TS Security Rules para empleados internos y externos. T-Systems ICT Iberia, S.A.U.

Transcripción

1 TS Security Rules para empleados internos y externos T-Systems ICT Iberia, S.A.U. Version/Versión V01.01 Stand/Fecha Sept. 12, 2013 Status/Estado Final Internal /

2 Detalles Publicación T-Systems Iberia Publisher / Publicado por T-Systems ICT Iberia, S.A.U. Security Management Avda. Sancho de Avila, , Barcelona, Spain Scope Ámbito Extracto de las reglas de 290_TS-Security-Rule- Base_TSIberia_MN-EN-ES_SEC_IB que aplican a los empleados internos y externos de T-Systems Iberia. Translation Language / Idioma de Traducción Spanish / Español Translator / Traductor Translation reviewed by / Traducción revisada por Translation released by / Traducción liberada por Roberto Andrés Antonio Tarjuelo (290_TS-Security-Rule- Base_TSIberia_MN-EN-ES_SEC_IB) Management Board T-Systems ITC Iberia, S.A.U. / Comité de Dirección T- Systems ITC Iberia, S.A.U. Contact / Contacto Phone / Fax / Teléfono/fax / TSIberia Security Management - Security.Management@t-systems.es

3 Histórico Cambios Traducción Version Versión Last Revised Última revisión Author Autor Changes / Comments Cambios / Comentarios Mar. 15, 2013 Sept. 12, 2013 TSIberia Sec Mgmt Team Gemma Pérez Versión 1.0 publicada Eliminación cap. Proyectos y redes (Cap. 4.3), actualización cap. Incidentes de Seguridad (Cap. 5.2) Note: Translation on behalf of T-Systems ITC Iberia, S.A.U. Nota: Traducción en nombre de T-Systems Iberia Author: Security Management Version V01.01 Page 3 of 12

4 Índice 0 Reglas de Seguridad para Empleados s y Externos Protección de Contraseñas y otros medios de autenticación (Cap.4.6) Comunicación por correo electrónico (Cap. 3.5 y 3.8) Instalación de software, hardware y licencias (Cap. 4.3, 4.7 y 6.2) Acceso remoto (Cap. 4.4) Reproducción (Cap. 3.7) Transmisión (Cap. 3.8) Eliminación y Reparación de Soportes de Datos (Cap. 3.9) Clean Desk (Cap. 3.6 y 4.6) Incidentes de Seguridad (Cap. 5.2) Requisitos de ID (Cap. 6.8) Prevención y Concienciación de Seguridad (Cap. 7.4) Información de Compañía (Cap.3.3) Principios de Protección (Cap.3.4) Clasificación para el Objetivo de Protección Confidencialidad (Cap.3.4.1) Clasificación para el Objetivo de Protección Disponibilidad (Cap.3.4.2) Clasificación para los Objetivos de Protección Integridad, Autenticidad (Cap.3.4.3) Clasificación / Etiquetado de la Información (Cap.3.5) Datos de Carácter Personal e Información de Empresa (Cap.3.6) Security Management Author: Security Management Version V01.01 Page 4 of 12

