SEGURIDAD DE LA INFORMACIÓN

Te damos la más cordial bienvenida al curso de capacitación Seguridad de la Información.

El presente curso está diseñado de forma sencilla, amigable y de manera que el uso sea intuitivo,
pero sobre todo, que cumpla con el objetivo de aprendizaje establecido por la SADER.
Te invitamos a iniciar el recorrido con mucho entusiasmo y con el compromiso de aplicar en todos
los ámbitos de tu vida, el aprendizaje adquirido.

Solicitamos tu apoyo para poner mucha atención en este curso.

Estamos seguros que la información que aquí encontrarás y el conocimiento que desarrollarás, será
de gran utilidad dentro y fuera de la Secretaría.

OBJETIVOS
1. Sensibilizar acerca de los riesgos que existen respecto a las medidas de seguridad adecuadas para
el resguardo de la información.
2. Difundir el uso de las mejores prácticas y conductas responsables dentro de la Secretaría, a fin de
asegurar la información que se encuentra y desarrolla dentro de ésta.

INTRODUCCIÓN

¿QUÉ SON LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN?

Por definición las Tecnologías de la información y la comunicación, también conocidas como TIC, se
refieren a:
“La convergencia o relación tecnológica de la computación, la microelectrónica y las
telecomunicaciones para producir información en grandes volúmenes, así como para consultarla y
transmitirla a través de enormes distancias.”
Recuerda conceptos importantes como:
a) Producir información
b) Consultar información
c) Transmitir información
En la actualidad se vive en un mundo tecnificado, es decir, rodeado de Tecnologías de la
información y la comunicación, como celulares, tabletas, laptops, computadoras, etc.
A través de las Tecnologías de la información y la comunicación son posibles las siguientes
actividades: 

Como puedes ver son varias las formas de estar en contacto con las TIC.
Nota, TIC es la manera en la que se hará referencia en este curso a las Tecnologías de la
Información y la Comunicación a partir de este momento.
Ahora bien, son muchas las formas de estar en contacto, también son muchos los riesgos que
existen por su inadecuada utilización. 

Veamos el siguiente caso:

A una persona le habla un desconocido por teléfono y le pide los siguientes datos:
o Nombre completo,
o Fecha de nacimiento,
o Dirección postal,
o Correo electrónico,
o Lugar de nacimiento.
Existen grandes posibilidades de que la persona se oponga a proporcionar esa información, incluso
podría cuestionar el por qué se la solicitan o simplemente colgaría el teléfono sin mayor
explicación. 

¿Por qué una misma persona proporciona información vía internet y no vía telefónica si ambos son
medios de comunicación?
Una respuesta sencilla puede ser:
Porque no se comprende claramente el uso e implicaciones de la tecnología.
Podríamos decir entonces que esta persona no cuenta con la comprensión de las formas en las que
puede ser utilizada la tecnología, y por tanto, prevenir abusos o fraudes en muchos de los casos.
Hasta este momento ya conoces un poco acerca de:
1.- Qué son las tecnologías de la información y comunicación, también llamadas TIC.
2.- Cuáles son las TIC más comunes, por ejemplo: computadores y teléfonos celulares.
3.- Qué puede suceder si no se comprende claramente el uso e implicaciones de la tecnología.
¡Continúa para conocer más sobre este tema!

1. SEGURIDAD DE LA INFORMACIÓN
INTERNACIONAL
Usuarios de internet
En la actualidad, a nivel nacional existen más de 3 mil millones de usuarios de internet, de los
cuales, tan sólo en México se concentran más de 500 millones, es decir, más de 500 veces la
capacidad del Estadio Azteca.
Usuarios de internet u cibercrímen
A simple viste los siguientes números parece no tener relevancia, sin embargo…
1.- ¿Sabías que a nivel internacional Facebook cuenta con más de 1,400 millones de usuarios?
¡Y este número crece día con día!
2. ¿Sabías que el número de usuarios de internet puede ser igual al número de amenazas que existen
para cometer algún delito a cada usuario disponible en la red, es decir en internet?
¿Veamos por qué?
Cibercrímen
Actualmente, con frecuencia se habla de crímenes como secuestros, robo en la vía pública, en
centros comerciales, etc.
También cada vez es más frecuente ser víctima directa o indirecta de fraudes o extorsión a través del
uso de las TIC.
TIC son las tecnologías de la información y la comunicación.
Te ha pasado o sabes de personas que:
• Les hacen cargos en sus tarjetas de crédito de compras no realizadas.
• Les ofrecen premios con sólo facilitar algunos datos.
• Les piden contestar encuestas vía telefónica o reenviar algún mensaje a cambio de un premio.
Los ejemplos anteriores se refieren a cibercrímenes, no siempre tienen como objetivo principal un
beneficio económico, sino también:
• Ataques con fines políticos
• Implementar programas informáticos maliciosos
• Realizar actividades de espionaje, entre otros.
 

Cibercrímenes alrededor del mundo

Ataque contra el gobierno de Estados Unidos de América
¿Qué sucedió? Atacaron el servidor de correo electrónico de un área de su gobierno, lo que afectó a
más de 4,000 usuarios.
¿Cuándo sucedió? En el mes de agosto de 2015.
Nota
Es de destacar que, éste no ha sido el único ataque que ha recibido el gobierno de este país ya que en
2014 también fueron afectados el Pentágono y la Casa Blanca.
¿Qué sucede en otros países?
Los cibercrímenes suceden en todo el mundo y en todos los sectores de cada país, por ejemplo, a
través de una encuesta aplicada por la Organización de Estados Americanos-OEA- se obtuvo la
siguiente información de los países que lo conforman.
Como puedes ver, no hay un área que se encuentre libre de amenazas o ajena a ciberataques, los
cuales, no sólo afectan a la privacidad de las personas, sino que pueden poner en riesgo la estructura
crítica de un país y su capacidad de proveer servicios básicos a sus ciudadanos.
Ejemplos de ciberataques a nivel internacional en los últimos 5 años a
diferentes sectores.
• Octubre 2010
Los equipos de cómputo de la planta nuclear de Natanz en Irán son atacados por el virus
denominado Stuxnet, lo que se considera un atentado focalizado a la infraestructura crítica del país.
• Noviembre 2010
En apoyo a la organización Wikileaks, el colectivo Anonymous ataca las redes de PayPal, Visa y
Mastercard.
• Enero 2011
Canadá recibió ataques en varias entidades de su sector gubernamental, entre ellas el Departamento
de Defensa.
• Junio 2011
El Departamento de Defensa de Estados Unidos de América sufre el robo de 24 mil archivos sobre
un contratista del ejército.
• Octubre 2012
Se llevó un gran robo de información a embajadas, instalaciones militares, grandes corporativos e
instalaciones energéticas a nivel internacional, dicho ciberataque se conoció como “Octubre Rojo”.
• Marzo 2013
Compañías financieras de Corea del Sur sufren robo de información y se sospecha de Corea del
Norte como responsable.
• Agosto 2014
El primer ministro rudo Dmitri Medvédev sufre el robo de su cuenta de Twitter donde se publica su
dimisión.
• Noviembre 2014
La empresa Sony sufre otro ciberataque perpetrado por el grupo “Guardianes de la Paz”, esto como
una forma de amenaza si se estrenaba la película “La entrevista” que hace una dura crítica al
presidente norcoreano Kin Jongun.
Como puedes ver, a nivel internacional, ningún sector ya sea público o privado, está fuera del
alcance de los cibercriminales.
Y aunque los ejemplos que hemos visto hasta este momento no afectan de forma directa a una
persona común y corriente que trabaja en la oficina de alguna empresa u organización, sus efectos sí
llegan a impactarle.

2. SEGURIDAD DE LA INFORMACIÓN NACIONAL

LA SEGURIDAD DE LA INFORMACIÓN EN MÉXICO
En México, las TIC, es decir, las tecnologías de la información y la comunicación, se han convertido
en recursos de uso cada vez más frecuente por su impacto innovador y las ventajas que representa
para facilitar algunas tareas de la vida cotidiana.
Sin embargo, como en todo proceso de mejora, si no se llevan a cabo determinadas tareas o acciones
por parte de los actores principales, los resultados pueden ser contrarios a los esperados. 

En el Plan Nacional de Desarrollo 2013-2018, se considera que el uso de las tecnologías de la

información y la comunicación, ha facilitado la comunicación y coordinación de esfuerzos, y
muestran un camino irreversible hacia una renovación, entre la ciudadanía y el gobierno que deberá
caracterizarse por la eficacia, la eficiencia y la transparencia.
Por lo anterior, entre los objetivos, estrategias y líneas de acción se busca llevar a cabo acciones para
fortalecer la inteligencia del Estado Mexicano para identificar, prevenir y contrarrestar riesgos y
amenazas a la Seguridad Nacional. 
México, el país con mayor número de usuarios de redes sociales en el mundo.Como ya lo
comentamos, en México se concentran más de 50 millones de usuarios de internet, es decir, que
más del 50% de la población total del país cuenta con acceso a internet.
Información segura:
En la actualidad, lograr el adecuado resguardo de la información se ha convertido en un tema de
gran importancia y cada día toma mayor relevancia, ya que, de no hacerlo correctamente, se pueden
poner en riesgo, no sólo datos, sino la seguridad de nuestra propia persona. 

Cibercrímenes en México
Ejemplos:
Algunas estadística a nivel internacional señalan que México se encuentra entre los países más
afectados por el cibercrímen, a continuación te presentaremos algunos ejemplos. 
 2012                      
Robo de base de datos del Instituto Federal Electoral, hoy Instituto Nacional Electoral: dicha base
de datos contenía información sensible de la población como la dirección de domicilio.
 2013              
La página web de la Secretaría de la Defensa Nacional-SEDENA- fue atacada por el colectivo
Anonymous Hispano, quien aseguró haber modificado el contenido del portal del ejército, además
de haber robado por completo toda su información.
 2014
La tienda departamental Liverpool fue atacada por un intruso que se robó la cartera de clientes. Se
calcula que arreglar este incidente costó cerca de 16 millones de pesos.
 2015
a) El banco Banorte fue atacado por un intruso quien cometió el robo de datos sensibles de los
clientes. 
b) La firma italiana Hacking Team, empresa que ofrece servicios de seguridad informática y quien
vendió equipo y programas a gobiernos estatales y agencias de seguridad mexicanos fue hackeada,
entre los afectados se encuentran los estados de Durango, Querétaro, Puebla, Campeche,
Tamaulipas, Yucatán, Baja California.
Existen otros ejemplos en el ámbito gubernamental donde algunas entidades han sido víctimas de
hackeos, por ejemplo:
 Cámara de Diputados
 Secretaría de Economía
 Presidencia
 PGR
 SEDENA
 Entre otras.

Como puedes ver, en México, ni las instituciones públicas y privadas, así como población en general,
están exentas de recibir ataques por parte de cibercriminales.

