INFORMACIÓN DE LA POLÍTICA. POLÍTICA Y PROCEDIMIENTO Aprobado

Transcripción

1 INFORMACIÓN DE LA POLÍTICA Número de referencia: IS Autores de la política - Iniciales: Cargo: Política de uso aceptable Autores de la política - Nombres: Categoría: Servicios de Información Revisión adicional: K. Nugent, K. Acker, M. Shields Alcance organizativo: Corporativo Aprobación final: J. Pacilli Alcance geográfico: Global Fecha de aprobación original: 1.º de noviembre de 2012 Fecha de revisión: POLÍTICA Y PROCEDIMIENTO Aprobado OBJETIVO: Establecer las directrices de uso de recursos informáticos, de telecomunicaciones y de internet en conexión con los asuntos de la empresa para garantizar el cumplimiento de la normativa aplicable, garantizar el uso eficiente de los recursos de la empresa y protegerla así como proteger a los empleados de los usos inadecuados de dichos recursos. ALCANCE: De conformidad con todas las normativas locales, esta política es de aplicación a todas las personas que usan sistemas de la empresa o alojamiento de sistemas, procesamiento o transmisión de información de Sealed Air (los sistemas de la empresa ) (dichas personas serán denominadas individualmente como usuario y, en conjunto, como usuarios ). El Código de conducta de la empresa y sus políticas se aplican a la conducta de los empleados mientras usan o acceden a los sistemas de la empresa. De no cumplir con la política, se podrían tomar medidas disciplinarias, incluido el cese para los empleados. POLÍTICA: General 1. Propiedad. Los sistemas de la empresa y los puntos de acceso a ellos, así como todo archivo, dato y mensaje enviado o recibido con dichos recursos pertenecen a la empresa o concedentes de licencias de la empresa, según corresponda. Donde la ley lo permita, la empresa es propietaria y declara sus

2 derechos de autor sobre todos los materiales que crean los empleados en el marco de su empleo, incluida toda información enviada usando los sistemas de la empresa. 2. Acceso a los sistemas de la empresa desde dispositivo no administrado. Si los usuarios usan hardware que no pertenece a la empresa para acceder a los sistemas de la empresa ("dispositivos no administrados"), se debe almacenar solo la mínima cantidad posible de la información de la empresa en dicho dispositivo no administrado. Si el almacenamiento en el dispositivo no administrado es inevitable, el usuario acuerda aplicar su mayor esfuerzo para separar la información de la empresa de todo el resto de la información almacenada en el dispositivo no administrado. De ser posible, el usuario codificará la información de la empresa que hubiera almacenado en el dispositivo no administrado. Siempre que sea posible, la información almacenada en el dispositivo no administrado deberá ser transferida a la empresa desde el dispositivo no administrado y dicha información será eliminada del dispositivo no administrado. No se almacenarán nombres de usuario ni contraseñas de la empresa en el dispositivo no administrado. El uso de los dispositivos no administrados debe ajustarse a la IS.113.XX Bring Your Own Device (BYOD) Policy. 3. Uso de los recursos. A menos que se indique de otro modo en la política, los sistemas de la empresa deben usarse principalmente a los efectos comerciales. Los usuarios que hayan sido aprobados para acceder a los sistemas de la empresa pueden emplear dichos sistemas de forma personal y casual siempre y cuando el uso (a) cumpla las políticas de la empresa; (b) no consuma más de una cantidad mínima de recursos; y (c) no interfiera con la productividad. 4. No usar para asuntos personales. Los usuarios no pueden usar los sistemas de la empresa para solicitar a otros usuarios o terceros empresas comerciales relacionadas no pertenecientes a la empresa ni para operar cuestiones personales. 5. Privacidad. a. Renuncia de la privacidad. De conformidad con todas las normativas locales, los usuarios deben comprender que no deben esperar privacidad y renuncian a todo derecho a la privacidad respecto del uso de los sistemas de la empresa o de cualquier cosa creada, almacenada, enviada o recibida a través de los sistemas de la empresa. Los usuarios consienten expresamente a que el personal de la empresa acceda y revise todos los materiales que los usuarios crean, almacenan, envían o reciben usando los sistemas de la empresa. b. General. La empresa se reserva el derecho de revisar o controlar el contenido de los archivos, datos o mensajes de los usuarios u otros aspectos del contenido del uso específico del usuario de los sistemas de la empresa.