5 0 Reglas de Seguridad para Empleados s y Externos El presente documento aplica a todos los empleados de T-Systems. Contiene un breve resumen de las reglas vigentes del T-Systems Security Rule Base para empleados internos y externos de T-Systems, se completa con una introducción de la T-Systems Company Security Policy y con los contactos para indicentes de seguridad y preguntas en el capítulo Security Management Los capítulos y los números entre corchetes hacen referencia a la T-Systems Security Rule Base Todos los empleados debe contribuir para asegurar la seguridad de la información y de todos los activos de T-Systems. Los empleados deben conocer sus responsabilidades en materia de seguridad por iniciativa propia, y han de preguntar cualquier requerimiento que crean que es ambiguo o ininteliglible. Deben oponerse a cualquier instrucción que sea evidentemente ilegal. Los empleados han de notificar a la compañía cualquier riesgo de seguridad e incidente relevante que conozca. Esta información la puede proporcionar a través de su superior o por los canales de comunicación especiales que existan para esos propósitos. T-Systems garantizará la confidencialidad de los empleados que deseen divlugar estos datos o quienes estén en duda sobre la legalidad de las ordenes recividas de sus superiores y que requieran consejo, y asegurá que estan protegidos adecuadamente ante cualquier desventaja) (fuente: TS Company Security Policy, V01.02) 1 Protección de Contraseñas y otros medios de autenticación (Cap.4.6) La contraseña debe ser de al menos 8 caracteres y estar formada por tres de las categorías siguientes: minúsculas, mayúsculas, números y caracteres especiales. (3027) La contraseña, por norma, no deberá ser revelada a otras personas y deberá ser cambiada de forma inmediata si por cualquier motivo fuere necesaria la relevación de la misma. (3028) Cada nuevo usuario recibe su propia contraseña inicial que debe ser cambiada cuando inicie su sesión por primera vez. El primer inicio de sesión debe llevarse a cabo durante las primeras 24 horas después de recibir la contraseña inicial. (3045) La contraseña no debe aparecer en texto plano cuando es introducida. (3046) La contraseña debe ser cambiada por el usuario por lo menos cada 90 días. (3047) La nueva contraseña debe diferir de las últimas 5 contraseñas y no debe haber sido utilizado en los últimos 2 meses. El usuario debe ser capaz de cambiar su propia contraseña en cualquier momento (sin período de validez mínimo). (3048) Después de un máximo de 5 intentos fallidos al introducir una contraseña, el acceso al sistema deberá bloquearse. (3049) Author: Security Management Version V01.01 Page 5 of 12

6 2 Comunicación por correo electrónico (Cap. 3.5 y 3.8) Los datos confidenciales o estrictamente confidenciales tan solo pueden ser enviados de forma electrónica (por ej. por e- mail) de forma cifrada. (2007) La configuración de una transmisión automática de información de la empresa a terceros no está permitida (por ej. buzones de voz externos). Las excepciones deben ser autorizadas por el creador de la información. (2025) El envío o reenvío de mensajes electrónicos a cuentas privadas (es decir, correo electrónico, buzón de voz, SMS) de los empleados o terceras partes no esta permitido en general. (2035) 3 Instalación de software, hardware y licencias (Cap. 4.3, 4.7 y 6.2) Los recursos puestos a disposición por parte de la empresa deberán ser usados exclusivamente para la realización de actividades de empresa. (5003) La configuración de los ajustes relevantes de seguridad para sistemas IT/NT pueden ser únicamente modificados por el servicio de IT/NT responsable. (3011) Por norma, los sistemas privados de empleados no podrán ser operados en de la red corporativa. (3032) Los empleados serán responsables de respetar las provisiones de seguridad y sobre licencias de los componentes de hardware y software que usen. (5004) Datos de empresa deberán estar almacenados en los sistemas IT/NT centrales. (3012) Los sistemas IT/NT (sistemas de aplicación, file servers, sistemas de , etc.) deben protegerse con scanners de virus cuyos pattern files sean actualizados automáticamente. (3010) Los discos duros de los dispositivos móviles se deberán cifrar de acuerdo al estado del arte de las posibilidades técnicas (3041) 4 Acceso remoto (Cap. 4.4) Los accesos desde Internet o a través de conexión telefónica desde redes públicas a redes corporativas estará únicamente permitido si se realiza con un proceso de autentificación efectivo (SmartCard o one-time password) y únicamente con el uso de un enlace cifrado. (3016) Las conexiones sin una autentificación fuerte (SmartCard o one-time password) y sin conexión cifrada están únicamente permitidos para subredes creadas específicamente para este uso (DMZ), a través de las cuales no es posible un acceso directo a la LAN del sitio. (3017) 5 Reproducción (Cap. 3.7) Las copias, extractos, duplicados, microfilms y traducciones de informaciones y dispositivos de almacenamiento clasificados tan solo podrán ser realizados en caso de necesidad. Deberán ser tratados de igual manera que los respectivos originales. (2018) Author: Security Management Version V01.01 Page 6 of 12

