Política de Uso Aceptable Julio 2016

Transcripción

1 1. INTRODUCCIÓN La seguridad efectiva es un trabajo en equipo con la participación y el apoyo de todos empleados y afiliados de la empresa que trabajan con información y/o sistemas de información. Es responsabilidad de cada usuario de equipos de cómputo conocer estas guías y de conducir sus actividades en acorde a ellas. La intención del departamento de Seguridad de la Información en adelante InfoSec con la publicación de esta Política de Uso Aceptable no es la de imponer restricciones que sean contrarias a la cultura establecida de apertura, confianza e integridad de la empresa. InfoSec está comprometido a proteger a empleados, socios y a la empresa de acciones ilegales o perjudiciales que podrían ser realizadas por individuos, ya sea de manera intencional o no. Los sistemas relacionados con Internet, Extranet e Intranet, incluyendo pero no limitado a los equipos de cómputo, software, sistemas operativos, medios de almacenamiento, cuentas de correo electrónico, los servicios de navegación Web y FTP, son propiedad de la empresa. Estos sistemas deben ser utilizados para fines comerciales en el servicio de los intereses de la empresa y sus clientes en el curso de operaciones normales. 2. OBJETIVO El objetivo de esta política es determinar el uso aceptable de equipo de cómputo en la empresa. Estas reglas están creadas para proteger al empleado y a la empresa. El uso inapropiado expone a la empresa a riesgos, incluyendo ataques de virus, comprometer sistemas y servicios de red, además de cuestiones legales. 3. ALCANCE Esta política aplica al uso de información, dispositivos electrónicos e informáticos, recursos de red para realizar actividades comerciales de la empresa o interactuar con las redes internas y sistemas del negocio, propietarios, arrendados por la empresa, el empleado o un tercero. Todos los empleados, contratistas, consultores, trabajadores temporales, otros trabajadores de la empresa y sus filiales, son responsables de ejercer el buen juicio con respecto al uso apropiado de información, dispositivos electrónicos y recursos de la red de acuerdo con las políticas y estándares de la empresa, así como leyes y reglamentos locales. Las excepciones a esta política están documentadas en la sección 5.2. Esta política aplica a los empleados, contratistas, consultores, trabajadores temporales y otros trabajadores en la empresa, incluyendo todo el personal afiliados a terceros. Esta política se aplica a todos los equipos propiedad o arrendado por la empresa. 4. POLÍTICA 4.1 Uso General y Propiedad La información propiedad de la empresa almacenada en dispositivos electrónicos e informáticos ya sea propietarios o arrendados por la empresa, de un empleado o de un tercero, sigue siendo propiedad exclusiva de la empresa. Usted debe asegurarse a través de medios legales y/o técnicos que la información propietaria está protegida en conformidad con el Estándar de Protección de Datos. Página 1

2 4.1.2 Usted tiene la responsabilidad de reportar de inmediato sobre un robo, pérdida o divulgación no autorizada de información propietaria de la empresa Usted puede acceder, usar o compartir información propiedad de la empresa en la medida en que esté autorizado y sea necesario para cumplir con sus funciones asignadas de trabajo Los empleados son responsables de ejercer un buen juicio sobre el uso de aplicaciones de interés personal. Los departamentos de forma individual son responsables de la creación de guías referentes al uso de sistemas de interés personal en Internet / Intranet / Extranet. En ausencia de tales guías, los empleados deben de ser dirigidos por las políticas departamentales referentes al uso de aplicaciones de interés personal y si hay alguna duda, los empleados deben consultar a su supervisor o gerente Por razones de seguridad y mantenimiento de la red, el individuo autorizado dentro de la empresa puede monitorear equipos, sistemas y el tráfico de red en cualquier momento, por la Política de Auditoria del departamento de seguridad La empresa se reserva el derecho de auditar las redes y sistemas de manera periódica para asegurar el cumplimiento de esta política. 4.2 Seguridad de Información Propietaria Todos los dispositivos móviles y de cómputo que se conectan a la red interna deben cumplir con la Política de Acceso Mínimo Las contraseñas a nivel de sistema y a nivel de usuario deben cumplir con la Política de contraseñas. Está prohibido facilitar el acceso a otros individuos, ya sea deliberadamente o por error Todos los dispositivos informáticos deben asegurarse con un protector de pantalla protegido por contraseña con la función de activación automática a los 10 minutos o menos. Usted debe bloquear la pantalla o cerrar la sesión cuando el dispositivo esté desatendido Cualquier publicación de información realizada por empleados utilizando o ligada a una dirección de correo electrónico de la empresa a grupos de noticias, foros, redes sociales, etc., debe de contener una advertencia que indique que las opiniones expresadas son estrictamente suyas y no necesariamente las de la empresa, a menos que las publicaciones formen parte de sus labores en la empresa Los empleados deben extremar precauciones al abrir archivos adjuntos de correo electrónico recibidos de remitentes desconocidos, que pueden contener malware. Página 2

