1. OBJETO
El objetivo del presente documento es definir reglas claras para el uso de los sistemas y de otros activos de información en TALASANA, S.L.
2. ALCANCE
Este documento se aplica a todo este documento se aplica a todo el alcance del sistema de gestión de seguridad de la información (SGSI); es decir, a todos los sistemas y demás activos de información utilizadas dentro del alcance del SGSI.
Los usuarios de este documento son todos los empleados de TALASANA S.L.
3. DOCUMENTOS RELACIONADOS
Los siguientes documentos están relacionados con esta política:
- Norma ISO/IEC 27001
- Política de seguridad de la información
- Política de clasificación de la información
- Procedimiento para la gestión de incidentes
- Inventario de activos
- Política de transferencia de información
4. USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIÓN
4.1. Definiciones
Sistema de información: incluye todos los servidores y clientes, infraestructura de red, software del sistema y aplicaciones, datos y demás subsistemas y componentes que pertenecen o son utilizados por la organización, o que se encuentran bajo responsabilidad de la organización. El uso de un sistema de información también incluye el uso de todos los servicios internos o externos, como el acceso a Internet, correo electrónico, etc
Activos de información: en el contexto de esta Política, el término activos de información se aplica a los sistemas de información y demás información o equipos, incluyendo documentos en papel, teléfonos móviles, ordenadores portátiles, soportes de almacenamiento de datos, etc.
4.2. Uso aceptable
Los activos de información solamente pueden ser utilizados a fines de satisfacer necesidades de negocios con el objetivo de ejecutar tareas vinculadas con la organización.
4.3. Responsabilidad sobre los activos
Cada activo de información tiene designado un propietario en el Inventario de activos. Los archivos almacenados en el Cloud tienen designado un propietario en el propio Cloud. El propietario del activo es el responsable de la confidencialidad, integridad y disponibilidad de la información en el activo en cuestión.
Toda la documentación digital debe residir en el Cloud y sólo excepcionalmente en el ordenador del usuario, que tiene obligación de informar al CTO de esta circunstancia. Los activos de información que residan en los ordenadores personales deben ser objeto de copia de seguridad en el Cloud, al menos, una vez por semana.
No está permitido el uso de soportes de información extraibles sin la autorización expresa del CTO y su uso será siempre temporal, debiendo ser destruida la información de forma segura una vez el soporte haya perdido utilidad.
4.4. Actividades prohibidas
Está prohibido utilizar los activos de información de manera tal que ocupen innecesariamente capacidad, que disminuya el rendimiento del sistema de información o que presente una amenaza de seguridad. También está prohibido:
- Descargar archivos de imágenes o vídeos que no tienen objetivos de negocios, enviar cadenas de correos electrónicos, jugar juegos, etc.
- Instalar software en un ordenador local sin el permiso explícito del administrador de seguridad informática. •
- Utilizar herramientas criptográficas (encriptado) sobre ordenadores locales
- Descargar códigos de programa de soportes externos.
- Instalar o utilizar dispositivos periféricos como módems, tarjetas de memoria u otros dispositivos para almacenamiento y lectura de datos (por ej., dispositivos USB) sin el permiso explícito del administrador de seguridad informática; el uso en conformidad con la Política de Clasificación de la Información está permitido
4.5 Uso de activos fuera de las instalaciones
Los equipos, la información o software, independientemente de su formato o soporte de
almacenamiento, no pueden ser retirados de las instalaciones sin el permiso escrito previo de la gerencia general. Esta limitación no aplica a los equipos personales (laptops y móviles, principalmente) que se usan para teletrabajo.
Mientras los activos en cuestión permanecen fuera de la organización, deben ser controlados por la persona a la que se le concedió el permiso para retirarlo. Durante el transporte, deberán utilizarse bolsas o carteras adecuadas para el transporte del equipo, a fin de evitar daños accidentales.
4.6 Devolución de activos a la finalización de un contrato
Al finalizar un contrato de empleo, o de otro tipo, a raíz del cual se utilizan diversos equipos,
software o información en formato electrónico o papel, el usuario debe devolver todos esos
activos de información al gerente de área que le contrató.
4.7. Procedimiento para copias de seguridad
El usuario debe realizar, como mínimo, una copia de seguridad semanal, en el Cloud, de toda la información sensible almacenada en su ordenador.
4.8. Protección antivirus
En cada ordenador debe estar instalado un antivirus con actualización automática y monitoreo en tiempo real activados.
4.9. Facultados para el uso de sistemas de información
Los usuarios de los sistemas de información solo pueden acceder a los activos del sistema necesarios para sus funciones. Los usuarios no deben participar en actividades que puedan ser utilizadas para eludir controles de seguridad.