7 La reproducción de informaciones estrictamente confidenciales tan solo se podrá realizar con el permiso explicito del autor. Dicho permiso debe ser documentado. (2019) 6 Transmisión (Cap. 3.8) La información confidencial y estrictamente confidencial puede transmitirse únicamente con el permiso del creador. Él decide qué grupo de personas pueden tener acceso a esta información. (2020) Los receptores de información estrictamente confidencial deben ser documentados. (2021) El requisito para la transmisión de información confidencial o estrictamente confidencial a terceros externos al Grupo, la existencia de un acuerdo de confidencialidad (Non Disclosure Agreement). (2024) La transmisión de datos electrónicos confidenciales y estrictamente confidenciales (por ej, correo electrónico) se ha de hacer siempre de manera cifrada (2007) A terceros externos al Grupo (por ej. partners contractuales) se deben entregar únicamente aquellas informaciones que sean absolutamente necesarias para realizar negocios. (2022) El principio de need-to-know se ha de aplicar a la transmisión de datos (2023) Sólo esta permitido utilizar los procedimientos de cifrado aprobados por T-Systems. (2036) 7 Eliminación y Reparación de Soportes de Datos (Cap. 3.9) Los soportes de información (por ej. soportes de datos móviles, discos duros, papel, etc.) con información de la categoría Interna deben ser eliminados de tal manera que no se pueda a acceder a ellos de forma no autorizada. (2026) Los soportes de datos de la clase Confidencial deben ser eliminados de tal forma que una recuperación de sus informaciones se pueda realizar únicamente con una alta cantidad de tiempo, personas y herramientas de soporte. (2027) Para información de la clase Estrictamente confidencial deberá ser imposible recuperar la información con medios técnicos actuales. (2028) Los soportes de datos no cifrados deben ser eliminados o destruidos de forma irrecuperable antes de su entrega a terceros. (2029) Si fueran necesarias reparaciones por parte de externos a la compañía sin que haya sido posible eliminar de forma segura los datos almacenados, estas reparaciones podrán ser únicamente realizadas por acuerdo específico con observación del principio de 4 ojos (4-eyes-principle). (2030) La eliminación segura de datos suele ser necesaria por normal general cuando el medio u ordenador cambia de usuario principal. (2031) Si la información ha de ser destruida por terceras empresas, los acuerdos contractuales con los proveedores de servicios deben describir el procedimiento en detalle y también han de hacer referencia a las consecuencias jurídicas en caso de que el acuerdo no se cumpla. (2037) Author: Security Management Version V01.01 Page 7 of 12

8 8 Clean Desk (Cap. 3.6 y 4.6) Al abandonar el puesto de trabajo debe activarse la protección de acceso al ordenador. (3030) La información en el puesto de trabajo debe ser protegida durante las ausencias con un escritorio recogido y la puerta del despacho cerrada. (2017) 9 Incidentes de Seguridad (Cap. 5.2) El departamento de Security Management responsable deberá definir qué incidentes se consideran relevantes a nivel de seguridad: Robo o intento de robo de datos Manipulation datos y sistemas Ataques graves contra la red de la compañia Hacking Virus Esto también aplica a la sospecha de los incidentes arriba citados. (4001) Notificación de incidentes de seguridad Cualquier empleado y colaborador que detecte una incidencia o vulnerabilidad de seguridad o protección de datos personales, deberá informar a su responsable y notificar la misma a T-Syste Systems Situation Center: Teléfono Correo Konzernlagezentrum@telekom.de Web Para facilitar la rápida solución de la incidencia, también se puede notificar la misma a través de los canales establecidos en función del tipo de incidencia: Siempre que se trate de incidentes relativos a la seguridad física de edificios e instalaciones a nivel corporativo se notificará a través de los buzones de Facility Management adjuntando el formulario 254_Formulario_Informe_Incidencias_Seguridad_Física_FO_ES_SEC_IB (Ver lista de Buzones y Teléfonos de seguridad en la página de Facility Management). Siempre que se trate de Incidencias relativas a Infraestructuras ICT que se gestionan directamente por Delivery, serán registradas en la herramienta de Ticketing (Ver categorización Incidencias de Seguridad en COSIMA) Siempre que se trate de incidencias relativas al puesto de trabajo se notificarán al BUZON TSE HELPDESK o bien mediante teléfono en la Ext Cualquier incidencia sobre Protección de Datos Personales se notificará al Buzón de Proteccion.Datos.Personales@T-Systems.es Cualquier otra Incidencia de seguridad se notificará al Buzón de Security.Management@T-Systems.es adjuntando el formulario 252_Formulario_Notificación_Incidentes_Seguridad_FO_ES_SEC_IB Author: Security Management Version V01.01 Page 8 of 12