3 c. Revisiones de contenido. Ocasionalmente, y según lo admiten las normativas locales, puede ser necesario que la empresa revise el contenido de archivos, datos, mensajes o uso de los sistemas de la empresa por parte de los usuarios. 1. Ausencias o ceses. Durante la ausencia prolongada del trabajo o tras el cese de un usuario, el supervisor o el supervisor designado del usuario pueden revisar los contenidos de todos los mensajes del usuario siempre que el supervisor determine que dicha revisión es necesaria a efectos comerciales, solicite una revisión de los mensajes y un director (empleado de alto nivel) dentro de la organización de Recursos Humanos haya revisado el objetivo comercial y confirmado el estado del supervisor y de la ausencia prolongada o cese del usuario. Los supervisores deben enviar las solicitudes de revisión al Global Service Desk. 2. Revisiones de otro contenido. Las revisiones de contenidos pueden solicitarse, según corresponda, para cumplir solicitudes gubernamentales de información o con una orden o citación judicial, o bien solicitud de descubrimiento, o para investigar posibles infracciones a las políticas de la empresa u otros comportamientos reprochables. Las revisiones de contenido de los archivos, datos o mensajes, o bien del uso de los sistemas de un usuario, que no sean como resultado de la ausencia prolongada o cese, se realizarán únicamente cuando las autorice el director ejecutivo o el Consejo General. d. Revisiones financieras generales, de operaciones, seguridad y limpieza. Además de las revisiones del contenido de archivos, datos o mensajes, o del uso de los sistemas de la empresa de los usuarios, la empresa realiza evaluaciones amplias de los sistemas de la empresa a los efectos financieros, de operaciones, seguridad, administración de uso, restricciones de acceso y limpieza general de forma habitual, los resultados de lo cual puede provocar una revisión del contenido de archivos, datos o mensajes, o del uso de los sistemas de la empresa de un usuario, siempre que dicha revisión de contenido o uso de los sistemas de la empresa más allá del alcance general de una evaluación amplia se realice como se establece en la Sección (c) anterior. 6. Seguridad. Los usuarios deben aplicar puntualmente los procedimientos, protocolos e instrucciones de seguridad o privacidad que el Departamento de Servicios de Información desarrolla y comunica. Los usuarios no pueden evadir ninguna característica de seguridad o privacidad de los sistemas de la empresa ni de ningún tercero al que el usuario tiene acceso, incluido acceder o intentar acceder a todo contenido, dato o programa al que el usuario no tiene autorización ni consentimiento, desactivación de software antivirus, decodificación de contraseñas o acceso a información de control, o bien, anulación o bloqueo del remitente real de todo mensaje. A menos que lo autorice el director ejecutivo, los usuarios no podrán escanear, husmear ni explorar los sistemas de la empresa ni de ningún tercero al que tengan acceso para comprobar vulnerabilidades ni con ningún otro propósito. En especial, para proteger la seguridad de la red de la empresa, todo acceso a internet de

4 cualquier hardware conectado a la red de la empresa debe realizarse a través de software o hardware aprobado, que el Departamento de Servicios de Información haya instalado o puesto a disposición. 7. Seguridad física. El Departamento de Servicios de Información especificará las medidas de seguridad física para los sistemas de la empresa incluidos, entre otros, los servidores, las casillas de las centrales telefónicas y los gabinetes de las instalaciones eléctricas. Los usuarios cumplirán y no tomarán iniciativas para evadir dichas medidas. 8. Respuesta a los incidentes de seguridad. Los usuarios son responsables de informar al Global Service Desk sobre toda vulneración de la seguridad de la que tomen conocimiento incluidos, entre otros, el robo o la pérdida de computadoras personales e infecciones de virus informáticos. Los usuarios cumplirán los procedimientos que establezca el Departamento de Servicios de Información para abordar dichas vulneraciones de la seguridad. 9. Cifrado. Los usuarios no pueden usar procesos de cifrado que no sean aquellos que proporcione el Departamento de Servicios de Información. Los usuarios no pueden instalar software o claves de cifrado sin la aprobación del Departamento de Servicios de Información. 10. Contraseñas. Las contraseñas deben protegerse para evitar el acceso no autorizado a los sistemas de la empresa y no pueden compartirse con ninguna persona, a menos que sea en conexión con los sistemas que no permiten la delegación de acceso y, en dicho caso, únicamente en lo relativo a completar objetivos de trabajo. En especial, las contraseñas no deben almacenarse a plena vista, sobre escritorios ni publicarse en computadoras o computadoras portátiles. Si un usuario considera que su contraseña fue descubierta por otros (excepto como se establece en esta sección), el usuario cambiará la contraseña de inmediato. El Departamento de Seguridad de la Información mantendrá y comunicará los estándares de contraseñas. 11. Prohibición de mensajes e imágenes indebidas o agresivas. Los usuarios no pueden usar el sistema de la empresa de ninguna manera incluidos, entre otros, para ver, enviar, reenviar o publicar mensajes o imágenes dentro de la empresa o fuera de ella, que puedan agredir a cualquier persona o que violarían el Código de conducta de la empresa, su política sobre Abuso y discriminación en el lugar de trabajo, cualquier otra de sus políticas o criterios de buenas prácticas comerciales. 12. Prohibición de materiales obscenos. Los usuarios no pueden usar los sistemas de la empresa para acceder, descargar, leer, imprimir, ver, reenviar, crear o enviar ninguna imagen, dato, material o mensaje ofensivo, sexualmente explícito, obsceno o indecente.

