la Información, mantenimientos preventivos al equipo de cómputo al menos cada 6 meses.
CONSULTAR LA INFOGRAFÍA








PORTALES

Para las «claves de usuario» que permiten publicar contenido dentro de los Micrositios, el usuario deberá cumplir los siguientes puntos basados en la¹ con la finalidad de preservar la confidencialidad de la información.
  • La contraseña de usuario deberá de actualizarse por lo menos cada 4 meses.
  • Tener un mínimo 8 caracteres.
  • Contar un máximo 20 caracteres.
  • Deberá tener al menos una letra mayúscula.
  • Contará con al menos una letra minúscula.
  • Contará con al menos un dígito.
  • No usar espacios en blanco.
  • Usará al menos 1 carácter especial, ejemplo (. _ * #)
Adicionalmente, se recomienda consultar los documentos. CONSULTAR LA INFOGRAFÍA








BASE DE DATOS Y SERVIDORES

Cuentas de dominio
Para garantizar la seguridad de la información en cuanto a la autenticación¹, cuando se entrega el acuse/responsiva de cuenta de dominio el usuario se compromete a cumplir con lo siguiente:
  • El nombre de usuario y contraseña de la Cuenta de Dominio asignada para el acceso a la Red Local de SESVER, es personal e intransferible, por lo que el uso y el manejo de estos, es responsabilidad absoluta del Usuario.
  • Es responsabilidad del Usuario cambiar cada determinado tiempo su contraseña, por motivos de seguridad (se recomienda hacerlo mínimo cada 6 meses).
  • En caso de robo, extravío o alguna otra vulneración de su nombre de usuario o contraseña deberá notificarlo al Departamento de Tecnologías de la Información para proceder a su cambio.
  • La vigencia de la Cuenta de Dominio asignada para el acceso a la Red Local de SESVER será en tanto el Usuario mantenga una relación laboral con SESVER o hasta que el jefe inmediato del usuario solicite la cancelación de esta.
  • La falta de uso de la Cuenta de Dominio de acceso a la Red Local de SESVER por un período de 90 días naturales consecutivos será motivo de suspensión de esta.
  • El Usuario deberá notificar al Departamento de Tecnologías de la Información de manera fehaciente e inmediata cualquier uso no autorizado de su Cuenta de Dominio para el acceso a la Red Local de SESVER, para la evaluación del impacto del uso no autorizado y tomar las medidas necesarias para la solución del incidente.
  • El uso de la Cuenta de Dominio para el acceso a la Red Local de SESVER es ininterrumpido, sin embargo, El Departamento de Tecnologías de la Información se reserva el derecho a suspenderlo por razones de mantenimiento a instalaciones y equipos, desastres naturales, falta de corriente eléctrica, razones administrativas o causas de fuerza mayor. Se notificará a los Usuarios de las Cuentas de Dominio para el acceso a la Red Local de SESVER de la interrupción del servicio cuando se trate de eventos controlados.
La contraseña debe cumplir con los siguientes requisitos mínimos:
  • No contener el nombre de la cuenta de usuario parte del nombre completo del usuario en más de dos caracteres consecutivos.
  • Tener una longitud mínima de seis caracteres.
  • Incluir caracteres de tres de las siguientes categorías:
    • Mayúsculas (de la A a la Z)
    • Minúsculas (de la a a la z)
    • Dígitos de base 10 (del 0 al 9)
    • Caracteres no alfanuméricos (por ejemplo. !, $. #, %)

Estos requisitos de complejidad se exigen al cambiar o crear contraseñas.