3. SEGURIDAD DE LA INFORMACIÓN EN EL
HOGAR
En México, los hogares representan el sitio de acceso a internet más frecuentado en el país, por lo
cual, es importantes poner especial énfasis en los temas de seguridad de la información en los
mismos.

Los dispositivos mediante los cuales las personas tienen acceso a internet pueden ser diversos, tales
como:
 Computadora
 Tabletas
 Teléfonos celulares
 Video juegos
 Entre otros.
Cada uno de estos dispositivos tiene el  mismo riesgo de ser utilizado como medio para un delito
cibernético como el robo de identidad.
Amenazas relacionadas con la seguridad de la información en el hogar.
Existen distintas amenazas relacionadas con la seguridad de la información en el hogar, en esta
unidad abordaremos dos de las principales que son:

 Grooming
 Robo de identidad

3.1 GROOMING
Es la acción razonada de un adulto de acosar a un niño o niña mediante el uso de internet.
La principal amenaza está dirigida a los niños entre 6 y 12 años que representan el 42% de los
usuarios.
Esta población se encuentra en riesgo constante de caer en redes de pedófilos que buscan contactar
a infantes y adolescentes, mediante el uso del anonimato que ofrece navegar por internet, a esto se
le conoce como Grooming. 

El grooming siempre se lleva a cabo por un adulto y existe de dos tipos, veamos cuáles son.
1. Se lleva a cabo cuando no se genera una relación de confianza entre los involucrados. Sin
embargo, el acosador obtiene fotos o videos a través de hackeos y chantaje al infante para obtener
más material.

 2.- Se da cuando hay una relación de confianza en los infantes. En este caso, el niño o la niña
entrega el material al adulto de manera voluntaria. La relación de confianza se puede dar en dos
situaciones:
a) En primer lugar, el adulto crea un perfil falso
b) En segundo lugar, el adulto sabe manipular al niño mediante charlas que simulen       
comprenderlo. 
Fases del Grooming

Datos estadísticos
Algunos datos estadísticos relacionados con el grooming son: 
 20% de los niños y niñas es abordado sexualmente en internet.
 40% de los menores que usan internet son contactados por un pedófilo.
 1 de cada 7 menores ha recibido solicitudes sexuales.

4. SEGURIDAD DE LA INFORMACIÓN EN EL TRABAJO

“las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero
porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente usa y
administra los ordenadores”
-Kevin Mitnick- 

Como menciona Kevin Mitnick, uno de los hackers más famosos a nivel internacional, de poco o nada sirve la
inversión en programas y dispositivos de seguridad, si no se considera al eslabón más débil de la cadena de
seguridad, que son los usuarios de las computadoras de las TIC en general.
¡Veamos por qué!
En la actualidad, con los avances de la tecnología y la globalización de los mercados laborales, se ha impulsado
el uso de la conectividad, es decir, del uso del internet en las empresas e instituciones.

Mecanismos para el robo de la información 

Como ya vimos en el tema La seguridad de la información en el hogar, existen diferentes mecanismos o formas
para realizar el robo de identidad, sin embargo estos mecanismos , entre otros, son empleados para extraer
información de cada lugar de trabajo, entre los principales se encuentran los siguientes:

 
Así como son varias las causas que pueden provocar la extracción de información, también existen varias
medidas que se deben tomar para prevenir o corregir estas situaciones, las cuales te presentaremos en las
siguientes unidades.
A continuación te presentaremos algunos de los incidentes que han ocurrido en relación con la Seguridad de la
información en el trabajo.

2015:
El ataque cibernético a la firma italiana de cibervigilancia “Hacking Team” que liberó más de 400 GB de datos y
documentos privados de sus clientes. Este hecho provocó que dicha empresa se reconociera en “modo de
emergencia total” y perdiera a todos sus clientes.

2014
En análisis, Tendencias de Ciberseguridad en América Latina y el Caribe, señala que durante este año, en
México aumentó 300% el número de incidentes cibernéticos detectados, con relación al 2013.

2013
Los países más afectados de América Latina por el cibercrímen y ciberespionaje fueron:
1.- Brasil con un impacto económico de 8 mil millones de dólares
2.- México con 3 mil millones de dólares
3.- Colombia con 464 millones de dólares  
2012
La revista Forbes señaló que el espionaje industrial representó pérdidas anuales de hasta 70 mil millones de
dólares, los países más afectados son:
a) Estados Unidos
b) China
c) Rusia
d) Alemania
e) Francia
f) Reino Unido
g) Italia

2011-2012
El informe global sobre Fraude reportó que 26% de las empresas mexicanas resultaron afectadas por el robo de
información o ataques informáticos, con lo cual, dichas empresas se ubican en el mismo lugar a las
estadounidenses y rusas.

2011
Se registraron al menos 35 millones de casos de ciberespionaje en México, con lo cual este delito se ubica como
el principal a nivel informático.
Como viste en este tema, es muy importante que los usuarios finales de las TIC hagan uso correcto de sus
herramientas de trabajo.Sobre todo, las relacionadas con la conectividad, es decir, con el uso de internet.
A fin de salvaguardar la información que pueda poner en riesgo a los centros de trabajo en los que se
colabora.Con este tema damos por terminado la unidad 1.

INTRODUCCIÓN
Te damos la más cordial bienvenida a la unidad 2 llamada “Conceptualización” ¿Qué es la seguridad
de la información?
En la unidad 1 ¿Por qué hablar de seguridad de la información? Se dio una breve introducción
acerca de ¿qué son las Tecnologías de la Información y la Comunicación?, es decir, las TIC.
También se abordaron algunos acontecimientos que se han presentado debido al inadecuado uso de
las TIC en el ámbito internacional, nacional, en el hogar y el trabajo.
Sin embargo, para poder profundizar acerca de las medidas o acciones que permitan evitar poner en
riesgo tu información, es necesario comprender algunos conceptos, así como tener el conocimiento
de algunas herramientas con las que trabajas día a día.
Por lo anterior, en la presente unidad se definirán los conceptos básicos necesarios, para
comprender los temas referentes a la seguridad de la información.
También se abordarán los riesgos y amenazas que representa el uso de tecnologías en general como
las redes sociales, el teléfono celular, la computadora, etc.

1. CONCEPTOS
¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?
La palabra seguridad, en cualquier contexto hace referencia a la ausencia o baja probabilidad de sufrir una
agresión.
En el contexto de las TIC, la seguridad implica que la información que se gestiona mediante ellas, no corra
ningún riesgo de infiltraciones, es decir, que la información se encuentra íntegra, segura y disponible que existe
un ambiente seguro para resguardo de la Seguridad de la Información.
Pero… ¿Qué se entiende por Seguridad de la Información?

Base normativa de la Seguridad de la Información en SADER

Dentro de la Normatividad a la que están alineadas las acciones encaminadas a la seguridad de la información
dentro de la Secretaría, se pueden ubicar dos definiciones que se apegan a normatividades externas, éstas son:

ISO27000: Se refiere a una familia con injerencia internacional, que contiene normas sobre la Seguridad de
la Información. Es la preservación de la confidencialidad, integridad y disponibilidad de la información.

MAAGTICSI, que se refiere a un “Manual Administrativo de Aplicación General en materia de Tecnologías de

la Información y Comunicaciones y Seguridad de la Información”. Es la capacidad de preservar
confidencialidad, integridad y disponibilidad de la información, así como la autenticidad, confiabilidad,
trazabilidad y no repudio de la misma.

En la unidad 4 podrás conocer con mayor detalle cada una de las normatividades que se mencionaron
previamente.
Características principales de la seguridad de la información
Como puedes ver el común denominador en las normas que se presentaron previamente, obedece a la
preservación de tres características principales de la seguridad de la información, éstas son:

Estas 3 características son los principios rectores de la protección de la información dentro de la dependencia.
Tanto el ISO 27000 como el MAAGTICSI, forma parte de la normatividad en la que se fundamenten las
Políticas de Seguridad de la Información del Gobierno Federal y por lo tanto de la Secretaría, las cuales están
encaminadas a asegurar el eficiente cumplimiento de los objetivos de la SADER.
Por lo tanto, es importante que las medidas encaminadas al resguardo de la seguridad de la información
formen parte de la cultura organizacional de la Secretaría.

1.1. PRINCIPIOS RECTORES DE LA PROTECCIÓN

DE LA INFORMACIÓN
Ya hablamos acerca de los tres principios rectores de la protección de la información, pero veamos a
que se refiere cada uno. 

Confidencialidad: Esto se refiere a la garantía de que la información no será revelada por

individuos, programas o procesos no autorizados.
Integridad: Esto se refiere a que la información debe ser exacta, completa y protegida de
modificaciones no autorizadas o inesperadas.
Disponibilidad: Esto se refiere a que la información, los sistemas y los recursos deben estar
disponibles a los usuarios autorizados en forma oportuna.

1.2. CLASIFICACIÓN DE LA INFORMACIÓN

Ahora bien, para un adecuado manejo y administración de la información, de conformidad con el
Manual Administrativo de Aplicación General en Materias de TIC y de Seguridad de la Información,
realizado por SADER, ésta se clasifica bajo el siguiente esquema:
1.3. EL CICLO DE VIDA DE LA INFORMACIÓN
Uno de los activos más importantes para la Secretaría y las personas en general es la información,
por lo tanto es importante identificar cuál es la ruta o ciclo que pueden presentar ésta desde su
creación hasta su posible destrucción.

Se debe destacar que toda la información debe pasar por todas las etapas, por ejemplo no toda la
información se debe destruir.
No necesariamente el ciclo de vida de la información es lineal, es decir, se puede transitar de una
fase a otra, sin pasar por todas e incluso hay fases que se pueden llegar a repetir.

1.4. INFORMACIÓN EN LA NUBE

En la actualidad, una forma muy común de almacenar información es a través del servicio de “la
nube”.
La nube, es un servidor remoto a través del cual tienes acceso a tu información desde cualquier
lugar y prácticamente con cualquier dispositivo con acceso a la web.
Esta forma de almacenamiento se conoce también como Cloud Computing y permite el acceso
instantáneo a todos los datos almacenados, sin importar el lugar o el dispositivo en que se acceda.

1.5. CONCEPTO DE CONFIDENCIALIDAD EN LA

RED
La confidencialidad se puede definir como la cualidad que posee cierta información de mantenerse
reservada para el conocimiento de una persona, organización o entidad y que no debe estar
expuesta en forma masiva. 

¿Qué es confidencialidad?
Para lograr la confidencialidad es necesario distinguir entre:
Las personas que pueden tener acceso a la información.
Las personas que no pueden tener acceso a la información.
De tal forma que realmente se pueda garantizar que la información se encuentra protegida y sin
posibilidad de que alguien desconocido tenga acceso a ella.
Definir que algo es confidencial, se puede basar en:
Normas legales,
Normas morales,
Reglamentos internos. 
¿Qué puede poner en riesgo la confidencialidad?
Algunas de las situaciones que pueden poner en riesgos la confidencialidad. 

