Ejemplos de polticas de seguridad de datos

En este documento se ofrecen tres ejemplos de polticas de seguridad de datos que abarcan aspectos problemticos clave. No se deben considerar como una lista exhaustiva, sino que cada empresa debe identificar cualquier campo adicional en el que se necesite una poltica en funcin de sus usuarios, datos, entorno normativo y otros factores relevantes. Las tres polticas que se describen a continuacin abarcan: 1. Poltica de seguridad de datos: requisitos de los empleados 2. Poltica de seguridad de datos: prevencin de prdidas de datos datos en movimiento 3. Poltica de seguridad de datos: poltica de cifrado de disco completo de las estaciones de trabajo Se han aadido comentarios para facilitar el uso de estas polticas en rojo.

1. Poltica de seguridad de datos: requisitos de los empleados

Uso de esta poltica

En esta poltica de ejemplo se describen los comportamientos que se esperan de los empleados a la hora de manipular datos y se ofrece una clasificacin de los tipos de datos a los que deben prestar atencin. Todo ello debera estar vinculado a su AUP (poltica de uso aceptable), formacin de seguridad y poltica de seguridad de la informacin para orientar a los usuarios en cuanto a los comportamientos necesarios.

1.0 Objetivo
<Empresa X> debe proteger datos restringidos, confidenciales o sensibles para evitar su prdida a fin de no daar su reputacin y no perjudicar a nuestros clientes. La proteccin de los datos incluidos en el alcance de la poltica es un requisito empresarial vital, aunque la flexibilidad para acceder a los datos y poder trabajar con eficacia tambin es esencial. No est previsto que este control tecnolgico permita hacer frente de forma eficaz a las situaciones de robo malicioso, ni que detecte todos los datos con fiabilidad. Su principal objetivo es concienciar a los usuarios y evitar situaciones de prdida accidental. Esta poltica describe los requisitos para la prevencin de prdidas de datos, la prioridad de la poltica y una base lgica.

2.0 Alcance
1. Todos los empleados, contratistas o personas individuales con acceso a los sistemas o datos de <empresa X>. 2. Definicin de los datos que deben protegerse (debe identificar los tipos de datos y dar ejemplos para que los usuarios puedan identificarlos cuando se encuentren con ellos) Informacin de identificacin personal (PII) Datos financieros Datos restringidos/sensibles Datos confidenciales IP

3.0 Poltica: requisitos de los empleados

1. 2. 3. Debe completar la formacin de concienciacin de seguridad de <empresa X> y aceptar respetar la poltica de uso aceptable. Si identifica a una persona desconocida, no acompaada o no autorizada por cualquier otro motivo en <empresa X>, debe notificar inmediatamente a <rellene segn sea adecuado>. Los visitantes de <empresa X> deben estar acompaados por un empleado autorizado en todo momento. Si es responsable de acompaar a visitantes, debe limitar su presencia a zonas adecuadas. Es necesario que no haga referencia al tema o contenido de datos confidenciales o sensibles de forma pblica o mediante sistemas o canales de comunicacin que no estn controlados por <empresa X>. Por ejemplo, el uso de sistemas de correo electrnico externos no alojados por <empresa X> para distribuir datos no est permitido. Mantenga su escritorio ordenado. Para mantener la seguridad de la informacin, debe asegurarse de no dejar datos incluidos en el alcance de la poltica sin vigilancia en su escritorio. Debe utilizar una contrasea segura en todos los sistemas de <empresa X> segn lo estipulado en la poltica de contraseas. Estas credenciales deben ser exclusivas y no deben usarse en otros sistemas o servicios externos. Los empleados que abandonen la empresa debern devolver todos los registros que contengan informacin personal, sea cual sea su formato. Debe notificar inmediatamente a <rellene segn sea adecuado> en caso de que se produzca la prdida de un dispositivo que contenga datos incluidos en el alcance de la poltica (por ejemplo telfonos mviles, ordenadores porttiles, etc.).