CONSULTAR LA INFOGRAFÍA








REDES Y TELECOMUNICACIONES

Manual de buenas prácticas para el uso del correo electrónico
1.INTRODUCCIÓN Un uso inadecuado del correo electrónico puede llegar a consumir una parte excesiva de los recursos disponibles (tanto nuestros como de los servidores corporativos que nos prestan el servicio), causándonos problemas a nosotros mismos y al resto de Abogados que tengan su correo electrónico alojado en la Infraestructura Tecnológica de la Abogacía. 2. ¿CÓMO HACER UN USO ADECUADO DEL CORREO ELECTRÓNICO?
  • Consultar periódicamente la cuenta Los correos que nos envían a nuestra cuenta de correo serán almacenados por el servidor en nuestro buzón hasta que el usuario elimine ese mensaje o lo descargue localmente en su ordenador a través de su cliente de correo. En el caso de la Abogacía, el tamaño máximo de este buzón se ha actualizado recientemente a 1GB. Esto significa que si un buzón supera este límite de 1GB, el servidor de correo ante la imposibilidad de almacenar el mensaje, lo devolverá al remitente indicándole este inconveniente. Por lo tanto, la principal tarea a la hora de gestionar una cuenta de email es descargar o eliminar el correo con una periodicidad frecuente, con el fin de evitar que nuestro buzón se llene.
  • Limitar el uso del Webmail Webmail es un servicio que nos permite utilizar el correo electrónico a través de una web, es decir, sin necesidad de descargar el correo electrónico localmente. Si bien su uso es muy útil como complemento al gestor de correo en aquellas ocasiones (viajes, trabajo en casa, etc.) en las que necesitamos acceder a nuestra cuenta desde un ordenador que no es el habitual, también presenta grandes inconvenientes que hacen que no sea la opción más adecuada para ser usado como único acceso a nuestro correo, siendo el más importante que se alcanza fácilmente el límite de tamaño de nuestro buzón en el servidor. Así pues, debe limitarse su uso, o en caso de utilizarse como método habitual de uso de correo, preocuparse de liberar espacio de forma permanente.
3. RECOMENDACIONES ESPECÍFICAS PARA LA RECEPCIÓN DE CORREOS
  • No acepte documentos ni archivos adjuntos provenientes de direcciones desconocidas o que contengan un asunto u origen poco fiable. Debe prestar atención a correos electrónicos con datos adjuntos sospechosos o susceptibles de contener virus.
  • No asuma que un mensaje es válido porque el nombre del remitente es conocido. Recibimos algunos mensajes que aparecen como provenientes de una persona de su propia libreta de destinatarios que en realidad no es el autor.
  • Utilizar filtros anti-Spam: Aunque el servidor de correo corporativo de la Abogacía cuenta con una de las mejores herramientas anti-spam del mercado, es conveniente tener instalado alguno localmente.
  • No lea los correos spam ni sus adjuntos. El spam o correo basura son los mensajes no deseados que hacen referencia a publicidad, pudiendo además contener virus. Estos mensajes deben eliminarse sin ser leídos para evitar el aumento de la cantidad de correo basura en el buzón, así como la posibilidad de intrusión de virus en el sistema.
  • Analice con su antivirus cualquier documento adjunto antes de abrirlo directamente. Es mucho más seguro extraer previamente el adjunto a un directorio del ordenador y analizarlo con un buen antivirus.
  • No confíe en regalos y promociones de fácil obtención. En ocasiones la infección de su equipo se puede producir al visitar una página Web facilitada en un correo aparentemente inofensivo.
  • Desconfíe de los correos de supuestas entidades bancarias que le solicitan introducir o modificar sus claves de acceso. No es la forma de proceder de las entidades legítimas y probablemente se trate de un intento de fraude. Ante cualquier duda póngase en contacto con su entidad.
  • Trate de disminuir sensiblemente el peso de sus mensajes adjuntos la compresión de los archivos (*.rar, *.zip, etc.) o la utilización de otros medios para enviar imágenes o vídeos son una buena alternativa.
4. RECOMENDACIONES ESPECÍFICAS PARA EL ENVÍO DE CORREOS
  • Incluya un «Asunto» lo más descriptivo posible del contenido del mensaje. Esto facilita la lectura, clasificación y posterior recuperación del correo al destinatario y constituye una norma de cortesía hacia el destinatario.
  • Tenga en cuenta que el uso de mayúsculas en Internet sugiere emociones fuertes. Evite emplear mayúsculas en el cuerpo de texto de sus correos, pues implica GRITAR. En la medida de lo posible, enfatice con comillas, negrita, uso de colores o subrayados, etc. Si estima que el cuerpo de letra es demasiado pequeño, puede agrandarlo hasta un tamaño que resulte más conveniente, nunca extravagante.
  • No utilice fondos prediseñados o con colores para su mensaje ya que aumentan el tamaño del mismo y pueden provocar problemas de recepción en el destinatario (filtrado por el sistema antivirus-antispam).
  • Evite imágenes o información innecesaria en su pie de firma de correo, intentando resultar lo más esquemático posible.
  • No facilite datos personales o financieros a personas desconocidas.
  • No responda al correo no solicitado (spam) pues aumenta la cantidad de correo basura ya que indica al remitente que la cuenta es leída.
  • Procure eliminar mensajes masivos innecesarios (felicitaciones, chistes, correos piramidales, etc.) a través de servidores destinados al trabajo.
  • Evite participar en el reenvío de correo no solicitado (cadenas de mensajes, rumores, publicidad, etc.). Recuerde que los correos legítimos provenientes de casas comerciales y centros de alerta tienen como norma redirigir a servidores Web donde dan información de forma fiable y detallan las acciones a realizar.
  • No active por defecto funcionalidades como el «aviso de lectura», su eficacia es escasa cuando lo utilizamos de manera indiscriminada o continuada, y puede llegar a molestar al remitente. Se debe activar sólo en los casos en los que sea estrictamente necesario.
  • Respete la privacidad de sus destinatarios de envíos múltiples, añadiéndolos siempre en copia oculta (CCO) y poniendo su propia dirección en el campo “Para”. De esta forma evita: a. Que los destinatarios de su mensaje puedan ver y hacer uso de todas las direcciones de email a quienes Ud. remite su mensaje. b. Que todos sus destinatarios reciban todas las respuestas. Si alguien decide “Responder a todos”, todas las direcciones en los campos “Para” o “CC” recibirán la respuesta, inundando su buzón de correos no deseados o de remitentes desconocidos para ellos.
CONSULTAR LA INFOGRAFÍA

[1]Definidas en la norma ISO 27001:2013, publicado como estándar internacional por International Organization for Standardization y por la comisión International Electrotechnical Commission.