Carlson Wagonlit Travel Equipo Global de Información Segura Requerimientos estándar para encriptar y enviar Datos Confidenciales y Confiables vía correo electrónico Fecha inicial del documento - Junio 2008 Versión 1.1 Modificado: 01 Oct 2010 David Romero Gerente de IT, CWT-Colombia Toda la información es propiedad del autor y es confidencial Copyright 2010 CWT
Introducción: 3 Sistemas de Correo Aprobados: 3 Monitoreo de los Sistemas de Correo: 3 Definiciones: 3 Políticas de Seguridad de la Información de CWT: Error! Marcador no definido. Encriptación Necesariamente Requerida: Error! Marcador no definido. Método de Encriptación Aprobado: Error! Marcador no definido. Preguntas y Dudas: 1 Error! Marcador no definido. Política Global de Información Segura /Violación a los estandares: 1 Error! Marcador no definido. 2 of 16
Introducción: Para el envío de datos Confidenciales y Confiables de CWT se utilizan métodos de Seguridad como el FTP, el cual es el método preferido de CWT para el intercambio de información fuera de la red de CARLSON. Si los datos Confidenciales y Confiables se envían como un sólo evento o las opciones de seguridad no se ajustan a las necesidades del negocio, puede enviar estos datos utilizando los sistemas de correo electrónico de Carlson como método de envío, ya que éste es aceptado por los siguientes requisitos establecidos en esta norma. Estos requisitos están diseñados para proteger datos Confidenciales de un uso indebido o de robo; y son mandatarios por la Dirección de Seguridad de CWT, entidades legales, agencias de gobierno, clientes y socios comerciales. La revelación de Datos Confidenciales y Datos Confiables puede resultar en consecuencias legales y monetarias para CWT, Socios CWT y Carlson. Los Datos Confiables deben cumplir las siguientes normas tanto para intercambios internos y externos. Sistemas de Correo Aprobados: Microsoft Outlook es el actual sistema de correo electrónico de Carlson. El envío de Datos Confidenciales y Confiables utilizando sistemas de correos electrónicos de las páginas Web como MSN, Hotmail, Yahoo o AOL, etc. está estrictamente prohibido por la Política de Seguridad de la Información de CWT. El uso indebido de estos sistemas de correo en la Web puede dar lugar a medidas disciplinarias. Monitoreo de Sistemas de Correo Electrónicos: Para proteger los clientes de CWT, empleados, socios y activos, CWT puede realizar un seguimiento de empleados para que utilicen los sistemas de correo electrónico de CARLSON. Definiciones: Elementos de los Datos Confiables de CWT CWT define como Datos Confiables la siguiente información: Números de Identificación Nacional, Números de Licencia de Conducir, Números de Pasaporte, Números de Tarjetas de Crédito, Número de Tarjetas de Débito, Números de Lealtad (Aerolínea, Arrendadora, Hotel, Tren) Números de Cuentas Financieras, Información de Salud Personal y Preferencias en Comida, pero no esta limitada sólo a ésta. Esta información puede ser actualizada periódicamente debido a regulaciones y requerimientos industriales y regionales. 3 of 16
Elementos de la información Confidencial de CWT La información Confidencial se define como sigue: Se considera Información "Confidencial", si su divulgación a una persona no autorizada pudiera ocasionar un daño o un inconveniente mayor, la vergüenza o disminuyera la ventaja de mercado a CWT, sus empleados, sus socios de negocio o sus clientes. La información "Confidencial" incluye: La información de Clientes de CWT incluyendo Números de identificación Nacional, Números de Licencia de Conducir, Números de Pasaporte, Números de Tarjeta de Crédito, Números de Tarjeta de Débito, Números de Viajero Frecuente, Números de Cuentas Financieras, información Médica Personal, Datos del sitio web clickstream, Datos Demográficos, Datos Personales, Información Familiar, Información de Salud Física, Restricciones dietéticas, Historial de Compras, Preferencias en los Itinerarios de Viajes y hospedaje, Educación, ingresos, Patrimonio, Afiliación Política, la Raza u Origen Étnico, Creencias Religiosas o Filosóficas, Condición Social y Afiliación a Sindicatos. Los Secretos Empresariales de CWT incluyendo el código de computadoras recién desarrollados, secretos comerciales, propiedad intelectual, proyectos estratégicos, los organigramas de los Viajes de Carlson Wagonlit, contratos, declaraciones financieras, información de costos y números de facturas. La Información Confidencial de CWT incluye Métodos de Negocio, Información Financiera, Planes, Clientes, Vendedores y Socios. La información de empleados de CWT incluye Exámenes, Beneficios, Nómina, Solicitudes y la Información Personal del