3 4.3 Uso Inaceptable Las siguientes actividades están, en general, prohibidas. Los empleados pueden quedar exentos de estas restricciones durante el desempeño legítimo de sus labores de trabajo (por ejemplo, el personal de la administración de sistemas puede tener la necesidad de desactivar el acceso a la red de un equipo si ese equipo está interrumpiendo servicios en producción). Bajo ninguna circunstancia un empleado de la empresa está autorizado a participar en actividades que sean ilegales bajo las leyes estatales, locales, federales o internacionales, utilizando recursos de la empresa. La lista a continuación no es de ninguna manera exhaustiva, pero intenta proporcionar un marco para las actividades que entran en la categoría de uso inaceptable Actividades de Red y Sistemas Las siguientes actividades están estrictamente prohibidas, sin excepciones: 1. Violaciones a los derechos de cualquier persona o empresa protegida por derechos de autor, secretos de marca, patentes u otra propiedad intelectual o a leyes o reglamentos similares, incluyendo, pero no limitado a la instalación o distribución de software "pirata" u otros productos de software que no tengan licencia apropiada para su uso en la empresa. 2. La copia no autorizada de materiales con derechos de autor, incluyendo, pero no limitado a la digitalización y distribución de fotografías de revistas, libros u otras fuentes con derechos de autor, la música con derechos de autor y la instalación de software con derechos de autor para el cual la empresa o el usuario final no cuenta con una licencia activa, está estrictamente prohibido. 3. El acceso a datos, servidores o cuentas para cualquier propósito que no sea para la realización de actividades del negocio, incluso si cuenta con acceso autorizado, está prohibido. 4. La exportación de software, información técnica, software o tecnología de cifrado, en violación de las leyes internacionales o regionales de control de exportaciones, es ilegal. Debe ser consultado el manejo adecuado antes de la exportación de cualquier material de esta índole. 5. Introducción de programas maliciosos en la red o en servidores (por ejemplo, virus, gusanos, caballos de Troya, bombas de correo electrónico, etc.). 6. Dar contraseñas de sus cuentas a otras personas o permitir el uso de sus cuentas por otros. Esto incluye a amigos y familiares cuando el trabajo se está haciendo en casa. 7. El uso de un activo de cómputo de la empresa para participar, reclutar o transmitir materiales que están en violación de las leyes locales de acoso sexual u hostilidad en el lugar de trabajo. Página 3

4 8. Hacer ofertas fraudulentas de productos, artículos o servicios procedentes de cualquier cuenta propiedad de la empresa. 9. Efectuar brechas de seguridad o interrupciones de la comunicación en red. Las violaciones de seguridad incluyen, pero no se limitan a acceder a datos para los que no se es destinatario o conectarse a un servidor o cuenta a la cual el empleado no está expresamente autorizado a acceder, a menos que estas funciones estén dentro del alcance de sus funciones regulares. Para los propósitos de esta sección, "interrupción" incluye pero no se limita al espionaje en la red, inundaciones de ping, suplantación de paquetes, denegación de servicios, etc., con fines maliciosos. 10. El Barrido de Puertos y escaneos de seguridad están expresamente prohibidos a menos que se realice una notificación y autorización previa ante el departamento de Seguridad de la Información. 11. La ejecución de cualquier forma de análisis de red que intercepte datos no destinados a la máquina del empleado, a menos que esta actividad sea parte del trabajo normal del empleado. 12. Eludir la autenticación de usuarios y la seguridad de cualquier equipo de cómputo, de red o cuenta. 13. La introducción de sistemas Honeypots, Honeynets o tecnología similar en la red empresarial. 14. Interferir o negar servicios a cualquier usuario diferente a él mismo (por ejemplo, ataque de denegación de servicio) 15. El uso de cualquier programa / script / comando o el envío de mensajes de cualquier tipo, con la intención de interferir o deshabilitar las sesiones de terminal de algún usuario, a través de cualquier medio, de forma local o a través de Internet / Intranet / Extranet. 16. Proporcionar información sobre empleados o listas de los empleados de la empresa a externos. 17. El ingreso a la empresa y uso de cualquier dispositivo de almacenamiento masivo tales como memorias USB, discos duros, etc., está prohibido, para su autorización e ingreso debe de acudir al departamento de InfoSec previamente. 18. La extracción de información propiedad de la empresa utilizando cualquier medio que no esté relacionada con sus labores normales de trabajo. 19. El acceso a sitios Web de dudosa reputación o potencialmente peligrosos, tales como de Pornografía, Malware, Piratería, Proxy, etc Correo Electrónic y Actividades de Comunicación Al utilizar recursos de la empresa para acceder y utilizar el Internet, los usuarios deben darse cuenta que representan a la empresa. Siempre que los empleados afirmen tener una afiliación a la empresa, Página 4

