jueves, octubre 9, 2025
Lo último:
Sistemas Informáticos 

Lineamientos sobre la política de seguridad informática.

COVEICYDET

ÁREA DE SISTEMAS

Dada la naturaleza crítica de la información gubernamental (confidencialidad, integridad y disponibilidad), estas políticas suelen basarse en estándares internacionales como la ISO/IEC 27001 o marcos como el del NIST (National Institute of Standards and Technology).

1. Políticas de Gestión de Activos IT

Se centran en la protección de los recursos de información y tecnológicos.

  • Inventario y Clasificación de Activos: Obligatoriedad de identificar, inventariar y clasificar toda la información y los activos tecnológicos (servidores, bases de datos, aplicaciones, etc.) según su sensibilidad (Pública, Interna, Confidencial, Secreta).
  • Etiquetado y Manipulación de Información: Directrices sobre cómo se debe manejar, almacenar y transferir la información según su clasificación.
  • Eliminación Segura de Activos: Procedimientos para el borrado seguro y la destrucción de datos y equipos al final de su vida útil.

El control de inventario de los activos IT del áre de Sistemas se lleva a cabo en el módulo de “IT-Storage”, en el cual se describen los diferentes activos, tanto equipos, refacciones y consumibles.

Y tenemos claramente identificados los accesos privilegiados a las áreas sensibles de los sistemas informáticos.

2. Políticas de Control de Acceso a Plataformas

Regulan quién puede acceder a qué información y recursos.

  • Control de Acceso Lógico:
    • Gestión de Usuarios y Privilegios: Asignación de acceso basada en el principio de “mínimo privilegio” (solo lo necesario para la función).
    • Política de Contraseñas: Requisitos de complejidad, longitud, unicidad y manejo seguro de contraseñas. Se recomienda evitar el cambio periódico forzado a menos que haya sospecha de compromiso.
    • Autenticación Multifactor (MFA): Requerimiento del uso de MFA para accesos sensibles o remotos (ej. VPN).
  • Control de Acceso Físico: Restricción del acceso a áreas sensibles (ej. centros de datos, cuartos de servidores) solo a personal autorizado y mediante mecanismos de control (tarjetas, biometría, registro de visitantes).

En el área de sistemas de Coveicydet contamos con un módulo para gestionar las cuentas de usuarios de las diferentes plataformas de software:

Y tenemos claramente identificados los accesos privilegiados a las áreas sensibles de los sistemas informáticos.

3. Políticas de Criptografía y Comunicaciones

Aseguran la protección de la información en reposo y en tránsito.

  • Uso de Controles Criptográficos: Directrices sobre cuándo y cómo usar el cifrado para proteger datos sensibles (ej. cifrado de discos duros, cifrado de datos personales).
  • Seguridad de Redes y Servicios: Establecimiento de configuraciones seguras para firewalls, redes (segmentación), y el uso de Redes Privadas Virtuales (VPN) para el acceso remoto seguro.
  • Seguridad del Correo Electrónico: Reglas para la transferencia segura de información y prevención de phishing (ej. no abrir archivos adjuntos o enlaces de remitentes desconocidos).

Contamos con certificados de seguridad SSL en nuestras plataformas para exponer nuestros sistemas de forma segura a todos nuestros usuarios externos al consejo y visitantes.

https://ciencia.coveicydet.gob.mx

https://coveicydetsysdev.ddns.net

4. Políticas de Adquisición, Desarrollo y Mantenimiento de Sistemas

Integran la seguridad en el ciclo de vida de los sistemas de información.

  • Seguridad en el Desarrollo: Implementar el concepto de “Seguridad desde el Diseño” (Security by Design) para garantizar que las aplicaciones nuevas o modificadas cumplan con los requisitos de seguridad desde su concepción.
  • Gestión de Vulnerabilidades: Establecer un proceso continuo de identificación, evaluación y mitigación de vulnerabilidades en software y hardware.
  • Control de Cambios: Un procedimiento formal para evaluar el impacto de seguridad de cualquier cambio en los sistemas productivos antes de su implementación.

Desarrollamos bajo la metodologia SCRUM nuestras paltaformas.

5. Políticas de Gestión de Incidentes y Continuidad del Negocio

Definen la respuesta ante eventos adversos y la recuperación de operaciones.

  • Gestión de Incidentes de Seguridad: Establece un equipo y un procedimiento claro para detectar, reportar, analizar, responder y aprender de los incidentes de ciberseguridad (ej. ataques, fugas de datos).
  • Política de Backups (Copias de Respaldo): Definición de la frecuencia, el alcance (qué respaldar), el almacenamiento seguro y las pruebas periódicas de las copias de respaldo para garantizar la recuperación.
  • Plan de Continuidad de Negocio (PCN) y Plan de Recuperación ante Desastres (DRP): Documentos que aseguran que los procesos críticos de la entidad puedan reanudarse en un tiempo aceptable después de un desastre o un incidente mayor.
  • Almacenamiento digital de las plataformas y datos: Nuestras diversas plataformas se encuentran virtualizadas en VM estandar, así como los datos de las mismas, permitiendo su respaldo continuo.
  • Tiempo de Activación en caso de siniestros e incidentes: Nuestro tiempo de respuesta ante un incidente de vulnerabilidad, secuestro de servidores, falla electríca o de software, es de 10 minutos. Debido a que tenemos los sistemas virualizados, tenemos un Servidor en modo reposo que será activado de inmediato con los respaldos de las VM , lo que nos permite dar continuidad de operación casi instantanea.