empleado. Políticas de Seguridad de la Información de CWT: Estructura de Seguridad Requiere Controles Controles Requeridos para Cada Nivel de Clasificación de Datos Nivel 1 "Publico" Nivel 2 "General" Nivel 3 "Sensitive" 101-1. Encriptar la información de CWT que va hacer enviada a través NA NA R de la red. a. Utilizar criptografía fuerte con longitudes de clave adecuadas para NA NA R el nivel de riesgo y el valor de los datos b. Asegure el almacenamiento, distribución, cancelación, y copia de NA NA R seguridad de claves de encriptación. c. Documente todas las transferencias de información NA NA R 101-2. Solicitud e Intercambio de Datos externos de Vendedores y A R R Socios que cumplen con las Políticas de Seguridad de la Información de CWT a. Garantice contratos con socios y proveedores que incluyan el A R R lenguaje estándar de CWT en la seguridad de información global. b. Seguir el Tercer Proceso de Evaluación para revisar la seguridad NA R R de la información de vendedores y socios c. Vendedores que reciban o procesen créditos y/o información de NA NA R tarjetas de débito de CWT o para clientes de CWT deben cumplir los requisitos de PCI DSS Multi-niveles de Control (Red, Sistema Operativo, Bases de Datos y Aplicación) 4 of 16
103-2 Clasificar y si es necesario, etiquetar todos los medios por cada clasificación de datos de CWT a. Cualquier medio que contenga información "General" o Confidencial de CWT, debe ser transferida a través de un método seguro y un seguimiento preciso R R R NA R R R = Requerida C = recomendada A = Caso Específico Encriptación Requerida: 256-bit AES de encriptación es el mínimo estándar requerido para el envío de información Estándar o Confiable a través de los sistemas de correo electrónico de Carlson Método de Encriptación Aprobado: Instrucciones para el uso de WinZip A continuación se describen 3 escenarios posibles para cifrar archivos con winzip Envío de una hoja de cálculo con "Datos Confidenciales Lynette creó una hoja de cálculo con los apellidos, nombres y números de tarjetas de crédito de sus clientes. Ella almacenó el archivo en Mis documentos y lo llamó: ClientX.xls y fue necesario enviar el archivo por correo electrónico. 1. En la carpeta de Mis Documentos, haga clic derecho sobre el archivo (por ejemplo: ClientX.Xls) 2. Seleccione WinZip y haga clic en Zip y E-Mail Plus 5 of 16
Es posible que la pantalla difiera dependiendo de la versión de winzip instalada. 6 of 16
7 of 16
3. Use el nombre del archivo seleccionado o cambie el nombre si así lo desea 4. Seleccione encriptar archivo zip 5. De un clic en Ok 6. Introduzca la contraseña y vuelva a introducirla para su confirmación 7. Seleccione 256-Bit AES Encryption 8 of 16
8. De un clic en OK 9. El archivo encriptado se crea y se asigna a su correo electrónico saliente 10. Enviar el archivo al destinatario sin la contraseña 11. Entregar la contraseña al destinatario, ya sea a través de una llamada telefónica o por otro correo electrónico. 12. Guarde de contraseña en una ubicación segura - No la olvide ya que el archivo sólo se puede abrir y leer con la contraseña Escenario 2: Envío de varios archivos que contienen varios Datos Confiables Bernard creo varios archivos que contienen Datos Confiables y guardó los archivos en Mis documentos y será necesario enviarlos por correo electrónico. 1. Despliegue WinZip Pro del menú Inicio de Windows o si tiene creado un acceso directo 2. Seleccione Nuevo de la barra de herramientas de WinZip Pro 3. Seleccione la opción "Mis documentos" de la izquierda del panel de navegación. De este modo, WinZip se colocará en el directorio de 'Mis Documentos' 4. Escriba un nombre al archivo Win Zip que debe ser enviado. El nombre del archivo debe ser significativo y los menos descriptivo como sea posible. No use 'Información Confidencial en el campo para el nombre de archivo. 9 of 16
5. De un clic en OK. 6. Se abrirá el cuadro de diálogo Añadir. Aquí es donde el archivo o los archivos que se añadirán a los archivos WinZip son seleccionados. Usted puede usar la tecla CTRL para seleccionar varios archivos. 10 of 16
NO SELECCIONE EL BOTON AÑADIR 7. En la parte inferior del cuadro de diálogo 'Añadir', se desplegará en la pantalla la opción de encriptar los archivos. Haga clic en esta casilla. Los archivos serán encriptados, ya que se añaden a los archivos WinZip. 11 of 16
8. Seleccione los archivos que usted necesita continuación, haga clic en el botón "Añadir" para añadir archivos a los archivos WinZip. 9. Un cuadro de advertencia aparecerá indicando las ventajas y los inconvenientes de la encriptación 10: Click OK. 12 of 16