5 deben indicar claramente que "las opiniones expresadas son mías y no necesariamente las de la empresa". Si tiene preguntas por favor diríjalas al Departamento de TI. 1. Envío de mensajes de correo electrónico no solicitados, incluyendo el envío de "correo basura" u otro material publicitario a personas que no hayan solicitado específicamente dicho material (correo electrónico no deseado). 2. Cualquier forma de acoso a través de correo electrónico, teléfono u otro medio, ya sea a través del lenguaje, frecuencia o tamaño de los mensajes. 3. El uso no autorizado o la alteración del contenido de encabezados de correo electrónico. 4. Solicitar por correo direcciones de correo electrónico a cualquier persona, con la intención de acosar o para recolectar las respuestas. 5. Crear o reenviar "cadenas de correo" o esquemas similares de cualquier tipo. 6. El uso de correo electrónico no solicitado procedente desde dentro de las redes de la empresa o por sus proveedores de servicios de Internet / Intranet / Extranet a nombre de la misma, para hacer publicidad o por cualquier servicio hospedado por la empresa o conectado vía la red de la empresa. 7. La publicación repetida de los mismos mensajes o similares, no relacionados con el negocio a un gran número de grupos de noticias de Usenet, Foros, Blogs, Redes Sociales, etc Blogs y Medios Sociales 1. Hacer publicaciones en Blogs o Redes Sociales por los empleados, ya sea utilizando computadoras, sistemas o trabajadores de la empresa, también está sujeto a los términos y restricciones establecidas en la presente Política. El uso limitado y ocasional de los sistemas para hacer blogging y redes sociales es aceptable, siempre que se haga de una manera profesional y responsable, sin violar la política y que no sea perjudicial para los intereses de la empresa, y no interfiere con los deberes ordinarios de trabajo de un empleado. Los blogs de los sistemas internos de la empresa también son objeto de seguimiento. 2. La Sección descrita en 4.2 Seguridad de información Propietaria de la empresa también se aplica a los Blogs y Redes Sociales. Por Ejemplo, los empleados tienen prohibido revelar cualquier información confidencial o propietaria, secretos comerciales o cualquier otro material confidencial esto incluye cuando se participa en los Blogs y Redes Sociales. 3. Los empleados no podrán participar en ningún blog o red social que pueda dañar o ensuciar la imagen, reputación y/o buena voluntad de la empresa y/o cualquiera de sus empleados. Los empleados también tienen prohibido hacer cualquier comentario de discriminación, palabras despectivas, difamatorias o de acoso, cuando participen en blogs u otros medios. Página 5

6 4. Los empleados tampoco pueden atribuir las declaraciones personales, opiniones o creencias a la empresa cuando participan en los blogs y redes sociales. Si un empleado está expresando sus creencias y / u opiniones en blogs o red social, el empleado no puede, expresa o Implícitamente, representarse a sí mismos como empleado o representante de la empresa. Los empleados asumen cualquier y todos los riesgos asociados con estas publicaciones. 5. Además de respetar todas las leyes referentes al manejo y la divulgación de materiales con derechos de autor o de exportación controlada, las marcas registradas, logotipos y cualquier otro material que sea propiedad intelectual de la empresa tampoco podrá ser utilizada en ninguna actividad de los blogs y redes sociales. 5. POLÍTICA DE CUMPLIMIENTO 5.1 Medidas de cumplimiento El equipo Infosec verificará el cumplimiento de esta política a través de diversos métodos, incluyendo, pero no limitado a reportes de herramientas de negocio, auditorías internas y externas, y la retroalimentación del dueño de la política. 5.2 Excepciones Cualquier excepción a la norma debe ser aprobada por el equipo de Infosec con antelación. 5.3 Incumplimiento Un empleado que se encuentre que ha violado esta política puede ser objeto de medidas disciplinarias, hasta e incluyendo la terminación del empleo. 6. POLÍTICAS, ESTÁNDARES Y PROCESOS RELACIONADOS Política de Clasificación de Datos Estándar de Protección de Datos Política de Medios de Comunicación Social Política de acceso mínimo Política de contraseñas 7. TÉRMINOS Y DEFINICIONES La siguiente definición de términos y se pueden encontrar en el Glosario Cero Uno Software, se encuentra en: Página 6

7 Bloggeo Honeypot Honeynet Información propietaria Spam 8. HISTORIAL DE REVISIONES Fecha de Cambio Responsable Resumen de cambios Equipo de Políticas de Cero Uno Software Creación Página 7