1. Uso de aplicaciones no autorizadas: El uso de aplicaciones no autorizadas dentro de la

dependencia puede poner en riesgo la información confidencial y la información personal de los
usuarios.
2. Uso indebido de computadoras: Puede haber casos de servidores públicos que se
encargan de alterar las configuraciones de seguridad de las computadoras y compartir dispositivos
laborales e información confidencial con personas ajenas a la dependencia.
Por ejemplo, servidores que vulneran las configuraciones de los equipos de cómputo para:
Descargar música,
Comprar en línea,
Acceder a juegos,
Ver pornografía en línea.
3. Acceso no autorizado: Se pueden dar situaciones en las que se permite que personas
desconocidas ingresen sin supervisión a la dependencia y transiten libremente.
4. Colaboradores remotos: Contar con servidores públicos o prestadores de servicios que
desarrollen actividades de manera remota aumentan el riesgo de la confidencialidad de la
información.
Por ejemplo:
• Transferir archivos de un dispositivo laboral a una computadora personal que no esté protegida
con los estándares de la Secretaría.
• Usar medios de comunicación personales que no sean tan seguros como medios de comunicación
de la institución.
• Hablar sobre temas confidenciales de la SADER en lugares públicos.
• No tomar medidas de privacidad en un equipo portátil al trabajar en un lugar público.
• No proteger debidamente los dispositivos de almacenamiento portátil que pueden perderse o ser
robados.
5. Prácticas inadecuadas:Existen prácticas comunes que provocan amenazas o permiten que
atacantes cometan algún ilícito como el robo de información.
Por ejemplo:
• Mantener la computadora desbloqueada y con sesiones activas al alejarse del escritorio.
• Almacenar datos de inicio de sesión y contraseñas en la computadora.
• Anotar contraseñas en papeles que se dejan en el escritorio, en algún cajón sin llave o en notas
pegadas en la computadora.

1.6. PROPIEDAD INTELECTUAL

La Propiedad intelectual hace referencia al reconocimiento del derecho de propiedad de un autor
sobre sus obras o creaciones intelectuales.

En nuestro país se cuenta con la Ley Federal de Derecho de autor, la cual entre otras obras se
encarga de vigilar las referentes a:
• Los Programas de Computación
• Las Bases de Datos
En cuanto a los programas de computación, vigila:
• La reproducción permanente o provisional del programa.
• La traducción, la adaptación, el arreglo o modificación de un programa y la reproducción del
programa resultante.
• La distribución del programa.
• La decompilación, los procesos para revertir la ingeniería de un programa de computación.

En cuanto a las bases de datos, vigila:

• Su reproducción permanente o temporal, total o parcial, por cualquier medio y de cualquier forma.
• Su traducción, adaptación, reordenación y cualquier otra modificación.
• La distribución del original o copias de la base de datos.
• La comunicación al público.
• La reproducción, distribución o comunicación pública de los resultados de sus operaciones. 
1.7. CONCEPTO DE ACTIVOS DE TIC
En el ámbito contable, el concepto de Activo, hace referencia a los bienes y derechos de las
organizaciones o empresas.
Activo relacionado a las TIC y la seguridad de la información dentro de la SADER, se refiere a:
“Los aplicativos de cómputo, bienes informáticos, soluciones tecnológicas, componentes, bases de
datos o archivos electrónicos y su información”. 

Los activos que se incluyen dentro de la dependencia contienen:

• Hardware
• Software
• Red
• Personas
• Infraestructura
• Documentos electrónicos y físicos

Cada uno de los Activos se clasifican dentro de rubros llamados capas, los cuales son:
• Física
• Red/Telecomunicaciones
• Plataformas/base de datos
• Aplicaciones
• Información/Documentos
• Gente
• Intangibles
1.8. CONCEPTO DE AMENAZA
Una Amenaza define a cualquier posible acto que pueda causar algún tipo de daño a los activos de
información de la institución.
Las amenazas pueden ser:
• Humanas
• No Humanas 

Amenazas humanas:

Errores de utilización ocurridos durante la recogida y transmisión de datos.

Errores de diseño existentes desde los procesos de desarrollo del software.
Errores de ruta, secuencia o entrega de la información durante el tránsito.
Errores de monitorización, trazabilidad o registros del tráfico de información.
Amenazas no humanas:

Accidente físico de origen industrial, incendios, explosiones, inundaciones, contaminación.

Averías que pueden ser de origen físico o lógico.
Accidente físico de origen natural, fenómeno sísmico o volcánico.
 Interrupción de servicios o de suministros esenciales.
Accidentes mecánicos o electromagnéticos.
Como poder ver, las amenazas a la seguridad de la información no sólo están relacionadas con los
cibercrímenes o delitos informáticos.
También existe la posibilidad de que una persona desconozca la mejor forma de salvaguardar la
integridad de la información y se convierta en una amenaza para la misma.

1.9. CONCEPTO DE VULNERABILIDAD

La vulnerabilidad hace referencia a las debilidades en la seguridad de la información dentro de la
dependencia y que potencialmente permiten que una amenaza afecte a los activos de TIC, a la
infraestructura crítica, así como a los activos de información. 

Clasificación de vulnerabilidades 

A. Vulnerabilidad física:
Se refiere a la posibilidad de entrar o acceder físicamente al lugar donde se encuentra el sistema
para robar, modificar o destruir el mismo, esta vulnerabilidad se refiere al control de acceso.Por
ejemplo, el ingreso al edificio de la Secretaría.
B. Vulnerabilidad Natural:
Se refiere al grado en que el sistema puede verse afectado debido a los fenómenos naturales que
causan desastres.
Por ejemplo:
No contar con un espejo del sistema en otro lugar geográfico en caso de inundaciones o terremotos.
No disponer de reguladores, no-breaks, plantas de energía eléctrica alterna.
Tener una mala instalación eléctrica de los equipos, en caso de rayos, fallas eléctricas o picos altos
de potencia.
Contar con instalaciones en mal estado, como puede ser no contar con un adecuado sistema de
ventilación y calefacción para que los equipos mantengan la temperatura adecuada.
Inadecuada impermeabilización en puerta y techos en casos de inundaciones.
C. Vulnerabilidad de Hardware:
Se refiere, por ejemplo, al no verificar las características técnicas y especificaciones de dispositivos,
así como la falta de mantenimiento del equipo.
Por ejemplo:
Adquirir un equipo de mala calidad o hacer un mal uso del mismo.
Mantener el equipo de cómputo expuesto a cargas estáticas.
D. Vulnerabilidad de Software:
Se refiere a fallas o debilidades de los programas del sistema que hacen más fácil el acceso al mismo
y lo hace menos confiable.
Por ejemplo:
Errores de programación en el sistema operativo u otros de aplicaciones que permite atacar al
sistema operativo desde la red.
E. Vulnerabilidad de Red:
Se refiere a la conexión de las computadoras a las redes.
Por ejemplo:
Es posible que un intruso penetre al sistema a través de la red.
Es posible interceptar información que es transmitida desde o hacia el sistema.
F. Vulnerabilidades Humanas:
Se refiere a vulnerabilidades como: 
Contratar personal sin perfil psicológico y ético.
Personal insuficiente para todas las tareas. 
Descuido. 
Cansancio. 
Maltrato del personal, así como la mala comunicación con el personal, malos entendidos. 
Personal irresponsable, que descuida el acceso a su área de trabajo. 
No asegurarse de que las personas que llaman por teléfono son quienes dicen ser.

1.10. CONCEPTO DE RIESGO

Un Riesgo es la posibilidad de que una amenaza concreta pueda detonar una vulnerabilidad para
causar una pérdida o daño en un activo de información. Suele considerarse como una combinación
de la probabilidad de un evento y sus consecuencias.
Riesgos de seguridad de la información
Un riesgo de seguridad de la información es el potencial de que una amenaza explote las
vulnerabilidades de un activo o grupo de activos, causando daño a la organización.
Los factores que se unen para este evento se produzca son: 
La amenaza 
La vulnerabilidad 
En el uso de las TIC, existe un riesgo constante de infección con algún virus o robo de información
personal debido al mal uso de las herramientas. El riesgo puede ser provocado por agentes internos
o externos que están dispuestos a cometer un delito informático. 

¿Qué es un delito informático?

Un delito informático es “cualquier conducta, no ética o no autorizada, que involucre el
procesamiento automático de datos y/o la transmisión de datos”.
La Organización de las Naciones unidas, reconoce como delitos informáticos las siguientes
conductas: 
Fraudes cometidos mediante manipulación de computadoras. 
Falsificaciones informáticas. 
Daños o modificaciones de programas o daños computarizados. 
Reproducción no autorizada de programas informáticos con protección legal. 

Es decir, los delitos informáticos no sólo se cometen a través del uso de internet. Por lo tanto se
evidencia la importancia de cuidar nuestra información a pesar de no usar una conexión a la red.
Un ejemplo de un delito informático sin conexión a internet, es el mal uso de la información o de un
dispositivo, que puede llevar a cabo una personal no autorizada. 

Recuperación de Aprendizaje
1.- Qué es la seguridad de la información y sus principios rectores que son la confidencialidad,
integridad y disponibilidad.
2.- Cuál es la clasificación de la información.
3.- Cuál es el ciclo de vida de la información.
4.- En qué consiste la información en la nube.
5.- Qué son los activos refiriéndonos a las TIC.
6.- Qué es una amenaza, vulnerabilidad y riesgo.
7.- Cómo se lleva a cabo el control de acceso, específicamente en lo referente a seguridad de la
infraestructura en la Secretaría.

INTRODUCCION
En la unidad 2 Conceptualización: ¿Qué es la seguridad de la información? Se abordó la importancia
del conocimiento y uso correcto de las TIC.
Además de los principales conceptos relacionados con la seguridad de la información, que son
fundamentales para disminuir el riesgo de pérdida o robo de información.
Por lo anterior, en esta unidad 3: Manos a la obra, se te explicará en qué hacer y cómo hacer.
Es decir, se explicarán las mejores prácticas y recomendaciones que los usuarios de las TIC deben
adoptar, a fin de mantenerse bajo un esquema de seguridad aceptable.

1. MEJORES PRÁCTICAS
Ahora bien, en la actualidad los problemas con dispositivos electrónicos como las computadoras,
tabletas o celulares, son situaciones a las que los usuarios se enfrentan continuamente.
En muchas ocasiones el usuario no sabe el significado real de la problemática presentada o cómo
resolver la situación.
En estos casos es importante conocer las posibles formas de evitar estas situaciones, así como las
consecuencias que cada uno de estos episodios pueden reflejar en la seguridad de la información.
Entonces, ¿’Qué es lo que primero que debes hacer si detectas una anormalidad en el
funcionamiento de tu dispositivo?
En cuanto detectes actividades fuera de lo normal, es importante consultar o dar aviso a soporte
técnico, para evitar o resolver situaciones de riesgo.

Lo primero que debes hacer es dejar de trabajar en el equipo, incluso si tienes una memoria usb
conectada, deberá permanecer así.
Es importante saber que nunca se debe apagar el equipo, pues con ello se podría perder evidencia
importante.