9 10 Requisitos de ID (Cap. 6.8) Dentro de las instalaciones, el personal interno, externo y las visitas deberán llevar identificaciones de empresa, del edificio, y de visitantes de forma visible en todo momento. (5025) 11 Prevención y Concienciación de Seguridad (Cap. 7.4) Es un principio requerido para todos los empleados el participar en todas las sesiones online de concienciación del Security Management T-Systems. (6004) La clasificación según clases de protección es obligatoria a lo largo de todas las etapas de su procesamiento. (2009) 12 Información de Compañía (Cap.3.3) La información de la compañía es toda aquella información que se genera, procesa o almacena dentro de la compañía, incluyendo datos personales. Esto incluye la información de relaciones con clientes y proveedoers. La información puede estar disponible en diferentes formas y en diferentes medios, como por ejemplo, electrónicamente (en sistemas o en medio de datos), impresos e incluso de manera verbal. 13 Principios de Protección (Cap.3.4) Los siguientes objetivos de protección deben de ser respetados en la protección de información y datos: Confidencialidad Disponibilidad Integridad Autenticidad Asegurar que la información sólo está accesible para quienes están autorizados a ello; la información no debe estar disponible o ser revelada a personas, entidades o procesos no autorizados. Cualidad de una información de ser accesible y utilizable bajo demanda para un individuo, entidad o proceso autorizado. Salvaguardar la exactitud y completitud de la información y datos. Confirmar y proveer la evidencia de que el emisor/creador y el receptor de una información son de forma claramente demostrable el emisor/receptor previstos. 14 Clasificación para el Objetivo de Protección Confidencialidad (Cap.3.4.1) Abierto Su acceso no autorizado no resulta en daños económicos. Aplicable a informaciones que estén destinadas al público. Su acceso no autorizado puede resultar en daños económicos. Aplicable a información que es de importancia para la empresa. Author: Security Management Version V01.01 Page 9 of 12

10 Confidencial Estrictamente Confidencial Su acceso no autorizado puede resultar en daños económicos importantes. Aplica a información de gran importancia para la empresa. Su acceso no autorizado puede resultar en daños económicos muy importantes para la empresa o Grupo. Esta información es de importancia para la estrategia de la empresa. Esta información está destinada únicamente a un círculo de personas claramente definido. 15 Clasificación para el Objetivo de Protección Disponibilidad (Cap.3.4.2) Los siguientes criterios de decisión ayudan a asignar una información a su clase de protección (Clasificación) para el Objetivo de Protección Disponibilidad. Baja disponibilidad Disponible a corto plazo Disponibilidad inmediata Disponibilidad permanente La información puede estar no disponible durante largos periodos de tiempo, en casos extremos de forma indefinida, sin que ello afecte al funcionamiento de la empresa. La información debe estar disponible a corto plazo. Procesos y sistemas dependientes de la información no tienen requisitos de la clase de protección Disponibilidad inmediata que puedan verse afectados. La información debe estar disponible de forma inmediata. Procesos y sistemas dependientes de la información tienen requisitos de la clase de protección Inmediatamente disponible para la información que pueda verse afectada. La información debe estar siempre disponible Los procesos y sistemas dependientes de la información tienen requisitos de la clase de protección Disponible permanentemente para la información que pueda verse afectada. 16 Clasificación para los Objetivos de Protección Integridad, Autenticidad (Cap.3.4.3) A diferencia de los objetivos de protección Confidencialidad y Disponibilidad no se definen de forma concreta los objetivos de protección Integridad y Autenticidad en esta Política de Empresa. Dependiendo de la información o grupo de informaciones similares pueden especificarse clases de información para Integridad y Autenticidad (incluyendo las provisiones de clasificación y etiquetado) a nivel de requisitos de Seguridad o respecto a procesos de negocio específicos o de sistemas IT/NT. 17 Clasificación / Etiquetado de la Información (Cap.3.5) Para la información clasificada como Abierta debe haber una documentación escrita sobre el proceso de liberación. Puede pero no necesariamente debe ser etiquetada con como Abierta (por ej. folletos de ferias comerciales, contenidos de Internet, publicidad, etc.). (2004) Toda la información de la empresa es considerada como Interna a menos de que se especifique lo contrario. Puede pero no necesariamente debe ser etiquetada como Interna. (2005) En caso de duda, la información no etiquetada será considerada como Interna. (2012) Author: Security Management Version V01.01 Page 10 of 12