11. El cuadro de diálogo de encriptación de desplegará. Por favor, siga estos pasos con mucho cuidado. a. 3 diferentes métodos de encriptación se proporcionan b. Seleccione el botón situado junto a los 256-bit AES c. Cree una contraseña para proteger el archivo mediante contraseña estándar y genere las claves de encriptación Las contraseñas deben incluir 1. al menos 8 caracteres de longitud 2. contiene al menos una letra mayúscula, una letra minúscula, un carácter numérico y un carácter especial 3. ejemplo: U709p&G9 12. Hacer clic en Aceptar. Los archivos se añadirán a los archivos WinZip y estén adecuadamente encriptados 13. Añada el archivo WinZip que acaba de crear al correo electrónico deseado y envíe al destinatario NO envíe la contraseña en conjunto con el archivo en la misma dirección de correo electrónico. 14. Envíe al destinatario la contraseña, ya sea a través de una llamada telefónica u otro correo electrónico (por lo menos 10 minutos después). 15. Guarde la contraseña en una ubicación segura - No olvide la contraseña ya que archivo sólo se puede abrir y leer con la contraseña. 13 of 16
Escenario 3 Paso 1: Iniciar WinZip Pro desde el menú Inicio de Windows. Paso 2: Seleccionar Nuevo de la barra de herramientas de WinZip Pro. Paso 3: Seleccionar el icono de Mis Documentos del lado izquierdo en el panel de navegación. Esto colocará WinZip en la raíz del directorio de Mis Documentos Paso 4: Escribir un nombre al archivo WinZip que será enviado. El nombre del archivo debe ser concreto y lo menos descriptible como sea posible. No utilice la frase Información Confidencial como nombre del archivo. Paso 5: De clic en OK. Paso 6: Se mostrará el cuadro de diálogo Agregar. Aquí es donde el archivo o archivos serán agregados al file WinZip. Aquí es donde el archivo o archivos que se añadirán a WinZip son seleccionados. Puede usar la tecla CTRL para seleccionar varios archivos. NO SELECCIONE EL BOTÓN INSERTAR Paso 7: En la tecla Insertar de la ventana de mensaje se despliega la opción agregar archivos encriptados. De un clic. Los archivos serán encriptados y serán agregados al archivo WinZip Paso 8: Seleccione la tecla Insertar para añadir los archivos al archivo WinZip. Paso 9: Un mensaje de Alerta aparecerá indicando las ventajas y desventajas de la encriptación. Paso 10: De clic en OK. Paso 11: La ventana de encriptación se deplegará. Por favor siga cuidadosamente los siguientes pasos. 1. 3 diferentes métodos de encriptación serán provistos. 2. Seleccione la opción de 256 bit-aes 3. Cree un password para proteger el archivo utilizando un password estándar y generar las claves de la encriptación. Un password estándar debe incluir: 1. hasta 18 caracteres 2. Que Contenga más de una letra, un carácter numérico y un carácter especial 3. ejemplo: U709p&G9 Paso 12: De clic en OK. Los archivos serán agregados al archivo WinZip y serán adecuadamente encriptados. Paso 13: Agregue el archivo WinZip creado al correo electrónico que desee y envíe No envíe el password junto con el archivo en el mismo correo electrónico Paso 14: Envíe el password del archivo al destinatario ya sea haciendo una llamada de teléfono o en un correo (a los 10 minutos) 14 of 16
Paso 15: Guarde su password en un lugar seguro. No lo olvide porque el archivo sólo podrá ser abierto y leído con él. Opcional Si WinZip no está disponible o instalado, puede utilizar la Seguridad de Microsoft Office para Word, PowerPoint, Excel y siga las mismas directrices para el envío 2 correos electrónicos, la fuente y la contraseña en correos separados. En Word, Excel o PowerPoint: 1. Haga clic en Herramientas Opciones Seguridad 2. Introduzca una contraseña segura para abrir este documento. 3. Guarde el documento. 4. Envíe el documento a través del correo electrónico del destinatario 5. Envíe al destinatario la contraseña, ya sea a través de una llamada telefónica o correo electrónico (por lo menos 10 minutos después) Guarde la contraseña en una ubicación segura - No la olvide ya que el archivo sólo se puede abrir y leer con la contraseña 15 of 16
Preguntas y Dudas: Las preguntas y dudas pueden ser enviadas al Equipo de Seguridad de Información de CWT al correo electrónico cwtinformationsecurityteam@carlsonwagonlit.com o al departamento de tecnología local itcolombia@carlsonwagonlit.com.co Política Global de Seguridad en la Información/ Declaración de Violación Estándar La violación de esta política y normas puede causar la pérdida de privilegios de acceso, y la acción disciplinaria hasta incluyendo el fin de la relación Laboral. La violación de esta política será sujeta a la investigación y la acción en conformidad con el Código Global de Ética de Negocio y Política de Conducta de Carlson Wagonlit Travel. 16 of 16