4.

5.

6.

7. 8.

En el caso de que detecte un sistema o un proceso que sospeche que no cumpla esta poltica o el objetivo de seguridad de la informacin, tiene la obligacin de informar a <rellene segn sea adecuado> para que se tomen las medidas adecuadas. 10. Si se le ha otorgado la posibilidad de trabajar de forma remota, debe extremar las precauciones para asegurarse de que los datos se manipulen de forma correcta. Solicite el asesoramiento de <rellene segn sea adecuado> si no est seguro de cules son sus responsabilidades. 11. Asegrese de que los activos que contengan datos incluidos en el alcance de la poltica no se dejen expuestos sin necesidad, por ejemplo visibles en el asiento trasero del coche.

9.

12. Los datos que deban moverse dentro de <empresa X> deben transferirse nicamente por medio de mecanismos de transferencia seguros proporcionados por la empresa (por ejemplo unidades USB cifradas, unidades de red, correo electrnico, etc.). <Empresa X> le proporcionar los sistemas o dispositivos adecuados para este fin. No debe utilizar otros mecanismos para manipular datos incluidos en el alcance de la poltica. Si tiene cualquier consulta en relacin al uso de un mecanismo de transferencia, o bien si ste no es adecuado para su funcin empresarial, debe dirigirse a <rellene segn sea adecuado>. 13. Toda la informacin que se transfiera en un dispositivo porttil (como por ejemplo una unidad USB o un ordenador porttil) debe cifrarse de acuerdo con las recomendaciones del sector y las leyes y normativas aplicables. Si tiene cualquier duda sobre los requisitos, solicite el asesoramiento de <rellene segn sea adecuado>.

2. Poltica de seguridad de datos: prevencin de prdidas de datos datos en movimiento

Uso de esta poltica Este ejemplo de poltica tiene la intencin de actuar como pauta para las empresas que
buscan implementar o actualizar sus controles de DLP. Adapte esta poltica, en particular de acuerdo con los requisitos de usabilidad o con las normativas o datos que debe proteger. Esta poltica proporciona un marco de trabajo para las clases de datos que quiz le interese supervisar. Debe ampliarlas para abarcar los activos confidenciales de su empresa y adaptarlas a los tipos de datos con los que cuenta.

Antecedentes de esta poltica

La prevencin de prdidas de datos est pensada para hacer que los usuarios sean conscientes de los datos que transfieren, que pueden ser de carcter confidencial o restringido.

1.0 Objetivo
<Empresa X> debe proteger datos restringidos, confidenciales o sensibles para evitar su prdida a fin de no daar su reputacin y no perjudicar a nuestros clientes. La proteccin de los datos incluidos en el alcance de la poltica es un requisito empresarial vital, aunque la flexibilidad para acceder a los datos y poder trabajar con eficacia tambin es esencial. No est previsto que este control tecnolgico permita hacer frente de forma eficaz a las situaciones de robo malicioso, ni que detecte todos los datos con fiabilidad. Su principal objetivo es concienciar a los usuarios y evitar situaciones de prdida accidental. Esta poltica describe los requisitos para la prevencin de prdidas de datos, la prioridad de la poltica y una base lgica.

2.0 Alcance
1. Todos los dispositivos de <empresa X> que se utilicen para manipular datos de clientes, datos sensibles, informacin de identificacin personal o datos de la empresa. Todos los dispositivos que se utilicen habitualmente para correo electrnico, navegacin por Internet u otras tareas profesionales y que no estn exentos de forma especfica por motivos legtimos de tipo empresarial o tecnolgico. 2. La poltica de seguridad de la informacin de <empresa X> definir los requisitos de manipulacin de la informacin y de comportamiento de los usuarios. El objetivo de esta poltica consiste en ampliar la poltica de seguridad de la informacin con controles tecnolgicos. 3. Exenciones: en aquellos casos en los que exista una necesidad empresarial para crear una exencin a esta poltica (por un coste o una complejidad excesivos o por perjudicar a otros requisitos empresariales) se deber realizar una evaluacin de riesgos con autorizacin previa por parte de los responsables de seguridad. Consulte el proceso de evaluacin de riesgos (consulte su propio proceso de evaluacin de riesgos).