11 La información clasificada como Confidencial o Estrictamente confidencial debe estar siempre marcada como tal. (2006) El autor de la información será responsable de su clasificación. (2008) Todos los empleados están obligados a tratar la información disponible o generada dentro de su área de trabajo con cuidado y de acuerdo a los principios de protección en funcion de la clasificación del documento. La clasificación según clases de protección es obligatoria a lo largo de todas las etapas de su procesamiento. (2009) Se debe asegurar que a la hora juntar informaciones individuales, se aplique al conjunto de informaciones la categoría de protección de la información con la clase más alta de las informaciones individuales. (2010) Durante la creación de nueva información consolidando piezas sueltas de información, se ha de comprobar si la nueva información requiere más protección que las piezas sueltas. La asignación de la clasificación estrictamente confidencial ha de ser confirmada por un director. Se excluyen las clasificaciones de los miembros del Managing Board. (2040) Los datos procesados automaticámente tienen que ser clasificados en la estructura del modelo de datos. (2033) Los documentos con clases de protección "Confidencial" y "Estrictamente Confidencial" deben ser etiquetados como tales en cada página. La clasificación correcta debe ser visible en el idioma Inglés, con independencia del idioma del documento o de datos. Se recomienda la traducción de la etiqueta de clasificación en el idioma del documento o de los datos. La información clasificada sólo podrá almacenarse en las plataformas previstas por la compañía que hayan sido aprobadas para su uso con en este tipo de protección. (2034) Los sistemas IT/NT han de informar a los usuarios sobre los requerimientos de seguridad cuando se introducen los datos. 18 Datos de Carácter Personal e Información de Empresa (Cap.3.6) Los siguientes principios concretan el uso de informaciones y datos: Need-to-know El acceso a información y datos debe estar restringido a un grupo de personas claramente definido y para un uso estrictamente necesario para la realización de una tarea concreta. Need-to-see El entorno y los medios de trabajo deben organizarse de tal forma que personas no autorizadas no puedan conseguir acceso a informaciones y datos. Need-to-have La información tan solo podrá ser recogida y almacenada en la extensión que esté permitido o sea necesario en el interés de T-Systems o debido a requisitos legales o debido a obligaciones contractuales con los clientes. Todas las informaciones de la empresa necesitan atención especial tanto en su tratamiento oral, electrónico o por escrito. (2013) Los trabajadores deberán limitar el manejo de los datos de carácter personal (recogida, procesado, uso) a su finalidad confirmada y permitida. (2014) Author: Security Management Version V01.01 Page 11 of 12

12 Los datos de carácter personal deberán ser tratados de forma confidencial. (2015) Hasta que la información no haya sido liberada por parte de la empresa para terceros, ésta no podrá ser transmitida a terceros. (2016) 19 Security Management Contacto para temas de Seguridad: TS Iberia Security Management Security.Management@t-systems.es Contacto para temas de Security Management: TS Security Management Link: Intranet TS: Company > Legal Affairs > Security Management security.information@t-systems.com Contacto para Incidentes de Seguridad: T-Systems Situation Center (365*24 hour phone hotline) Teléfono: Konzernlagezentrum@telekom.de Los incidentes de seguridad se han de reportar a T-Systems Situation Center Author: Security Management Version V01.01 Page 12 of 12