1.1 PRÁCTICAS DE SEGURIDAD

Las estrategias de seguridad exitosas buscan ayudar al usuario a prevenir y tener cuidado en
aspectos cotidianos que se consideran-en muchas ocasiones-como insignificantes.
Continúa con nosotros para conocer algunas de las estrategias que mencionamos.
I. Realizar actualizaciones: Mantener actualizado el sistema operativo y las aplicaciones. En
este sentido es importante no descargar actualizaciones desde sitios de dudosa desde sitios no
oficiales siempre implica un riesgo, ya que descargar actualizaciones desde sitios no oficiales
siempre implica un riesgo.
II. Deshabilitar Carpetas compartidas: Lo cual evita propagación de códigos
maliciosos.
III. Contraseña Segura: Utilizar contraseñas seguras.
IV. Crear Perfil Seguro: Crear un perfil de usuario con privilegios restringidos para evitar que un
intruso lleve a cabo acciones dañinas para el equipo.
V. Deshabilitar Ejecución Automática: Deshabilitar la ejecución automática de dispositivos
USB, pues constituyen un factor relevante para la propagación de virus.
VI. Visualización de Archivos ocultos: Configurar la visualización de archivos ocultos ya que la
mayoría de los códigos maliciosos se esconden en el sistema con estos atributos.
VII. Visualizar Extensiones de archivos: Para poder identificar las extensiones de los archivos
descargados.

2. USO DE CONTRASEÑAS PARA LA

INTEGRIDAD DE LA INFORMACIÓN
Sin duda alguna, un elemento importante para cuidar la integridad de la información es
mediante el uso de contraseñas seguras, así como prevenir e informarse sobre los
movimientos y consultas que el usuario realiza en sus dispositivos.
Pero entonces ¿Cómo deben ser las contraseñas para ser seguras?

2.1. CREACIÓN Y USO DE CONTRASEÑAS

Cómo se mencionó en la Unidad 2 “Conceptualización”, una contraseña o password es una
combinación de caracteres que pueden incluir letras, números o símbolos.
Esta combinación no es suficiente para ser segura, una combinación de estos elementos
puede ser, por ejemplo:Cómo se mencionó en la Unidad 2 “Conceptualización”, una
contraseña o password es una combinación de caracteres que pueden incluir letras,
números o símbolos. Esta combinación no es suficiente para ser segura, una combinación
de estos elementos puede ser, por ejemplo:
“p-a-l-a-b-r-a”
1-2-3-4-5
Las combinaciones que se enuncian no son seguras, pues podrían ser fácilmente
deducibles.
Contraseñas deducibles
Las contraseñas fácilmente deducibles ponen en riesgo la información de cada usuario.Por
ejemplo, para un criminal profesional dedicado a este tipo de delitos, descubrir una
contraseña de seis caracteres que contengan únicamente números o letras es muy fácil y
rápido.
Sin embargo, para este mismo criminal le resultará más difícil descubrir una contraseña
que contenga una combinación de letras, números y símbolos. 

¿Cómo se debe construir una contraseña para que sea segura?

Para que una contraseña sea segura debe contener cierta complejidad. Generalmente se
aconseja que incluya algunos elementos que podrás conocer a continuación.
Al menos una letra mayúscula.
Al menos una letra minúscula.
Al menos un dígito numérico.
Al menos un símbolo.
Una longitud de al menos 8 posiciones.
No contener el nombre de un usuario, el nombre real o el nombre de la empresa.
Contraseñas seguras:
Una contraseña segura no se indica sólo por el uso de todos los caracteres mencionados,
realmente depende de la longitud o cantidad de posiciones utilizadas.
Un ejemplo de una contraseña robusta puede ser:
¡La Seguridad de la Información debe ser la prioridad número: 1!
¡LaSeguridaddelaInformacióndebeserlaprioridadnúmero:1!
¡La-Seguridad-de-la-Información-debe-ser-la-prioridad-número:1!
Otra opción empleando este mismo enunciado puede ser utilizar las siglas, por ejemplo:
LSIdslpn1!

Puntos a considerar para generar una contraseña

1.- Utilizar diferentes contraseñas para todas las cuentas. Contar con la misma contraseña
para todo sólo facilitaría las cosas al intruso.
2.- Anotar las contraseñas en lugares privados y seguros, de lo contrario puede ser vista
por alguien indeseable.
3.- Cambiar las contraseñas periódicamente.
4.- No almacenar las contraseñas en el navegador o aplicaciones de los dispositivos, pues
los intrusos conocen la ubicación en que se guarda esta información y envían códigos
maliciosos para obtenerla.
5.- Generar siempre contraseñas diferentes y no reutilizar las mismas.
Contraseñas:
Como puedes ver la creación de una contraseña no debe tomarse a la ligera.
Por lo que es necesario considerar medidas de seguridad para evitar la infiltración de
personas no autorizadas a las cuentas y plataformas virtuales que cada usuario posee.
Por lo tanto, te invitamos a reflexionar sobre los aspectos revisados en esta unidad.

2.2. LAS REDES SOCIALES

A partir del uso de las redes sociales, los usuarios se ven expuestos a amenazas
informáticas que pueden atentar contra su información, su dinero o su propia integridad.
Por ello se vuelve necesario estar protegido y contar con medidas de seguridad al
utilizarlas. 

Recomendaciones en el uso de redes sociales

Te invitamos a conocer algunas de las recomendaciones que se deben seguir para cuidar la
seguridad de la información y utilizar las redes sociales con los menores riesgos posibles.

UNO
Para cuidar la seguridad en el uso de redes sociales se recomienda, en primer lugar, tomar
un tiempo en el momento de crear el perfil para evitar posibles fugas de información ante
una mala configuración del sistema. 

DOS
Ser muy cuidadosos al hacer clic en vínculos o sitios web de dudosa reputación. Pues no
siempre se conoce la procedencia de cada uno de los vínculos. Podría tratarse de Phishing.
TRES
Estar consciente de los que se publica acerca del ámbito personal, pues en ocasiones, las
mismas publicaciones dan pistas para deducir contraseñas u obtener información. 

CUATRO
Tener precaución al recibir mensajes solicitando información, aun cuando se trate de algún
amigo o conocido. Ya que los hackers pueden entrar a estas cuentas para enviar los
mensajes. 

CINCO
Evitar que los servicios de redes sociales examinen su libreta de direcciones de correo
electrónico, pues con ello se revelan las direcciones a los sitios. 

SEIS
Ser selectivo a la hora de decidir a quién se acepta como amigo de una red social. Los
ladrones de identidades pueden crear un perfil falso para obtener información del usuario. 

SIETE
Dar like o compartir información sólo en sitios seguros, ya que muchas publicaciones están
diseñadas para recopilar información. Algunas de estas publicaciones son religiosas,
amorosas o de caridad. 
Ejemplo: protección de la información en Facebook
En Facebook se debe evitar que la información esté disponible de forma pública
(publicaciones, imágenes, videos, etc.) Lo ideal es que se muestre la información sólo a los
amigos, y en caso de contar con un número elevado de amigos, se recomienda configurar la
privacidad para mostrar sólo a un grupo de éstos.
Privacidad
En esta opción, el usuario puede configurar:
• ¿Quién puede ver mis cosas?
• ¿Quién puede ponerse en contacto conmigo?
• ¿Quién puede buscarme? 

Biografía y etiquetado
En esta opción, el usuario puede configurar:
• ¿Quién puede agregar contenido a mi biografía?
• ¿Quién puede ver contenido en mi biografía?
• ¿Cómo puedo administrar las etiquetas que otros agregan y las sugerencias de etiquetas? 

Bloqueos
En esta opción, el usuario puede configurar:
• Lista de personas con acceso restringido
• Bloquear usuarios
• Bloquear invitaciones a aplicaciones
• Bloquear las invitaciones a eventos
• Bloquear aplicaciones
• Bloquear páginas. 
2.3. EL CORREO ELECTRÓNICO PERSONAL
El uso de correo electrónico ha tenido un fuerte impulso a partir del incremento de las TIC
en la vida cotidiana de las personas.
Actualmente el correo electrónico no sólo es útil para facilitar la comunicación entre
personas, sino que también se ha vuelto necesario para desarrollar diversos trabajos.
A través del correo electrónico, es posible la comunicación instantánea y gratuita entre
personas de cualquier mundo, con él se puede compartir cualquier tipo de información. 

Amenazas en el uso de correo electrónico

Algunas de las amenazas que existen en el uso de correo electrónico son: los virus,
gusanos, troyanos y demás fauna cibernética conocida como malware, además de ataques
de spam y phishing. 
Minimización de riesgos en el uso de correo electrónico
A continuación te presentamos algunas de las acciones que se deben hacer para minimizar
riesgos en el uso de correo electrónico
UNO
Tener control sobre las personas o instituciones a las que se les de la cuenta de correo
electrónico. 

DOS:
Abrir, responder o dar clic en enlace cuyo remitente sea conocido, de lo contrario puede
tratarse de malware o phishing. 
TRES:
Evitar compartir o reenviar cadenas, pues esto permite la acumulación de direcciones de
correo electrónico y con ello se crea una fuente de direcciones para atacantes. 

CUATRO:
Emplear una contraseña segura y cambiarla periódicamente. 

CINCO:
Cerrar la sesión al finalizar para evitar que cualquier persona infiltrada haga uso de esa
cuenta de correo electrónico. 

SEIS:
Contar con un antivirus para revisar los archivos adjuntos, lo cual permitirá prevenir la
contaminación del equipo. 

SIETE:
Evita contestar correo basura, como pueden ser ofertas, publicidad, premios, etc. Pues con
ello se confirma al atacante que la cuenta está activa. 
OCHO:
En caso de utilizar un equipo ajeno o público, es recomendable eliminar los archivos
temporales, cookies e historial de navegación.
Problemas de seguridad en el uso de correo electrónico.
Los principales problemas de seguridad en el uso de correo electrónico, es el atacante de
correo basura o spam, así como la presencia de phishing.
Para evitar tener problemas de seguridad relacionados con este tipo de seguridad
relacionados con este tipo de correos fraudulentos, es necesario identificarlos. 

1.- Spam
En el caso de spam, es necesario prestar atención a los correos que:
• Informen que el usuario ha ganado algún premio monetario o en especie (computadoras,
celulares, automóviles, entre otros.
• Cuyo remitente-sin razón alguna., esté interesado en otorgar una herencia o cantidad de
dinero. 

2.- De igual forma en caso de spam, es necesario prestar atención a los correos que:•
Soliciten la confirmación de datos bancarios o personales. Pues las instituciones bancarias
no solicitan este tipo de información por medios como el correo electrónico. 

3.- Phishing
En el caso del phising las pistas para identificarlo son:
• Logotipos que parecen distorsionados o estirados
• Mensajes que se refieran al usuario como “Estimado cliente”, “Estimado usuario”, en
lugar del nombre real.
• Mensajes que adviertan que la encuesta se cerrará a menos que se confirme cierta
información. 