3.0 Poltica
1. La tecnologa de prevencin de prdidas de datos (DLP) de <empresa X> escanear en busca de datos en movimiento. 2. La tecnologa de DLP identificar grandes volmenes (que, por lo tanto, suponen un riesgo elevado de ser confidenciales y con los que es muy probable que haya repercusiones significativas si su manipulacin no es adecuada) de datos incluidos en el alcance de la poltica. Un gran nmero de registros se define como <rellene segn sea adecuado> (tadapte este nmero a la situacin de su empresa; por ejemplo, 1.000 registros). Los datos incluidos en el alcance de la poltica se definen como: (debe ajustar esta informacin para reflejar los datos en los que se basan sus regulaciones, o cuya prdida podra ser ms perjudicial para la empresa. A continuacin se ofrece una plantilla que resulta adecuada para numerosas empresas)

3.

4.

5.

6.

a. Datos de tarjetas de crdito, nmeros de cuentas bancarias y otros datos financieros de identificacin b. Direcciones de correo electrnico, nombres, direcciones y otras combinaciones de informacin de identificacin personal c. Documentos que <empresa X> haya marcado de forma explcita como confidenciales. d. DLP identificar contenido especfico, es decir: i. Datos de ventas: es particular previsiones, listas de renovaciones y otras listas de clientes ii. Exportaciones de informacin de identificacin personal fuera de sistemas controlados (stos son los datos que le preocupa especialmente perder y que desea que la poltica de DLP detecte). DLP se configurar para alertar al usuario en el caso de que se sospeche que se haya producido una transmisin de datos confidenciales, y el usuario podr decidir si desea autorizar o rechazar la transferencia. De este modo el usuario puede tomar una decisin acertada para proteger los datos sin interrumpir las funciones empresariales. Los cambios que se realicen en la configuracin del producto de DLP se gestionarn mediante el proceso de cambios de TI de <empresa X> y debern contar con la aprobacin de los responsables de gestin de la seguridad, para identificar los requisitos a fin de ajustar la poltica de seguridad de la informacin o las comunicaciones de los empleados. DLP registrar los incidentes de forma centralizada para su revisin. El equipo de TI realizar una seleccin de los sucesos de primer nivel, e identificar los datos que pueden ser confidenciales y las situaciones en las que su transferencia se ha autorizado pero en las que existe cierta preocupacin por uso inadecuado. Estos sucesos se escalarn hasta RR.HH. para que su gestin se realice mediante el proceso normal y para proteger a las personas. (Tendr que ajustar este funcionamiento a las necesidades de su empresa. Es habitual que la aplicacin se delegue a los propietarios empresariales de los datos en lugar de que el personal de TI realice la seleccin). En aquellos casos en los que exista preocupacin por una posible prdida de datos, debe utilizarse el proceso de gestin de incidentes de TI y debe enviarse una notificacin especfica a <rellene segn sea adecuado> (por ejemplo, los departamentos de RR.HH., legal y de gestin de la seguridad). El acceso a los sucesos de DLP estar limitado a un grupo de personas designado para proteger la privacidad de los empleados. Un suceso de DLP no demuestra que un empleado haya perdido datos de forma intencionada o accidental, pero s que proporciona una base suficiente para iniciar una investigacin destinada a garantizar que la proteccin de los datos haya sido la adecuada.

4.0 Pautas tcnicas

Las pautas tcnicas identifican los requisitos de implementacin tcnica y suelen ser especficos para cada tecnologa. 1. La tecnologa elegida es <rellene segn sea adecuado> 2. El producto se configurar para identificar datos en movimiento en navegadores, clientes de mensajera instantnea, clientes de correo electrnico, dispositivos de almacenamiento masivo y CD grabables.

