Política: USO DE INTERNET (Corporativo) Proceso: Gestión de Infraestructura y Plataformas

Transcripción

1 Objetivo Establecer el adecuado uso de los servicios de acceso a Internet en la compañía usados por los colaboradores, fijando criterios claros que permitan proteger los activos de información, minimizando la exposición del usuario al navegar por Internet, garantizando la productividad y optimizando el servicio. Alcance Esta política aplica a todos los colaboradores fijos, temporales, pasantes o services y personal de terceros, ubicados en todos los países de la Corporación. Glosario Activo de información: Cualquier información representada en forma electrónica, impresa o verbal que tenga un valor para la compañía y la plataforma de hardware donde éste reside. Gusano: Virus informático que se duplica a sí mismo, usualmente hasta agotar el espacio en disco. IM (Mensajería Instantánea): Se refiere a chats o herramientas que permiten comunicarse de manera instantánea a dos personas. Entre estos se incluyen Windows Messenger y Yahoo Messenger, entre otros. Información confidencial: Activo propiedad de la Compañía que contiene información de un proceso del negocio cuya pérdida de la confidencialidad, integridad y/o disponibilidad afectan las operaciones, estabilidad y/o utilidades del negocio. Esta clasificación aplica para información de uso exclusivo por parte de un grupo de la organización. La divulgación de esta información puede afectar las ventajas competitivas y/o causar daños patrimoniales a la organización y/o pudiese acarrear daños severos a la operación y/o reputación de la compañía o ser utilizada por persona ajenas a ésta, para fines particulares. Informe de navegación: Reporte generado por las herramientas tecnológicas de la compañía conformado por los siguientes ítems: Volumen: cantidad de información descargada desde internet por usuario. Tiempo de Conexión: Cantidad de tiempo que el usuario utiliza el servicio. (Interactuar con páginas web, escuchar audio / ver videos). Contenido extremo: (Acceso a sitios con contenido de violencia, narcóticos, terrorismo, armas, pornografía, racismo, entre otras). Malware: Programa diseñado para causar daños al hardware, software, redes u otros. A este tipo de programas pertenecen los virus, troyanos, gusanos, y cualquier programa malicioso. Phishing: Pagina Web falsa para hacer creer al visitante que se encuentra en el sitio web original, normalmente se utiliza con fines delictivos (adquirir información privada del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios). FM.GC (09/12 V3) Página 1 de 5

2 Software libre (GPL V3): Programa que se distribuye de forma gratuita bajo licencias de dominio público permitiendo que también se distribuya el código fuente. Software licenciable: Freeware: Software no libre que se distribuye sin costo, disponible para su uso y por tiempo ilimitado, No se autoriza su uso para fines comerciales a menos que se realice el pago de la licencia. Shareware: Software que se distribuye sin costo para ser probado durante un tiempo ("trial") limitado. SPAM: Correo electrónico habitualmente de tipo publicitario, enviado en forma masiva, y sin previa autorización del usuario que lo recibe. Tercero: Persona que cumple roles dentro de la compañía bajo el alcance de un contrato de servicios con un proveedor. Troyano: Es un programa malicioso que se oculta en el interior de otro programa de apariencia inocente. Una vez ejecutado, el troyano es capaz de permitir acceso a usuarios externos a través de la Intranet o Internet. Políticas LINEAMIENTOS GENERALES DE USO 1. La compañía define como software de navegación estándar el provisto por el sistema operativo que variará dependiendo de éste (Internet Explorer / Safari), solo se contemplara un navegador diferente (indicado por el área de Seguridad Informática), en situaciones excepcionales donde el rol del colaborador lo amerite. 2. La compañía cuenta con diferentes herramientas tecnológicas para monitorear el servicio de internet y proteger los sistemas de información evitando el ingreso de virus a la red privada. (malware, Phishing, Spam, etc.) 3. La compañía no permitirá ni avalará el uso indebido del acceso a Internet (acceso a páginas de contenido extremo: violencia, narcóticos, terrorismo, armas, pornografía, racismo, entre otras). 4. El acceso a servicios personales como bancos, compras, correo publico personal, paginas sociales y servicios de Chat están autorizados, sin embargo deben ser utilizados con MODERACION. 5. Todo activo de información debe resguardarse dentro de la organización, por ello se debe evitar el envío de información corporativa a cuentas de correo externas, siendo originadas desde el correo corporativo u otro correo público, a menos que esta actividad sea autorizada por el jefe inmediato. 6. Utilizar los servicios de forma responsable, racional de acuerdo a las labores inherentes a su cargo. 7. Esta política se rige bajo los principios estipulados de confidencialidad, disponibilidad integridad estipulados en la Política Marco de Seguridad de la Información PO.ST FM.GC (09/12 V3) Página 2 de 5