4.- Otras pistas para identificar el phishing son:

• Mensajes que informan sobre amenazas a la seguridad y que requieren que actuemos
inmediatamente.
• Mensajes que dan la opción de anular una suscripción que el usuario nunca hizo.

2.4. USO DE DISPOSITIVOS MÓVILES

Como se ha mencionado en las unidades anteriores, el acceso a las TIC se ha incrementado
exponencialmente en los últimos años.
Los dispositivos más comunes al que acceden los usuarios de las TIC, son los móviles; es
decir, las computadoras portátiles, tabletas y sobre todo teléfonos móviles.
Estos dispositivos son usados en ámbitos personales y laborales.
Amenazas de seguridad en los dispositivos móviles
Las amenazas a que se enfrenta un usuario de dispositivos móviles son las mismas que se
han comentado en apartados anteriores, sin embargo, es importante especificar de qué
manera surgen los riesgos.
UNO
La información es vulnerable cuando se envía desde un dispositivo móvil, pues los
proveedores de servicios de internet y telefonía móvil tienen acceso a todos los mensajes de
texto y voz que se envían a través de su red. 
DOS
La información es vulnerable tanto en dispositivos emisores como receptores de
información. 

TRES
Los dispositivos móviles dan información acerca de la ubicación del usuario, no es
necesario que se tenga encendida la función de GPS para dar con la ubicación; pues es una
función normal de muchos dispositivos. 

CUATRO
Los dispositivos con conexión WiFi y Bluetooth permiten la ubicación del mismo. 

CINCO
Los dispositivos móviles pueden ser infectados con Malware.
Esto puede ocurrir porque el usuario haya sido engañado para instalar un software
malicioso o porque un atacante forzó la seguridad del móvil y accedió a él. 
Si se instala un malware en un dispositivo, el atacante puede tener acceso a mensajes de
texto, fotos, video, etc. Además puede activar información de los sensores como micrófono,
cámara o GPS.
Medidas para evitar riesgos en dispositivos móviles.A continuación se presentarán algunas
de las medidas de seguridad que se deben tomar en cuenta si se utiliza un dispositivo
móvil.
Contraseña:
• Procurar bloquear con una contraseña el dispositivo.

• Borrado remoto: Instalar en el dispositivo móvil una aplicación de borrado remoto. Con
estas aplicaciones se puede activar el dispositivo mediante un mensaje de texto, para
borrar la información privada en caso de robo o extravío.

• Auto-eliminar información: Configurar el dispositivo móvil para que después de un

número de intentos, se auto-elimine la información.

• Respaldos periódicos: Realizar respaldos periódicos de la información que se encuentra

en el dispositivo móvil. Si se trata de fotografías personales o familiares se recomienda
eliminarlas del dispositivo.

• Lista de contactos: Evitar poner nombres en la agenda de contactos, que indiquen que
una persona es un familiar o personas cercanas.

• Cuidado de la pantalla: Procurar limpiar la pantalla constantemente para evitar que se

marquen las huellas digitales, pues si se pone el dispositivo a contraluz, se puede detectar
el patrón para desbloquear el dispositivo.
• Conexión a internet: Utilizar el acceso público WiFi con precaución, pues es posible que
algún atacante que se encuentre utilizando la misma red, ejecute un programa de Hacking
y logre ingresar al dispositivo.

No autorizar conexiones automáticas: de hacerlo, se daría la posibilidad de que algún

intruso acceda al móvil de manera remota.

Riesgos y medidas de seguridad en el uso de dispositivos móviles:

Como puedes ver, los dispositivos móviles tienen muchas situaciones de riesgo, por lo que
es necesario tomar en cuenta las medidas de seguridad mencionadas y que están
directamente relacionadas con el funcionamiento del dispositivo.
• No dejar el dispositivo solo en ningún momento, pues puede haber personas que se
infiltren y roben información o instalen alguna aplicación maliciosa.
• Evitar o vigilar el uso de dispositivos por niños, pues podrían descargar o acceder a
aplicaciones inseguras.

2.5. LA BANCA ELECTRÓNICA

Usar la banca electrónica es cada vez más común, pues ofrece a los usuarios una opción
accesible que les permite ahorrar tiempo en traslados y esperas en sucursales bancarias
tradicionales, así como la realización de transacciones sin la necesidad de ajustarse a un
horario.
Es por eso que hay una evidente necesidad de seguir medidas de seguridad, para garantizar
a los usuarios la completa legalidad y confidencialidad de sus transacciones. 

Servicios que ofrece la banca por internet

Los servicios que ofrece la banca por internet, son:
• Consultas de saldo
• Pagos
• Solicitudes de préstamo
• Transferencias de fondos

Mitos sobre el uso de la banca electrónica:

A pesar de que ha habido un aumento en el uso de la banca electrónica, muchos usuarios se
niegan a hacerlo debido a que existen algunos mitos sobre su uso.
Como puede ser:
• “Internet no es seguro”
• “Los bancos conocen las contraseñas”
• “Existe la posibilidad de que no pase un pago, por lo que el usuario prefiera ir a la
sucursal”.

Es importante aclarar los mitos que existen en torno del uso de la banca electrónica:
Los riesgos que existen en cuanto a la información, están asociados directamente a la
forma en que se manejan las contraseñas y factores de autenticación.
Existen controles regulatorios que han implementado los bancos para ofrecer servicios
seguros.
A continuación se presentan algunos ejemplos.
Con los clientes: 
Factores de autenticación
Registro de cuentas  Notificaciones a correo electrónico y teléfono
Límite de operaciones.

En el banco: 
Prevención de fraudes  Registro de bitácoras
Seguridad de datos y comunicaciones
Si el usuario hace un uso correcto de la tecnología y de los controles operativos, estará en
un entorno seguro. 
El uso es eficiente y permite agilizar trámites y ahorrar tiempo.

Recomendaciones para el uso de la banca electrónica:

Conocer y comprender el protocolo del banco para activar la banca por internet. 
Evitar compartir las claves de acceso.
Guardar los dispositivos de generación de claves (token) en un lugar seguro.
Solicitar o activar el registro de alertas al celular o correo electrónico.
Comprar solo en establecimientos reconocidos o seguros. 
Verificar el estado de cuenta periódicamente para evitar cargos extraños. 
Evitar conectarse a la banca en línea en cibercafé o sitios de acceso a internet públicos.
Ingresar a la página de internet del banco tecleandola directamente en el navegador, sin
utilizar hipervínculos. 
Utilizar software actualizado con antivirus y anti-espía  Usar diferentes contraseñas para
cada servicio. 
Revisar periódicamente las cuentas registradas para hacer traspasos y asegurarse de que
no existan cuentas que no se dieron de alta. 
Mientras realizas tus operaciones no ingreses a otros sitios, ni accedas a tu correo
electrónico o ejecutes alguna aplicación.
De preferencia ten un navegador exclusivo para las operaciones bancarias, es decir, evita
abrir tu banca en línea con el navegador que utilizas regularmente.
El respaldo electrónico
Como se comentó en la unidad 2 Conceptualización, una de las opciones para mantener la
información de los usuarios segura, es crear respaldos electrónicos o Backup, sobre todo si
aquella información es importante.
A continuación te mencionaremos algunas recomendaciones para lograr un correcto
respaldo electrónico:
1.- Clasificar la información:
Clasificar y seleccionar la información.Al seleccionar la información no sólo se determina
cuál es más importante para respaldar, sino qué tipo de respaldo se hará.
Se recomienda hacer respaldos con información constante, que no se modificará, y con
información que puede modificarse, ello con la intención de no poner en riesgo archivos
que no deben modificarse. 
2.- Memoria en disco: Tratar de utilizar todo el espacio en un

dispositivo. 
3.- Comprimir información:Comprimir la información para poder utilizar más espacio en
un solo dispositivo.

4.- Respaldo en discos ópticos

En caso de respaldar fotografías, imágenes, música o video es recomendable utilizar discos
ópticos, pues éstos permitirán conservar los archivos por mucho más tiempo. 

5.- Cifrado de información:

Si la información que se desea respaldar es sensible, se recomienda que se haga bajo un
esquema de cifrado o se empaquete en un sistema cifrado. 

Recomendaciones para la creación de un respaldo electrónico:

Nota: Las herramientas de cifrado son aplicaciones que deben instalarse en el equipo y
que permiten establecer contraseñas a cada uno de los paquetes para evitar infiltraciones. 

Como se ha visto a lo largo de este curso, los riesgos de seguridad que existen en el uso de
las TIC, no sólo se refieren a fallas en los equipos o dispositivos móviles que se utilizan,
sino que en muchas ocasiones se deben a las malas prácticas de los usuarios.
Por tanto es importante que cada una de las personas que usen las TIC, estén conscientes
de los riesgos y amenazas existentes y las consecuencias de cada acción emprendida.
¿Cómo mejorar las prácticas en el entorno familiar?
Introducción
En ocasiones, a pesar de que un usuario cuente con el conocimiento y lleve a cabo las
mejores prácticas para proteger su información, puede estar en una situación de riesgo a
causa de las prácticas de su familia, amigos o colegas. Por lo tanto es necesario considerar
los siguientes consejos útiles.
Los niños y el uso de internet
Evitar que los niños o menores de edad utilicen solos el internet, pues es la población más
vulnerable al contacto con los pedófilos. 

Pláticas familiares para el uso de TIC

Conversar con familiares, amigos o colegas del trabajo sobre los riesgos en el uso de las
TIC. 

Privacidad en redes sociales

Pedir a los contactos de redes sociales que cuando tengan la necesidad de enviar algo, sea
por vías privadas como mensajes privados o correo electrónico, para evitar que sea de
conocimiento público. 

Buenas prácticas
Compartir algunas de las buenas prácticas en el uso de las TIC, como puedes evitar dar
datos personales como dirección, teléfono, correo electrónico, cuentas bancarias o
información familiar. 

Los niños y el uso de redes sociales

Revisar cuentas de correo electrónico o redes sociales de menores de edad. 

Evitar publicar fotos de hijos

Solicitar a familiares y amigos que eviten publicar fotografías de hijos. 

BYOD
Con la tendencia “Traiga su Propio Equipo”-BYOD-, hay que tener cuidado con la
información que se trae en el dispositivo. 

Crear cuentas Independientes

En el caso de tener un solo equipo de cómputo para toda la familia, es importante crear
cuentas independientes para cada miembro. Ninguna de estas cuentas debe tener
privilegios de administrador. 

Cuenta de Administrador
La cuenta de administrador debe utilizarse sólo para cuestiones de configuración, no como
cuenta de trabajo normal. 