5.0 Requisitos de informes

Informes semanales de incidentes a <rellene segn sea adecuado> Los incidentes de alta prioridad que detecte el personal de TI se deben notificar de inmediato a <rellene segn sea adecuado> Informe mensual en el que se muestre el porcentaje de dispositivos que cumplen la poltica de DLP

3. Poltica de seguridad de datos: poltica de cifrado de disco completo de las estaciones de trabajo Uso de esta poltica
Este ejemplo de poltica tiene la intencin de actuar como pauta para las empresas que buscan implementar o actualizar su poltica de cifrado de disco completo de las estaciones de trabajo. Adapte esta poltica, en particular de acuerdo con los requisitos de usabilidad o con las normativas o datos que debe proteger.

Antecedentes de esta poltica

El cifrado completo del disco se ha convertido en una tecnologa clave para la mejora de la privacidad y se exige en numerosas directrices normativas.

1.0 Objetivo
<Empresa X> debe proteger datos restringidos, confidenciales o sensibles para evitar su

prdida a fin de no daar su reputacin y no perjudicar a nuestros clientes. Un conjunto de regulaciones globales (como por ejemplo <rellene segn sea adecuado>) tambin exige la proteccin de un amplio abanico de datos, lo que esta poltica respalda mediante la limitacin del acceso a los datos alojados en los dispositivos<rellene segn sea adecuado>. Tal y como se define en numerosos estndares de cumplimiento y recomendaciones del sector, el cifrado completo del disco es necesario para protegerse contra la exposicin en caso de que se produzca la prdida de un activo. Esta poltica define los requisitos de proteccin basada en el cifrado completo del disco como control y procesos asociados. 2.0 Alcance 1. Todas las estaciones de trabajo (ordenadores de escritorio y porttiles) de <empresa X> (en funcin del tipo de datos de los que disponga y de la seguridad fsica, algunas empresas limitan el alcance a los ordenadores porttiles). 2. Todos los equipos virtuales de <empresa X>. 3. Exenciones: en aquellos casos en los que exista una necesidad empresarial para crear una exencin a esta poltica (por un coste o una complejidad excesivos o por perjudicar a otros requisitos empresariales) se deber realizar una evaluacin de riesgos con autorizacin previa por parte de los responsables de seguridad. Consulte el proceso de evaluacin de riesgos (consulte su propio proceso de evaluacin de riesgos). 3.0 Poltica 1. El cifrado completo del disco estar activado en todos los dispositivos incluidos en el alcance de la poltica. 2. En la poltica de uso aceptable (AUP) y en la formacin de concienciacin de seguridad de <empresa X> se debe exigir a los usuarios que notifiquen a <rellene segn sea adecuado> si sospechan que no cumplen esta poltica segn lo estipulado en la AUP. 3. En la AUP y en la formacin de concienciacin de seguridad se debe exigir a los usuarios que notifiquen a <rellene segn sea adecuado> si se produce la prdida o el robo de cualquier dispositivo. 4. <Rellene segn sea adecuado>debe gestionar la poltica de cifrado y validar el cumplimiento. Los equipos tienen que comunicarse con la infraestructura de gestin central para permitir registros de auditora que demuestren el cumplimiento segn sea necesario. 5. En aquellos casos en los que la gestin no sea posible y se configure un cifrado independiente (solamente una vez que se haya aprobado tras realizar una evaluacin de riesgos), el usuario del dispositivo debe proporcionar una copia de la clave de cifrado activa al departamento de TI.