4.10. Responsabilidades sobre la cuenta de usuario
Cada cuenta de usuario debe ser asignada a una persona. El usuario no debe, directa ni indirectamente, permitir que otra persona utilice sus derechos de acceso; es decir, su nombre de usuario; y no debe utilizar el nombre de usuario y/o clave de otra persona. El uso de nombres de usuario grupales está prohibido.
El propietario de la cuenta de usuario es su usuario, que es responsable de su uso y de todas las transacciones realizadas con dicha cuenta de usuario.
4.11. Responsabilidades sobre la clave
Los usuarios deben aplicar buenas prácticas de seguridad en cuanto a la elección y uso de claves:
- La contraseña de acceso a la cuenta de correo corporativa debe ser única y no tendrá ningún otro uso.
- El móvil debe estar protegido por pin o patrón de al menos de 6 dígitos y/o huella dactilar.
- No se deben revelar las claves a otras personas, incluyendo la gerencia y los administradores del sistema.
- No se debe llevar un registro de las claves, a menos que un método seguro haya sido aprobado por el administrador de seguridad informática.
- Las claves generadas por el usuario no deben ser distribuidas por ningún medio (oral, escrito, electrónico, etc.).
- Las claves deben ser cambiadas si existen indicios de que puedan estar en riesgo las mismas claves o el sistema (en ese caso, se debe informar un incidente de seguridad).
- Se deben escoger claves seguras de la siguiente forma:
- utilizando al menos diez caracteres;
- utilizando al menos un carácter numérico;
- utilizando al menos un carácter alfabético en mayúscula y uno en minúscula;
- utilizando al menos un carácter especial;
- una clave no debe ser una palabra que se encuentre en el diccionario, en un dialecto o jerga de ningún idioma; como tampoco ninguna de estas palabras escritas hacia atrás;
- las claves no deben estar relacionadas con datos personales (por ej., fecha de nacimiento, domicilio, nombre de un familiar, etc.);
- no se deben usar nuevamente las últimas tres claves.
- Se deben cambiar las claves cada 3 meses.
- Se deben cambiar las claves en el primer ingreso al sistema.
- Las claves no deben ser almacenadas en un sistema de registro automatizado (por ej., macros o explorador).
- No se deben utilizar las mismas claves personales para fines privados y para fines comerciales.
4.12. Política de pantalla y escritorio limpio
Toda la información clasificada como “Uso interno”, “Restringido” y “Confidencial” de acuerdo con lo establecido en la Política de Clasificación de la Información, es considerada sensible para este punto.
4.12.1. Política de escritorio limpio
Si la persona autorizada no se encuentra en su puesto de trabajo, todos los documentos impresos deben ser retirados del escritorio o de otros lugares (impresoras, equipos de fax, fotocopiadoras, etc.) para evitar el acceso no autorizado a los mismos.
Este tipo de documentos y soportes deben ser archivados de forma segura, de acuerdo con lo establecido en la Política de Clasificación de la Información
4.12.2. Política de pantalla limpia
Si la persona autorizada no se encuentra en su puesto de trabajo, se debe quitar toda la información sensible de la pantalla, y se debe denegar el acceso a todos los sistemas para los cuales la persona tiene autorización.
En el caso de una ausencia corta (hasta 30 minutos), la política de pantalla limpia se implementa finalizando la sesión en todos los sistemas o bloqueando la pantalla con una clave. Si la persona se ausenta por un período más prolongado (superior a 30 minutos), la política de pantalla limpia se implementa finalizando la sesión en todos los sistemas y apagando el puesto de trabajo.
4.12.1. Protección de instalaciones y equipos compartidos
Los documentos que contienen información sensible deben ser retirados inmediatamente de las impresoras.
4.13. Uso de internet
Sólo se puede acceder a Internet a través de la red local de la organización, del móvil corporativo o del puesto de teletrabajo. Todas estas redes wifi deberán tener una protección mínima WPA o WPA-2 con una contraseña fuerte. Está terminantemente prohibido acceder desde redes abiertas sin contraseña.
El administrador de seguridad informática puede bloquear el acceso a determinadas páginas de Internet para usuarios individuales, grupos de usuarios o para todos los empleados de la organización. Si el acceso a algunas páginas Web está bloqueado, el usuario puede elevar una petición escrita al administrador de seguridad informática, solicitando autorización para acceder a dichas páginas. El usuario no debe intentar eludir por su cuenta esa restricción.
El usuario debe considerar como no confiable la información recibida a través de sitios web no verificados. Ese tipo de información puede ser utilizado con fines comerciales solamente después de haber verificado su autenticidad y veracidad.
El usuario es responsable por todas las posibles consecuencias que surjan por el uso no autorizado o inadecuado de servicios o contenidos de Internet.