5 13. Reembolso por gastos de comunicación. La información sobre el reembolso a los usuarios por gastos de comunicación se incluye en la Política de gastos por viajes y actividades recreativas de la empresa. 14. No se asume ninguna responsabilidad por el contenido en internet. La empresa no se responsabiliza por el contenido de ningún material que los usuarios vean o descarguen de internet. Acceso al hardware y software 15. Acceso a los sistemas de la empresa. El acceso de usuarios a los sistemas de la empresa, incluido acceso nuevo o modificaciones del acceso de usuarios existentes será brindado a los usuarios con los procedimientos que establezca el Departamento de Servicios de Información y estará disponible a través del Global Services Desk, cuyos procedimientos fijarán las aprobaciones y formularios necesarios. 16. Confidencialidad de la información de acceso. La información sobre os métodos de acceso a los sistemas de la empresa se considera confidencial y no puede publicarse en tableros de anuncios electrónicos, páginas web, no se puede listar en directorios telefónicos ni colocarse en tarjetas comerciales. 17. Compra de hardware. Todo el hardware informático y los accesorios relacionados que usan los usuarios para acceder a los sistemas de la empresa (además de los Dispositivos no administrados) debe adquirirse con los procedimientos que el Departamento de Servicios de Información instaure. Los usuarios deben ponerse en contacto con el Global Service Desk para recibir ayuda para usar los sistemas adquiridos. 18. Licencia e instalación de software. Además del software necesario para el Dispositivos no administrados, todo software debe ser amparado con una licencia otorgada por el Departamento de Servicios de Información, que además instalará dicho software. Los demás usuarios no podrán instalar software en ninguna computadora que sea propiedad de la empresa sin la aprobación del Departamento de Servicios de Información. Si se necesita software adicional en la computadora de un usuario para los objetivos comerciales del mismo, este deberá ponerse en contacto con el Global Service Desk y, si el software se encuentra dentro del software aprobado para la empresa por el usuario, el Departamento de Servicios de Información instalará dicho software en la computadora del usuario. Si el software no se encuentra entre el software aprobado, el usuario seguirá los procedimientos que establezca el Departamento de Servicios de Información para solicitar que dicho software sea amparado por una licencia de la empresa y se instale en su computadora. 19. Complimiento de las licencias de software. Los usuarios deben cumplir todas las licencias de software, derechos de autor y todas las demás leyes