Hasta este momento hemos presentado:

Cómo crear una contraseña
Cómo administrar las redes sociales como Facebook
Cómo administrar el correo personal
Recomendaciones para el uso de dispositivos móviles
Recomendaciones para el uso de la banca electrónica
Recomendaciones para crear respaldo electrónico
Consideraciones acerca de la información con familia y amigos

INTRODUCCIÓN
En la unidad 3: Mejores prácticas: ¿Qué hacer y cómo hacer? Se explicaron las formas de
mejorar las prácticas en torno al maneo de las TIC, así como las acciones que se deben
tomar en caso de detectar un funcionamiento anormal en los dispositivos que se utilizan en
el día a día.
A continuación se iniciará la unidad 4 del curso, que expondrá temas relacionados con la
normatividad en el uso de las TIC, con la finalidad de que a las prácticas que se realicen en
el uso diario de los dispositivos, tengan siempre un manejo con apego a las leyes
mexicanas.

1. MARCO NORMATIVO
Te damos la bienvenida a la unidad 4 Normatividad: Cumplamos con las reglas, donde se
abordará lo referente a la normatividad a la que está alineada la SADER entorno a la
Seguridad de la Información.
El contenido que se presenta a continuación, expone un panorama general sobre los
estándares acerca de la Seguridad de la Información establecidos en el ámbito
internacional, nacional y local.

1.1. NORMATIVIDAD A NIVEL

INTERNACIONAL
Conocerás algunas de las metodologías internacionales utilizadas como base para la
construcción y organización de la normatividad mexicana.
A nivel internacional, existen estándares para regular aspectos relacionados con la
seguridad de la información.
En México, la normatividad referente a este tema está basada en dichos estándares,
específicamente en lo establecido en los procesos de Gobernanzas, Organización y Entrega.

ISO 27000
Escribe de manera general las normas que componen la serie y da una introducción a los
sistemas de gestión de seguridad de la información

ISO 27001
Marca los requisitos del Sistema de gestión de seguridad de la información. Para
implementar esta norma, es necesario certificarla por una entidad externa.
ISO 27002
Expone una serie de mejores prácticas en cuanto a la seguridad de la información. No es
necesaria una certificación para su implementación.

ISO 27005
Se ocupa de la gestión de riesgos de seguridad de la información, además proporciona
directrices para la gestión de riesgos de este tipo.

ISO 31000
Ofrece principios, marcos y un proceso para la gestión del riesgo. Ayuda a incrementar la
posibilidad del logro de objetivos, así como mejorar la identificación de oportunidades y
amenazas para evitar y disminuir la presencia de riesgos.

TOGAF
Es una metodología que integra los pilares del desarrollo de proyectos, como son el
negocio, los datos, la tecnología de la información y las aplicaciones; que se fusionan en el
diseño, la planificación e implementación para lograr incluir a toda la empresa a los
sistemas de información en el proceso de construcción o planeación estratégica.

Val IT
Es un marco de referencia utilizado en las organizaciones para elegir y gestionar las
inversiones en asuntos relacionados con las TIC, con lo cual se permite optimizar la
realización de valor de las inversiones en TI:
COBIT
Es un marco de trabajo que cuenta con un conjunto de herramientas de Gobierno de
Tecnología de la Información, que permite la alineación de tendencias de administración
de TI y de técnicas de gobierno. COBIT permite conectar los requerimientos del negocio y
de control con los aspectos técnicos, para administrar riesgos y optimizar recursos.
NMX-I-20000-1-NYCE-2012 Sistema de Gestión de Servicios
Es una norma para el Sistema de Gestión de Servicio (SGS). Especifica los requisitos para
que un proveedor de servicios pueda planificar, establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un SGS.

CMMI-ACQ
Es un modelo que busca y permite la mejora y evaluación de procesos de desarrollo en
sistemas de software; en este sentido, CMMI ACQ ofrece guías para la aplicación de
mejores prácticas.

Como se observó, la normatividad internacional es muy amplia y funciona como guía de la

normatividad mexicana

1.2. NORMATIVIDAD A NIVEL NACIONAL

En México, se han generado normas relacionadas con una amplia variedad de temáticas.
En el caso específico de la seguridad de la información, las normas mexicanas mantienen
un apego a los estándares internacionales, es decir, cuentan con una relación directa en las
formas y procedimientos definidos en la ISO 27000. 
Tipos de normas en México
Hay dos tipos de normas desarrolladas en el país; que se diferencian de acuerdo a su
nombre y estatus, estas son:
Normas Mexicanas (NMX)
Normas Oficiales Mexicanas (NOM). Las diferencias entre las normas NMX y NOM radica
en el estatus para su ejecución.Las normas NMX son de carácter voluntario y las normas
NOM son de carácter obligatorio.
NMX-I-27001-NYCE-2015
Ésta hace referencia a los requisitos para establecer, implementar y mejorar un Sistema de
Gestión de Seguridad de la Información.También incluye requisitos para valorar y tratar
riesgos de seguridad de la información de acuerdo a las características de cada entidad. 

NMX-I-27002-NYCE-2015
Ésta hace referencia a los lineamientos para las normas de seguridad de la información y
prácticas de gestión de seguridad de la información, incluyendo la selección,
implementación y administración de los controles, teniendo en cuenta el entorno de
riesgos de seguridad de la información. 

NMX-I-086-01-NYCE-2006
Es una norma que constituye una guía para la gestión de la seguridad de Tecnologías de la
Información, Presenta los modelos y conceptos de gestión básicos, esenciales para una
introducción a la gestión de la seguridad de TI. 

NMX-I-194-NYCE-2009
Esta norma establece las características de seguridad y confidencialidad para documentos
electrónicos, entre otras, sus aplicaciones son:? Establecer los estándares de seguridad en
el uso, almacenamiento, acceso y distribución de documentos electrónicos.? Salvaguardar
el uso de documentos electrónicos de manera segura y confiable.? Permitir la
incorporación de medidas técnicas orientadas a salvaguardar la confidencialidad de la
información intercambiada. 

1.3. ¿QUÉ ES EL MAAGTICSI?

Cómo pudiste ver en los apartados anteriores, las normas funcionan como una directriz
para el manejo seguro de la información en contextos específicos.
Ahora te presentaremos la normatividad del manejo de la información a partir del
documento: “Manual Administrativo de Aplicación General en materia de Tecnologías de
la Información y Comunicaciones y de Seguridad de la Información (MAAGTICSI)”.

MAAGTICSI es una normatividad para la eficiencia operativa gubernamental de las

operaciones del área de Tecnologías de la Información y Comunicación.
Fue emitido por la Secretaría de Función Pública en la que se establece el acuerdo por el
que se expide el Manual Administrativo de Aplicación General en materia de Tecnologías
de la Información y Comunicaciones por decreto presidencial.
Su ámbito de aplicación y alcance está definido para implementarse en las instituciones a
través de sus correspondientes unidades administrativas responsables de proveer
infraestructura y servicios de tecnologías de la información y comunicaciones. 

El proceso de construcción e implementación del MAAGTICSI en la SADER, inición en el

año 2010 con la publicación del Acuerdo.
Durante el segundo semestre del 2010 se realizó un estudio del MAAGTIC y se generó el
Repositorio.
Para el 2011 se diseñaron y desarrollaron 29 procesos de constitución del modelo de
Gobierno, así como la formación de líderes de procesos.
En el 2012 y 2013, se logró la operación, madure, automatización y mejora continua del
manual, así mismo en la nueva versión se integra la seguridad de la información
transformándolo a MAAGTICSI.
Derivado de una nueva versión emitida en el DOF el 8 de mayo de 2014, se reestructura el
MAAGTICSI de 29 a 9 procesos.
Objetivos del MAAGTICSI
Definir los procesos con los que, en las materias del TIV y de seguridad de la información,
las instituciones deberán regular su operación, independientemente de su estructura
organizacional y las metodologías de operación con las que cuenten. 

Logros de la implementación de MAAGTICSI en la SADER

UNO
Se ha logrado una mejora en los tiempos y calidad de atención a usuarios internos y
productores.

DOS
Ha permitido una reducción en los costos de operación

TRES
Se logró una reducción y administración de riesgos.

CUATRO
Hubo una homologación y estandarización de procesos del Sector SADER.

CINCO
Permitió un fortalecimiento de la seguridad de la información.
SEIS
El cumplimiento de la normatividad (MAAGTICSI) y política digital.

Reglas del MAAGTICSI

Existen reglas aplicables a los nueve procesos que indica el MAAGTICSI.

El reglamento establecido explica las obligaciones que tienen los representantes de las
Unidades de Tecnologías de la Información y la Comunicación (UTIC) en cada proceso de
la aplicación del MAAGTICSI.
Procesos de Gobernanza, Organización y Entrega.
A continuación se presentan los procesos incluidos en Entrega
1.- Administración de Proyectos: Se refiere a la administración de iniciativas, programas y
proyectos de TIC. 

2.- Administración de Proveedores: Se refiere al establecimiento de un mecanismo que

permita verificar el cumplimiento de las obligaciones derivadas de los contratos celebrados
para la adquisición, arrendamiento o servicios de TIC. 

3.- Administración de la operación: Se refiere a la entrega de los servicios de TIC a los

usuarios, conforme a los niveles de servicio acordados y con los controles de seguridad
definidos. 

4.- Operaciones de controles de seguridad de la información: Así como de operadores del

equipo de respuesta a incidentes de seguridad en TIC en la institución: Se refiere a la
implementación y operación de los controles de seguridad de la información. 
A continuación se presentan los procesos incluidos en Organización
1.- Administración de Servicios: Se refiere a la definición de los compromisos y costos de
los servicios de TIC necesarios para mantener el adecuado funcionamiento de la
institución, entre otros. 

2.- Administración de la Configuración: Se refiere al establecimiento y actualización de un

repositorio de configuraciones. En el que se integren las soluciones tecnológicas y sus
componentes, entre otros. 

3.- Administración de la Seguridad de la Información: Se refiere al establecimiento y

vigilancia de los mecanismos que permitan la administración de la seguridad de la
información de la institución. 

1.4. LEY FEDERAL DE PROTECCIÓN DE

DATOS PERSONALES EN POSESIÓN DE
LOS PARTICULARES
¿Qué son los datos personales?
Cuando hablamos de datos personales nos referimos a toda aquella información relativa a
una persona que la identifica o la hace identificable.
Los datos personales entre otras cosas:
Dan identidad
Describen
Precisan origen, edad, lugar de residencia, trayectoria académica, laboral o profesional. 
Datos Sensibles
Los datos sensibles describen aspectos más delicados, que en la fracción VI del artículo
tercero de la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares, se definen como:
“Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya
utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.
En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen
racional o étnico, estado de salud presente y futuro, información genética, creencias
religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.” 

¿Para qué son útiles los datos personales?

Los datos personales son necesarios para:
Interactuar con otras personas u organizar sin ser confundido
Cumplir con lo que disponen las leyes.

 
La Ley Federal de protección de Datos Personales en Posesión de los
Particulares
Propone regular el derecho a la autodeterminación informativa.
Está dirigida principalmente a todas las personas físicas o morales que tienen la capacidad
de almacenar datos personales en su actividad laboral o cotidiana. 