3 RESPONSABILIDADES DE LOS COLABORADORES 8. No difundir ni facilitar el usuario y contraseña de red, de acuerdo a la política de Usuario y contraseña PO.ST Reportar al área de seguridad informática ante cualquier evento que coloque en riesgo la información de la compañía. (sibelcorp@belcorp.biz). 10. Realizar una navegación segura a fin de proteger la información de la compañía : a) En caso de requerir un software específico con licencia o de uso libre (GPL V3), deberá ser solicitado a través de "RCR" y autorizado por medio del Jefe directo. b) Cualquier descarga y/o instalación de software que requiera licencia (freeware, Shareware), No está autorizada. (Por ejemplo: Winrar, Productos Macromedia, Productos contenidos en la suite de adobe, entre otros). c) No utilizar la opción de autoguardado de contraseñas tanto para la navegación, como para los servicios de banca personal o Corporativa. RESPONSABILIDADES DE LOS TERCEROS 11. El acceso a Internet u otros recursos para terceros y/o externos son servicios controlados, por lo cual deben ser solicitados y autorizados por el colaborador de la compañía responsable del externo. Este servicio debe ser solicitado vía RCR. 12. No difundir ni facilitar el usuario y contraseña de red, de acuerdo a la política de Usuario y contraseña PO.ST Reportar al área de seguridad informática ante cualquier evento que coloque en riesgo la información de la compañía. (sibelcorp@belcorp.biz). 14. Realizar una navegación segura a fin de proteger la información de la compañía : d) En caso de requerir un software específico con licencia o de uso libre (GPL V3), deberá ser solicitado a través de "RCR" y autorizado por medio del contratante. e) No utilizar la opción de autoguardado de contraseñas tanto para la navegación, como para los servicios de banca personal o Corporativa. 15. Contar con el licenciamiento respectivo para todo el software instalado sobre el equipo de cómputo. 16. Mantener los equipos de cómputo con las debidas actualizaciones críticas y de seguridad para el sistema operativo y el navegador definido. 17. Tener un software antivirus actualizado. FM.GC (09/12 V3) Página 3 de 5

4 RESPONSABILIDADES DE LAS DIRECCIONES Y/O GERENCIAS 18. Realizar seguimiento continuo sobre la correcta utilización de este recurso, el cual se brinda para apoyar las labores inherentes al rol de cada colaborador. RESPONSABILIDADES DE GESTIÓN HUMANA 19. Revisar la conducta del empleado al infringir cualquier derecho de autor, propiedad intelectual o industrial, envío de información obscena o que constituya pornografía en cualquiera de sus estilos, sea injuriosa, calumniosa o constituya una amenaza a la integridad de las personas y/o aliente conductas que puedan constituirse en ofensas o puedan comprometer la seguridad, confidencialidad, disponibilidad y privacidad de la información de la Compañía así como la estabilidad de la red por virus. 20. Asegurar la firma de la cláusula de confidencialidad de la información con los nuevos Colaboradores que ingresen a la Compañía, la cual se encuentra publicada en el Sistema de Gestión Documental. RESPONSABILIDADES DE TECNOLOGÍA DE LA INFORMACIÓN 21. Garantizar la productividad de los usuarios que emplean este servicio brindando una administración, control y auditoría adecuados, emitiendo reportes e indicadores que aseguren el buen uso registrando básicamente: tiempo de uso (Interactuar con páginas web, escuchar audio / ver videos), Volumen (descarga de archivos) y acceso a contenido extremo (acceso a sitios indebidos), entre otros, con el fin de tomar las acciones necesarias para comportamientos que estén en contra de este documento. 22. Hacer auditorías al servicio de Navegación. 23. Notificar al colaborador con copia al jefe directo en los siguientes casos: a) Cuando el colaborador exceda el uso racional del servicio. b) Acceso al sitios no autorizados (acceso a páginas de contenido extremo: violencia, narcóticos, terrorismo, armas, pornografía, racismo, entre otras). 24. Bloquear acceso a sitios que afecten la calidad del servicio y no sean requeridos para la operación de la compañía (Megaupload entre otros). 25. Brindar herramientas para prevenir la navegación en sitios no seguros y/o descargas de software que contenga código malicioso. (SiteAdvisor de Mcafee). 26. Mantener niveles de seguridad adecuados en la configuración del navegador (Internet Explorer / Safari). 27. No asignar accesos a internet para usuarios genéricos. FM.GC (09/12 V3) Página 4 de 5

5 28. Emitir instructivos que contengan las buenas prácticas en el uso de las herramientas. 29. Bloquear técnicamente el envío/recepción de archivos vía IM (Mensajería instantánea). 30. Pedir aprobación del área de Seguridad Informática al aplicar reglas sobre Fw/IPS/ePo/Internet. RESPONSABILIDAD EN CASO DE INCUMPLIMIENTO 1. Las personas y/o entidades interesadas que incumplan las normas de confianza y/o buena fe establecidas en este documento o que intente inhabilitar, vencer o sobrepasar cualquier control de seguridad de la información, motivará la revisión de la relación establecida con la Compañía, con medidas proporcionales al daño causado o según lo convenido en el contrato o acción legal, en el caso de terceros. El alcance de la misma estará amparado por la cláusula de confidencialidad de la información establecida al iniciar la relación contractual. 2. Los terceros o visitantes que accedan a servicios Internet de la compañía y que aparezcan registrados en la herramienta de control de navegación por Internet de la compañía con accesos a páginas de contenido extremo o por superar los consumos promedio de tiempo de conexión y volumen de información trasportada serán citados por su respectivo contratante. Documentos de Referencia y Anexos Política, Marco de seguridad de la información PO.ST Política, Usuario y contraseña PO.ST Control de Cambios Versión Fecha del Cambio Razón del Cambio 1 17/08/ /06/ Se modifican lineamientos en todo el documento, se eliminan responsabilidades a Colaboradores/ terceros, Direcciones y/o Gerencias, Gestión Humana y Tecnología de la Información. 2. Ya no se utiliza el anexo Grupos de acceso a Internet AN.ST dentro del documento. 1. Se realiza modificación general del documento (Objetivo, Glosario, lineamientos generales y responsabilidades para las diferentes áreas). 2. Cambia el elaborador y el aprobador del documento. FM.GC (09/12 V3) Página 5 de 5