6 estatales y federales que regulen la propiedad intelectual, así como toda otra ley internacional que sea procedente en materia de software, datos y archivos usados en los sistemas de la empresa. Los usuarios no deben copiar ni instalar software con licencia de Sealed Air en equipos que posean que no pertenezcan a Sealed Air (incluyendo los Dispositivos no administrados) sin la aprobación del Departamento de Servicios de Información. Asimismo, los usuarios no descargarán, transferirán ni compartirán material elaborado por un tercero como archivos de música o de video usando los recursos de la empresa sin el consentimiento de dicho tercero. Redes y comunicaciones 20. Sin desperdicios ni daños. Los usuarios deberían recordar que los recursos informáticos y de la red de telecomunicaciones son gastos de la empresa y pueden estar limitados por esta. Los usuarios no deberían sobrecargar la red con datos, imágenes gráficas, señales simultáneas de video o audio y almacenamiento de correos electrónicos excesivos o gastar el tiempo de conexión del equipo u otros recursos En especial, los usuarios no deben enviar mensajes "en cadena" ni distribuir mensajes a una audiencia mayor que la necesaria para el contenido del mensaje. Se debe tener precaución de evitar el uso de "responder a todos" cuando no se garantiza dicha acción. Además, los usuarios no deben participar a sabiendas en ninguna actividad que pueda ser perjudicial para otros sistemas o para la información almacenada en ellos, como la propagación de virus, interrupciones del servicio o aprobaciones de uso no autorizado, así como la eliminación o corrupción de archivos. 21. Prohibición de establecer segundas conexiones. Durante la conexión a los sistemas de la empresa, los usuarios no establecerán una segunda conexión, incluida toda conexión informática móvil, entre los sistemas de la empresa y cualquier otro sistema informático, línea de datos, línea telefónica o red, tanto directamente o a través de internet, o bien, otra red externa sin obtener la aprobación específica del Departamento de Servicios de Información y aplicando los procedimientos de seguridad indicados para dicha segunda conexión. Algunos ejemplos de conexiones admisibles y prohibidas incluyen: Admisible - 1. Una conexión a la red de la empresa, tanto a través de una tarjeta LAN, como de un punto de acceso inalámbrico/wlan o VPN. 2. Una conexión a Internet cuando NO se está conectado con la red de la empresa a través de una tarjeta LAN, punto de acceso inalámbrico/wlan o VPN. Prohibida - Una segunda conexión a Internet por medio de un módem o tarjeta de datos de celular mientras esté conectado con la red de la empresa a través de una tarjeta LAN, punto de acceso inalámbrico/wlan o VPN. 22. Compra de sistemas de comunicación, servidores de internet. Los usuarios no adquirirán, alquilarán, establecerán ni instalarán líneas de datos, líneas de voz, servicios de marcación, conexiones de módem, dispositivos de acceso inalámbrico, enrutadores, conmutadores, redes de área local ni ningún otro

7 sistema multiusuario para comunicar información para las instalaciones de la empresa sin la aprobación del Departamento de Servicios de Información. Los usuarios no establecerán ningún hardware junto a los sistemas de la empresa como un servidor de internet, a menos que el Departamento de Servicios de Información lo apruebe. Los usuarios se pondrán en contacto con el Global Service Desk para obtener dicha aprobación y aplicar los procedimientos de seguridad indicados para la instalación. Uso de páginas web internas 23. Uso con propósitos comerciales. Las páginas web que crean los usuarios en los sistemas de la empresa, como parte de la intranet o de un sistema de correo electrónico, se usarán únicamente a los efectos comerciales de la empresa. 24. Propiedad y control del contenido. Toda la información publicada en los sistemas de la empresa, incluida toda página web, es propiedad de la empresa y, si se trata de información confidencial de la empresa, debería mantenerse en confidencia y no ser divulgada a ningún tercero (por ejemplo al vincularla con dicho sitio) sin las protecciones contractuales correspondientes. La empresa se reserva el derecho de eliminar o cambiar todo contenido que sea publicado en un sistema de la empresa, incluida toda página web. Uso de sistemas de transmisión de mensajes 25. Transmisión de información a través de correo electrónico o internet. Los usuarios deben tener presente que las transmisiones a través de internet, correo electrónico o mensajería instantánea a aquellos que se encuentran fuera de la intranet de la empresa no son seguras, y pueden ser vistas por terceros. Como tal, se debe tener precaución antes de transmitir información privilegiada o confidencial de la empresa de dicha manera. Cuando se requiere el cifrado de dicha información, los usuarios se deben poner en contacto con el Global Service Desk para recibir ayuda para la instalación y el uso de software y sistemas de cifrado aprobados por el Departamento de Servicios de Información. Además, la transferencia de datos automáticos o sincronizados de los sistemas de la empresa al hardware fuera de los sistema de la empresa puede establecerse únicamente con el permiso y la participación del Departamento de Servicios de Información. 26. Uso de correo electrónico personal. La empresa le ofrece a los empleados que necesitan enviar mensajes para su función laboral cuentas de mensajes para conducir negocios. Todos los negocios de la empresa conducidos con mensajes deben efectuarse usando las cuentas que brinda la empresa y las cuentas de mensajería personal no deben usarse para conducir negocios de la empresa.