Principios de Protección de Datos Personales

En este apartado te presentaremos los principios de protección de datos personales.
1.- Licitud: Éste obliga al responsable a que el tratamiento sea con apego y cumplimiento a
lo dispuesto por la legislación mexicana y el derecho internacional
2.- Consentimiento: El responsable deberá obtener el consentimiento para el tratamiento
de los datos personales. La solicitud del consentimiento deberá ir referida a una finalidad
prevista en el aviso de privacidad.
3.- Información: El responsable deberá dar a conocer al titular la información relativa a la
existencia y características principales del tratamiento a que serán sometidos sus datos
personales a través del aviso de privacidad.
4.- Calidad: Se cumple con el principio de calidad cuando los datos personales tratados
sean exactos, completos, pertinente, correctos y actualizados según se requiera para el
cumplimiento de la finalidad para la cual son tratados.
5.- Finalidad: Éste principio establece que los datos personales sólo podrán ser tratados
para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad.
6.- Lealtad: Éste establece que la obligación de tratar los datos personales privilegiando la
protección de los intereses del titular y la expectativa razonable de privacidad.
7.- Proporcionalidad: Éste establece que sólo podrán ser objeto de tratamiento los datos
personales que resulten necesarios, adecuados y relevantes en relación con las finalidades
para las que se hayan obtenido.
8.- Responsabilidad: Éste establece que el responsable tiene la obligación de velar y
responder por el tratamiento de los datos personales que se encuentren bajo su custodia o
posesión.
Importancia de la protección de datos personales.
La protección de datos personales se ha vuelto primordial en una sociedad donde el uso de
las tecnologías de la información se utiliza cada vez más.
La masificación de las TIC ha hecho que en muchas ocasiones los datos personales:
• Sean tratados para fines distintos para los que originalmente fueron recabados.
• Sean transmitidos sin el reconocimiento del titular.
Esto ha provocado que se interfiera en la privacidad de las personal y afecta, en ocasiones,
sus derechos y libertades.
Sobre la protección de datos personales.
La protección de datos personales es un derecho humano que le da a los individuos
la capacidad de controlar su información personal.La forma en que un individuo controla
su información, es mediante la elección de:
• Con quién se comparte
• Para qué se utiliza. 

El derecho a la protección de datos personales, está reflejado en el artículo 16 de nuestra

Constitución Política.
En este artículo se reconoce “el derecho a la protección de datos personales como una
garantía individual, pues señala que toda persona tiene derecho a la protección de sus
datos personales, al acceso, rectificación y cancelación de los mismos, así como a
manifestar su oposición en los términos que fije la ley.” 

Estos derechos, se denominan derechos ARCO (acceso, rectificación, cancelación y

oposición).
Derechos de los Titulares de Datos Personales
En México, de acuerdo a lo establecido por la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares, se dan los derechos ARCO, que reconocen que:
“todas las personas tienen derecho al acceso, rectificación, cancelación u oposición de sus
datos personales.
Los derechos ARCO surgen en 2009 como parte de la reforma constitucional al artículo 16.
Éstos son un conjunto de derechos que permiten garantizar a los ciudadanos el poder de
control sobre sus datos personales. 

Derechos ARCO
Para comprender los Derechos ARCO, es importante definir los conceptos que se
mencionan a continuación.

A continuación se presenta a qué se refiere cada uno de los derechos ARCO

1.- Acceso:El titular de los datos tiene derecho a acceder a sus datos personales en poder
del responsable, así como conocer el Aviso de Privacidad al que está sujeto el tratamiento. 
2.- Rectificación:El titular de los datos tendrá derecho a rectificarlos cuando sean inexactos

incompletos. 
3.- Cancelación:El titular de los datos tendrá en todo momento el derecho a cancelar sus
datos personales. 

4.- Oposición:El titular de los datos tendrá derecho en todo momento a oponerse al

tratamiento de sus datos. 

Es importante tomar en cuenta que para el ejercicio de estos derechos, sólo el titular de los
datos personales puede solicitar el acceso, por lo cual se debe acreditar la personalidad del
solicitante. 

Ley Federal de Protección de Datos Personales en Posesión de los

Particulares
A continuación presentamos algunos beneficios de la Ley Federal de protección de Datos
Personales en Posesión de los Particulares.
I.- Contemplar los principios de protección de datos personales internacionalmente
reconocidos.
II.- Establecer las garantías para que el tratamiento de los datos se lleve a cabo de manera
lícita e informada.
III:- Contemplar mecanismos para el ejercicio de los derechos ARCO.
IV.- Otorgar una amplia protección a los llamados “datos sensibles”.
V.- Poner fin a los llamados mercados negros de la información
VI.- Considerar la penalización de las conductas violatorias a la debida protección de los
datos personales.
VII.- Ampliar la protección que actualmente gozan los datos personales en posesión del
gobierno en sus tres órdenes.
Medidas de Seguridad en el Tratamiento de Datos Personales
Para la protección de los datos personales, todo personal que tenga a su cargo el
tratamiento de datos personales debe establecer y mantener las medidas de
seguridad Administrativas, Físicas y Técnicas.
A continuación se presentan las características de cada una de ellas.
A.- Administrativas:Se refiere a establecer acciones y mecanismos para:
• La gestión, soporte y revisión de la seguridad de la información a nivel organizacional.

• La identificación y clasificación de la información

• La concienciación, formación y capacitación del personal, en materia de protección de
datos personales. 

B.- Físicas:Se refiere a establecer acciones y mecanismos, ya sea que empleen o no la

tecnología destinada para:
• Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas
críticas de la organización, equipo e información.
• Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las
instalaciones.

Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento

que asegure su disponibilidad, funcionalidad e integridad.
• Garantizar la eliminación de datos de forma segura. 
C.- Técnicas: Se refiere a establecer actividades, controles o mecanismos con resultado
medible, que se valen de la tecnología para asegurar que:
• El acceso a las bases de datos lógicas o la información en formato lógico sea por usuarios
identificados y autorizados.
• El acceso a las bases de datos sea únicamente para que el usuario lleve a cabo las
actividades que requiere con motivo de sus funciones. 

• Se incluyen acciones para la adquisición, operación, desarrollo y mantenimiento de

sistemas seguros.
• Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos
que se utilicen en el tratamiento de datos personales.

1.5. LEY FEDERAL DE TRANSPARENCIA Y

ACCESO A LA INFORMACIÓN PÚBLICA
GUBERNAMENTAL
Esta Ley se encarga de regular el derecho individual al acceso a la información de las
instituciones y organismos del Estado.
Su alcance considera los poderes Ejecutivo, Legislativo y Judicial, así como a cualquier
figura pública o privada que reciba y ejerza recursos públicos.
Por tanto se establece que el contenido total de la Ley, es obligatorio para todos los
servidores públicos federales. 

Objetivos de la Ley
A continuación te presentamos los objetivos de la Ley Federal de Transparencia y Acceso a
la Información Pública Gubernamental.
A.- Proveer lo necesario para que toda persona pueda tener acceso a la información.
B.- Transparentar la gestión pública mediante la difusión de la información que generan
los sujetos obligados.
C.- Garantizar la protección de los datos personales en posesión de los sujetos obligados.
D.- Favorecer la rendición de cuentas a los ciudadanos, de manera que puedan valorar el
desempeño de los sujetos obligados.
E.- Mejorar la organización, clasificación y manejo de los documentos.
F.- Contribuir la democratización de la sociedad mexicana y la plena vigencia del estado de
derecho.
Los objetivos de la Ley expresan que toda persona tiene derecho de acceder a la
información, sin embargo, como mencionó en la unidad 2 de este curso, existe información
reservada y confidencial que no puede ser distribuida libremente. 

La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, en su

artículo 13 y 14 define a la información reservada como aquella que pueda:
Comprometer la seguridad nacional.
Menoscabar la condición de negociaciones o relaciones internacionales.
Dañar la estabilidad financiera, económica o monetaria del país.
Información reservada y confidencial.
Se considera como información reservada y confidencial, aquella que pueda:
Poner en riesgo la vida, seguridad o salud de cualquier persona.
Dañar las actividades de verificación gubernamental, como puede ser: 
Cumplimiento de las leyes  Prevención o persecución de delitos  Impartición de justicia
Recaudación de contribuciones
Operaciones de control migratorio
Estrategias en procesos judiciales o administrativos.  

Se considera como información reservada y confidencial, aquella que pueda poner en

riesgo:
a) Los secretos: 
Comercial
Industrial
Bancario
Fiduciario
Otros.
b) Las averiguaciones previas
c) Expedientes judiciales
d) Procedimientos de responsabilidad de servidores públicos
e) Documentos con opiniones o puntos de vista que formen parte del proceso deliberativo
de los servidores públicos. 

El artículo 15 de la misma Ley, expone que para efectos de ésta, se entiende por
información confidencial: 
Aquella que sea entregada por los particulares con ese carácter.  Los datos personales que
requieren el consentimiento de los individuos para su difusión.

 
Tipos de documentos
La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, en la
fracción tercera del artículo cuarto, considera toda información que se encuentre en
diferentes tipos de documentos, como son:
Expedientes
Reportes
Estudios
Actas
Resoluciones
Oficios
Correspondencia
Acuerdos
Directivas
Directrices
Circulares
Contratos
Convenios
Instructivos
Notas
Memorandums
Estadísticas

 
También se considera como un documento a cualquier otro registro que documente el
ejercicio de las facultades o la actividad de los sujetos obligados y sus servidores públicos,
sin importar su fuente o fecha de elaboración.

 
Los documentos pueden encontrarse en cualquier medio, como puede ser:
Escrito
Impreso
Sonoro
Visual
Electrónico
Informático
Holográfico

Acciones de los servidores públicos

En relación a la protección de datos personales y derecho de acceso a la información, el
artículo 20 de la Ley Federal de Transparencia y Acceso a la Información Pública
Gubernamental, expone las acciones que los responsable de datos personales deben
seguir. 
Las acciones que los servidores deben seguir, con respeto a la protección de datos
personales son:
Realizar los procedimientos adecuados para recibir y responder las solicitudes de acceso y
corrección de datos.
Intentar que los datos personales sean siempre actualizados y corregidos.
 Garantizar la seguridad de los datos personales.
Orientar y asesorar a particulares acerca de las solicitudes de acceso a la

información. 
Causas de sanción
A continuación te presentamos las causas de las responsabilidades y sanciones que
establece el artículo 63 de la Ley Federal de Transparencia y Acceso a la Información
Pública Gubernamental a los servidores públicos que incumplan las obligaciones
establecidas.
UNO
Usar, sustraer, ocultar, inutilizar, divulgar o alterar, total o parcialmente información que
se encuentre bajo su custodia. 

DOS
Actuar con negligencia, dolo o mala fe en la sustanciación de las solicitudes de acceso a la
información.

 
TRES
Denegar intencionalmente información no clasificada como reservada p no considerada
confidencial conforme a esta Ley. 
CUATRO
Clasificar como reservada, con dolo, información que no cumple con las características
señaladas en esta Ley. 