4.14 Correo electrónico y otros métodos de intercambio de mensajes
Los documentos de la organización sólo pueden ser intercambiados a través de la cuenta de correo electrónico corporativa, como adjuntos en aplicaciones de mensajería (exclusivamente Teams corporativo y Whatsapp) y mediante la compartición de archivos Cloud, siendo preferible este último procedimiento.
En la compartición de archivos Cloud fuera de la empresa se definirán listas cerradas de acceso.
En sus relaciones con terceros, los contratos de Talasana deben incluir cláusulas de protección de la propiedad intelectual, de tratamiento de datos personales y de destrucción de la información propiedad de Talasana una vez llegado el fin de la relación comercial.
Los usuarios solamente pueden enviar mensajes que contengan información veraz. Está prohibido enviar materiales perturbadores, desagradables, sexualmente explícitos, groseros, difamatorios o cualquier otro contenido inaceptable o ilegal. Los usuarios no deben enviar mensajes basura a personas con las cuales no se ha establecido relación de negocios o a personas que no solicitaron ese tipo de información.
Si un usuario recibe un correo electrónico basura, debe informarlo al administrador de seguridad informática.
Si se envía un mensaje con una etiqueta de confidencialidad, el usuario debe protegerlo de acuerdo con lo establecido en la Política de Clasificación de Información
Cada correo electrónico profesional que salga del grupo de empresas debe incluir una exención de responsabilidad. Si un usuario participa en redes sociales, foros, etc., debe declarar sin ambigüedades que no representa el punto de vista de la organización, excepto cuando sea autorizado por la Alta Dirección de Talasana.
4.15 Derechos de autor
Los usuarios no deben realizar copias no autorizadas del software que pertenece a la organización, excepto en los casos permitidos por ley, por el propietario o por la Alta Dirección de Talasana.
Los usuarios no deben copiar software ni otros materiales originales de otras fuentes, y son responsables por todas las consecuencias que pudieran surgir bajo la ley de propiedad intelectual. En caso de dudas, deben consultar al CTO.
4.16. Computación móvil
4.16.1. Introducción
Entre los equipos de computación móvil se incluyen todo tipo de ordenadores portátiles, teléfonos móviles, tarjetas de memoria y demás equipamiento móvil utilizado para almacenamiento, procesamiento y transferencia de datos.
4.16.2. Reglas básicas
Se debe tener especial cuidado cuando los equipos de computación móvil se encuentran en vehículos u otros medios de transporte, espacios públicos, habitaciones de hotel, salas de reunión, centros de conferencias y demás áreas no protegidas exteriores a las instalaciones de la organización
La persona que se lleva equipos de computación móvil fuera de las instalaciones debe cumplir las siguientes reglas:
- El equipamiento de computación móvil que contiene información importante, sensible o crítica no debe ser desatendido y, en lo posible, debe quedar resguardado bajo llave o se deben utilizar trabas especiales para asegurarlo.
- Cuando se utiliza equipamiento de computación móvil en lugares públicos, el usuario debe tener la precaución de que los datos no puedan ser leídos por personas no autorizadas, tanto conectándose a redes seguras como evitando la exposición de la pantalla.
- Las actualizaciones de parches y demás configuraciones del sistema son realizadas por la gerencia de tecnología.
- La protección contra códigos maliciosos se instala y actualiza por medio del antivirus.
La información que se encuentra en ordenadores portátiles debe estar encriptada.
El CTO es el responsable de la capacitación y concienciación de las personas que utilizan equipamiento de computación móvil fuera de las instalaciones de la organización.
4.16.3. Teletrabajo
Teletrabajo significa que los equipos de información y comunicación se utilizan para permitir que los empleados realicen su trabajo fuera de la organización.
El teletrabajo no incluye el uso de teléfonos móviles fuera de las instalaciones de la organización. El teletrabajo debe ser autorizado por la gerencia general.
El CTO es el responsable de preparar planes y procedimientos para garantizar lo siguiente:
- Protección del equipamiento de computación móvil, de acuerdo a lo indicado en la sección anterior.
- Evitar el acceso no autorizado de personas que viven o trabajan en la ubicación donde se realiza la actividad de teletrabajo.
- Configuración adecuada de la red local utilizada para conectarse a la Internet.
- Protección de los derechos de propiedad intelectual de la organización, tanto por el software como por otros contenidos que puedan estar protegidos por derechos de propiedad intelectual.
- Proceso de devolución de datos y equipamiento en caso de finalización del empleo
- Nivel mínimo de configuración de la instalación donde se realizarán las actividades de teletrabajo.
- Tipos de actividades permitidas y prohibidas.