6. <Rellene segn sea adecuado> tiene el derecho a acceder a cualquier dispositivo cifrado por motivos de investigacin o mantenimiento o en ausencia de un empleado con acceso al sistema principal de archivos. <Rellene segn sea adecuado>, en la AUP y en la formacin de concienciacin de seguridad se informar a los usuarios acerca de este requisito. (En funcin de la AUP o del acuerdo con los empleados, quiz le interese modificar la postura de este requisito de la poltica). 7. La tecnologa de cifrado se debe configurar de acuerdo con las recomendaciones del sector para que sea resistente a los ataques. 8. Todos los sucesos relacionados con la seguridad se registrarn y auditarn por parte de <rellene segn sea adecuado> para identificar el acceso inadecuado a los sistemas u otros usos maliciosos. 9. El servicio de asistencia de <rellene segn sea adecuado> podr emitir un desafo/respuesta fuera de banda para permitir el acceso a un sistema en caso de fallo, prdida de credenciales u otros requisitos de bloqueo empresarial. Este desafo/respuesta slo se proporcionar en el caso de que la identidad del usuario se pueda establecer mediante el uso de atributos de desafo y respuesta que estn documentados en la poltica de contraseas. 10. (En algunas empresas puede ser necesario emplear un enfoque de varios niveles para la seguridad de los datos. En este enfoque se puede incluir un conjunto de usuarios que dispongan de datos especialmente confidenciales y que necesiten un mayor nivel de seguridad. Este punto se puede eliminar si ste no es un requisito para su empresa). En la poltica de datos restringidos se identificar a un grupo de usuarios de datos confidenciales/VIP. Los usuarios pertenecientes a este grupo necesitarn contar con la autorizacin de un miembro de <rellene segn sea adecuado> (por ejemplo el equipo directivo o el departamento de TI) para realizar cambios importantes o para la respuesta de desafo. No se permitir que el servicio de asistencia tenga acceso a dichos sistemas sin autorizacin. Estas sistemas se identifican por su acceso a datos muy confidenciales y de uso restringido y es necesario separar sus funciones. En aquellos casos identificados en la poltica de autenticacin y datos restringidos, un sistema/usuario tendr que utilizar autenticaciones multifactor de acuerdo con el estndar definido <rellene segn sea adecuado>. La autenticacin ser realizar en el entorno previo al inicio. 11. Los cambios en la configuracin se llevarn a cabo mediante el proceso de control de cambios de <rellene segn sea adecuado> y se identificarn los riesgos y los cambios de implementacin importantes en la gestin de la seguridad. 4.0 Pautas tcnicas Las pautas tcnicas identifican los requisitos de implementacin tcnica y suelen ser especficos para cada tecnologa. 1. <Rellene segn sea adecuado> es el producto estndar. 2. Deben utilizarse estndares criptogrficos slidos y que estn definidos en las recomendaciones del sector. La implementacin de AES-256 est aprobada. 3. La BIOS se configurar con una contrasea segura (tal y como se define en la poltica de contraseas) que se guardar en el departamento de TI. El orden de inicio se fijar en el disco duro cifrado. Si un usuario necesita anular esta proteccin por motivos de mantenimiento o en caso de emergencia, el servicio de asistencia puede autenticar al usuario y proporcionarle la contrasea de la BIOS. El objetivo es evitar que un atacante realice un inicio en fro y ataque el sistema. 4. La sincronizacin con las credenciales de Windows se configurar de modo que el entorno previo al inicio coincida con las credenciales del usuario y slo sea necesario iniciar sesin una vez. 5. Se utilizar un entorno previo al inicio para la autenticacin. Se utilizarn credenciales para la autenticacin del usuario de acuerdo con lo estipulado en la poltica de seguridad de las contraseas de <rellene segn sea adecuado>. (En

algunas empresas existe el requisito de utilizar autenticacin multifactor, y ello debera quedar reflejado aqu segn sea necesario). 5.0 Requisitos de informes Un informe mensual en el que se identifique el porcentaje de sistemas cifrados respecto a los activos incluidos en el alcance de la poltica Un informe mensual en el que se identifique el estado de cumplimiento de los sistemas gestionados y cifrados Un informe mensual en el que se identifique el nmero de activos perdidos y se confirme que los dispositivos perdidos se han manipulado de forma correcta.