CINCO
Entregar información considerada como reservada o confidencial conforme a lo dispuesto
por esta Ley.

 
SEIS
Entregar intencionalmente de manera incompleta información requerida en una solicitud
de acceso.

 
SIETE
No proporcionar la información cuya entrega haya sido ordenada por los órganos
autorizados o por el Poder Judicial de la Federación. 

La Ley establece que las infracciones previstas, serán consideradas como graves para
efectos de su sanción administrativa. 
Código Penal Federal 

De manera general, es importante que los ciudadanos mexicanos conozcan el Código Penal
Federal, pues es un código que se aplica a los delitos cometidos en toda la República
Mexicana o el extranjero, pero que tenga efectos en la República.
En relación con la seguridad de la información, el Código Penal Federal incluye algunos
artículos acerca de este tema. Cada uno de los aspectos que se mencionarán, tienen una
sanción específica.
Delitos en materia de TIC 

A.- Comunicación y Correspondencia:Artículo 167 frac VI. Interferir comunicaciones

alámbricas, inalámbricas o de fibra óptica, por las cuales se transfieran señales de audio,
video y datos.Artículo 168 bis, frac. I y II. Descifrar o decodificar señales de comunicación
o que transmita la propiedad o uso de aparatos que permita estas actividades.
B.- Violación de correspondencia:Artículo 173. Interceptar comunicación escrita que no
esté dirigida a él.Artículo 177.Intervenir comunicaciones privadas sin mandato de
autoridad judicial.
C.- Secretos y equipo informático:Artículo 210. Revelar secretos o comunicación reservada
que ha recibido con motivo de su empleo, cargo o puesto; sin consentimiento del que
pueda resultar perjudicado.Artículo 211 bis. Divulgar o utilizar indebidamente información
no autorizada.
D.- Sistemas y equipo informático:Artículo 211, Bis
2. Realizar las siguientes acciones: Acceder, modificar, copiar, conocer, obtener, destruir o
generar información en un sistema de cómputo del Estado que esté protegido por algún
esquema de seguridad.Artículo 211, Bis
3. Modificar, destruir, copiar o utilizar información contenida en sistemas de cómputo del
Estado.Artículo 211, Bis 7.Realizar cualquier acción de las que se mencionan en los
artículos que pertenecen al capítulo “Acceso ilícito a sistemas y equipos de informática”,
con el objetivo de obtener beneficios propios, aumentará la pena en un 50%.
D.- Servidores públicos:Artículo 214, frac. IV. Sustraer, destruir, ocultar o inutilizar
ilícitamente la información o documentación.Artículo 215, frac. XIV. Obligar a declarar a
personas acerca de la información obtenida con motivos del desempeño de su
actividad.Artículo 225, frac. XXVIII. Divulgar información o documentos que surjan de
una averiguación previa o proceso penal y que sean confidenciales.
E.- Delitos contra la economía pública:Artículo 254, frac. V. Intercambiar información de
que una ventaja competitiva a un tercero involucrado en licitaciones, tenga o no
retribuciones económicas.Artículo 54 Bis
1. Destruir directa o indirectamente, documentos, imágenes, archivos electrónicos con
información necesaria para una investigación, licitación u otro.
Ley Federal del Trabajo 
En relación con el tema de TIC, la Ley Federal del Trabajo retoma la importancia de la
capacitación en materia del uso de nuevas tecnologías entre los trabajadores.
Un ejemplo de la aplicación de la normatividad en relación a la capacitación en el uso de
nuevas tecnologías se presenta con la realización de este curso, pues es disposición de la
Ley Federal del Trabajo, que los colaboradores se encuentren capacitados.

 
Lo anterior también atiende a una de las líneas de acción del Plan Nacional de Desarrollo
referente a Modernizar la Administración Pública Federal con base en el uso de tecnologías
de la información y la comunicación.Así pues, el uso de las TIC en la SADER, permitirá
aumentar la competitividad de la Secretaría, además de aprovechar al máximo el potencial
de las TIC para el desarrollo de todas las actividades de la entidad.
Con todo lo anterior, el uso eficaz de las TIC en la Secretaría apoyará a la inserción de
México en la Sociedad del Conocimiento.
Obligaciones de los servidores públicos
A partir del impulso en la utilización de las TIC, se puede aumentar la productividad, por lo
cual este tema retoma una importancia en el desarrollo de cada entidad. Ante este proceso
de capacitación, la Ley Federal del Trabajo expone que los servidores se obligan a:
o Asistir puntualmente a los cursos, sesiones de grupo y demás actividades que formen
parte del proceso de capacitación o adiestramiento.
o Atender las indicaciones de las personas que impartan la capacitación o adiestramiento,
y con los programas respectivos.
o Presentar los exámenes de evaluación de conocimientos y de aptitud o de competencia
laboral que sean requeridos.

 
4.2.8.- Manual Administrativo de Aplicación General en Materias de TIC
y de Seguridad de la Información.
Tal como sucede en todas las instituciones del Gobierno Federal, la Secretaría de
Agricultura y Desarrollo Rural, ha implementado las políticas y lineamientos de seguridad
de la información; todo ello con la finalidad de asegurar el eficiente cumplimiento de los
objetivos de la SADER.

El trabajo que se ha realizado, se consolidó como el Sistema de Gestión de la Seguridad de

la Información (SGSI) de la SADER. La implementación del SGSI se realizó como
resultados de uno de los objetivos específicos del Proceso de Administración de la
Seguridad de la Información (ASI).
El proceso ASI se propone en su objetivo número cuatro, “Establecer un SGSI que proteja
los activos de información de la institución, con la finalidad de preservar su
confidencialidad, integridad y disponibilidad”, así como “vigilar los mecanismos
establecidos y el desempeño del SGSI, a fin de prever desviaciones y mantener una mejora
continua.”

 
El SGSI se estableció con apego a los criterios establecidos en el MAGTICSI, y define las
políticas y lineamientos de seguridad de la información en la Secretaría.

Procesos abordados en las Políticas de la Seguridad de la Información

En las Políticas de Seguridad de la Información de la SADER, definidas en el MAAGTICSI,
se pueden identificar dos procesos que son:
1.- Administración de Seguridad de la Información.
2.- Operación de Seguridad de la Información.

 
El proceso de Administración de Seguridad de la Información incluye todas
las estrategias, controles implementados, así como la organización en cuanto a Seguridad
de la Información se refiere.
El proceso de administración de seguridad de la información es de suma importancia, pues
mediante la implementación del SGSI permite identificar o prevenir tempranamente
riesgos o amenazas a la seguridad de la información.
La Operación de Seguridad de la Información, se encarga de ejecutar las
acciones necesarias acorde al proceso de administración de la seguridad de la información,
con la finalidad de resolver situaciones de riesgo o aplicar controles en el sistema de
gestión.Como parte de la implementación de los procesos de administración y operación
de la seguridad forman parte de las Políticas de Seguridad de la Información de la SADER,
se evidencia la importancia del análisis de riesgos.Según el SGSI, el tema relacionado con
el riesgo en la seguridad de la información, involucra las etapas de:
1.- Análisis de riesgos
2.- Evaluación de riesgos.

 
Como parte del análisis de riesgos, se debe tomar en cuenta:
1.- Identificación de riesgos.
2.- Estimación de riesgos.
Como se vio en la unidad 2 de este curso, un riesgo es “un activo con vulnerabilidad que
puede ser explotada por una amenaza y causar un impacto”, por tanto para identificar los
riesgos, es necesario saber cuáles son los procesos y sus-procesos, para su posterior
análisis y evaluación. 

Análisis de Riesgos
Los activos que se deben tomar en cuenta para el análisis de riesgos son:
I.-Hardware/Software
II.- Red
III.- Personas
IV.- Infraestructura
V.- Documentos electrónicos y físicos
VI.- Otros activos
Se clasifican de acuerdo a:
a) Propiedades físicas
b) Plataformas Base de datos
c) Aplicaciones
d) Información
e) Gente
f) Intangibles 

Para el análisis de riesgos, también debe identificarse:

o Los controles existentes que pueden evitar trabajos o riesgos.o Las amenazas y sus
fuentes.
o Las consecuencias de la pérdida de confidencialidad, integridad y disponibilidad en los
activos.
o La vulnerabilidad de la información.
o El impacto de las amenazas en la seguridad de la información.
Evaluación de riesgos
Durante la evaluación de riesgos deberá generarse la lista de escenarios de riesgo
priorizados de acuerdo a los criterios de evaluación. Para realizarlo se asignan valores de
acuerdo al riesgo total obtenido. 

Los valores que se asignan para realizar la evaluación de riesgos son:

o Alto
o Medio
o Bajo

Una vez que los riesgos se encuentran valorados, se ordenan de forma descendente.
Principios rectores
Como lo hemos mencionado a lo largo del curso, es indispensable que todas las acciones
relacionadas con la seguridad de la información estén encaminadas hacia el cumplimiento
de salvaguardar los principios de la información.
Los principios rectores de la información, son:
1.- Confidencialidad:La garantía de que la información no será revelada por individuos,
programas o procesos no autorizados. 

2.- Integridad:La información debe ser exacta, completa y protegida de modificaciones no

autorizadas o inesperadas. 

3.- Disponibilidad:La información, los sistemas y los recursos deben estar disponibles a los
usuarios autorizados en forma oportuna. 

Temáticas específicas
En general, el manual realizado en la SADER, proporciona información completa acerca
de:
1.-Controles de seguridad
2.-Gestión de activos
3.- Seguridad de los recursos humanos
4.- Controles de acceso
5.- Gestión de la comunicación y operación 

Para el correcto desempeño de las funciones de todos los servidores públicos y para lograr
los objetivos referentes a la seguridad de la información, es necesario que cada uno de los
colaboradores que participan en el día a día de las acciones de la SADER, conozca,
comprenda y haga valer los lineamientos establecidos en este manual. 
Con esta última unidad llamada Normatividad: cumplamos las reglas, damos por
terminado el curso sobre Seguridad de la Información.
Este curso se diseñó especialmente para que los colaboradores de la SADER tuvieran
mayor acercamiento a las TIC.A lo largo del curso, el colaborador ha podido sensibilizarse
acerca de la importancia de que cada usuario preste atención sobre el manejo de la
información, tanto en el trabajo, como es su vida diaria.
Además se describió cada uno de los conceptos que se relacionan con la seguridad de la
información y el uso de las TIC.También se mostraron las formas en que los usuarios
pueden mejorar sus prácticas cotidianas para lograr un manejo adecuado de la
información y de los dispositivos con que tiene conexión a la Web.
Finalmente, en la unidad 4, se expuso la normatividad que cada uno de los servidores
públicos debe seguir para tener un manejo adecuado de la información que se maneja en la
SADER.
Agradecemos su atención a lo largo del curso y esperamos que cada uno de los apartados
sea de utilidad para el desempeño de tus actividades en la Secretaría y en tu vida diaria.
¡