8 27. Participación en intercambio de información y medios sociales. Internet ofrece formas de intercambio de información, como, entre otras, tableros de anuncios, salas de chat, sitios de medios sociales, blogs y wikis, muchas de las cuales son útiles para la empresa y sus usuarios dado que conducen los negocios de la empresa. Las siguientes políticas se aplican a la participación del usuario en dichos intercambios, independientemente de si la participación se realiza con recursos que sean propiedad de la empresa o no. a. Intercambios externos con ausencia de inversión. Se trata de intercambios de información con terceros sobre cuestiones técnicas relativas los usuarios de investigación y desarrollo, Servicios de Información, legales y de finanzas, entre otros. Como con todas las formas de intercambio de información, los usuarios deben tener presente, que dado que participan terceros, toda publicación o participación en dichos intercambios de información en internet no debe divulgar ningún secreto comercial, información comercial o financiera privada u otra información confidencial. b. Intercambios internos. Si bien los intercambios de información interna que son accesibles únicamente a los usuarios de Sealed Air no tienen el mismo nivel de seguridad de los intercambios externos, las publicaciones y demás comunicaciones deberían realizarse de modo que sean consistente con la política de secreto comercial de la empresa y, en especial, con consideración de las limitaciones de divulgación de secretos comerciales o información comercial a aquellos más allá de los usuarios que "deben saber". c. Intercambios con inversión. Se trata de algunos intercambios de información dirigidos a los inversionistas actuales o posibles en la empresa, sus competidores, proveedores o clientes, o bien, que pueden abordar inversiones de empresas de nuestra industria por lo general. Además del riesgo de divulgación de secretos comerciales o información confidencial que existe con los intercambios con ausencia de inversión, existe además el potencial de que los usuarios exploten ilícitamente la información privilegiada u otras reglas de seguridad incluso accidentalmente. Si bien puede ser tentador publicar o responder a mensajes sobre este tipo de intercambio de información y, en especial, responder a elementos que considera falsos, para evitar dichas violaciones, los usuarios no pueden participar en intercambios de información que se dirijan a inversionistas actuales o posibles de la empresa, sus afiliados, competidores, proveedores o clientes, o bien inversiones en empresas de la industria de envasado e higiene, generalmente, excepto que se cuente con el consentimiento del director ejecutivo, el Consejo General o el vicepresidente de Comunicaciones y asuntos gubernamentales. d. Directrices para los medios sociales. La empresa publicará sus directrices para los medios sociales a la brevedad. Todos los usuarios deben consultar dichas directrices para obtener orientación sobre el mejor uso de los medios sociales en el contexto de su función laboral. 28. Contenido de mensajes.

9 a. Documentos comerciales. Los usuarios deben tener presente que los mensajes de todo tipo, incluidos los correos electrónicos, mensajes instantáneos, textos y blogs, dentro y fuera de la empresa constituyen documentos comerciales y pueden ser descubiertos en los litigios (y a menudo lo son). b. Contenido. Se debe prestar atención y tener precaución con el contenido y tono de los mensajes. Los mensajes deben ser verdaderos y correctos, y deben escribirse con estilo comercial. Los usuarios deben proporcionar una línea de asunto para facilitar su identificación. c. Uso de fotos. Se debe tener precaución de transmitir una imagen profesional en los correos electrónicos, incluida toda fotografía que acompañe el mensaje. Se prefiere una foto del empleado de los hombros para arriba contra un fondo neutral. Se debe tener precaución de no incluir ningún elemento en una foto que pueda constituir la propiedad intelectual de un tercero o que pueda implicar una conexión con dicho tercero. d. Uso de lemas. Se recomienda a los usuarios usar un bloque de firma con la información de contacto necesaria. Sin embargo, se prohíben las citas personales, los avisos de confidencialidad o exenciones legales adjuntas a los correos electrónicos, a menos que sean necesarios para el cumplimiento de los requisitos legales locales. 29. Retención de mensajes. Los usuarios asumen la responsabilidad de cumplir con la Política 9010 de Sealed Air, Política de administración/retención de registros sobre la retención de los registros de la empresa, que pueden incluir los correos electrónicos. Los usuarios sujetos a una retención jurídica deben seguir las recomendaciones del Departamento Legal con respecto a dichos registros, incluidos los correos electrónicos.