Está en la página 1de 14

Procedimiento Workplace Security

Versin 3.1

Document last changed:

14/01/2011

Document Owner:

Risk Management & Compliance

Authors:

Eduardo Biagi

Document Name:
Document Location:

Procedimiento Workplace Security


- American Business Tool
- PCB Business Compliance / 00: Normas y
Procedimientos / Procedimiento Workplace Security

Confidential

Page 1

5/15/20151 of 15

Tabla de contenido
1.

PREFACIO..........................................................................................2

1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.

ACERCA DEL DOCUMENTO.........................................................................................2


HISTORIA DE CAMBIOS.............................................................................................2
APROBACIONES.......................................................................................................2
DISTRIBUCIN......................................................................................................... 2
COMO ACCEDER A ESTE DOCUMENTO.......................................................................2
MANEJO DE COPIAS OBSOLETAS...............................................................................3
REVISORES............................................................................................................. 3

2.

INTRODUCCIN................................................................................4

2.1. PROPSITO.............................................................................................................4
2.2. ALCANCE................................................................................................................ 4
2.3
DOCUMENTACIN RELACIONADA...............................................................................4
3.
PROCESO DE INSPECCIN DE SEGURIDAD................................................................4
3.1
VISIN GENERAL.....................................................................................................4
3.2
CONSIDERACIONES GENERALES...............................................................................5
HELP:................................................................................................................................ 6

4.
5.

ROLES Y RESPONSABILIDADES....................................................8
PASOS DEL PROCEDIMIENTO........................................................9

5.1.
5.2.
5.3
5.2

INSPECCIN AL LUGAR DE TRABAJO .......................ERROR! BOOKMARK NOT DEFINED.


WORKSTATION SECURITY TOOL..............................................................................10
INCUMPLIMIENTO................................................................................................... 10
MANEJO DE DATOS Y DOCUMENTOS.......................................................................10

6
HERRAMIENTAS..............................................................................12
A. APNDICES..........................................................................................13

Confidential

Page 1

5/15/2015

1. Prefacio
1.1. Acerca del documento
Este documento es gua para el manejo de las actividades de Clean Desk y Worstation Security Tool,
tanto para las reas de AMS y CS en GBS SSA como para los proyectos que se ejecutan en estas
reas.

1.2. Historia de Cambios


Versin

Fecha de Revisin

Autor

Resumen de cambios

1.0
2.0
2.1
3.0

14/04/2005
15/10/2006
03/04/2008
14/01/2011

Susan Pape
Lewis Dawer
Robert Hughes
Eduardo Biagi

3.1

25/02/2011

Eduardo Biagi

Creacin del doc.


Actualiz
Actualiz
Conversin al Espaol y
actualizacin
Cambios menores

1.3. Aprobaciones
La versin consolidada de este documento ser incluida en el PCB del proyecto debiendo ser
previamente aprobada.
Nombre
Jorge Lapido
Pablo Defranchi

1.4.

Rol
RM&C Manager
RM&C PM

Fecha de Aprobacin
08-02-2011
11-02-2011

Distribucin

Este documento debe ser distribuido y referenciado en el Plan de Seguridad del proyecto:
Nombre
Todos
Todos
Team RM&C
Mnica Sacco

Rol
PMs
PMOs
Asesores
LA Solution Delivery

1.5. Como acceder a este documento


Este documento esta ubicado en la American Business Tool y en el PCB Business Compliance / 00:
Normas y Procedimientos / Procedimiento Workplace Security

Confidential

Page 2

5/15/2015

1.6.

Manejo de copias obsoletas


Manejo de copias obsoletas

Este documento fue impreso desde el PCB de RM&C. Es responsabilidad del usuario
asegurarse que las versiones impresas sean las actuales. Para preservar la integridad de
este documento, por favor no elimine pginas de la copia impresa.

1.1
1.7.

Revisores

Revisor
Teresa Chaul

Confidential

Rol
Asesor (RM&C)

Requerido

Page 3

Asistente

5/15/2015

2. Introduccin
2.1.

Propsito

El propsito de este documento es definir y comunicar el procedimiento de seguridad interno para el


lugar de trabajo dentro y fuera de IBM y el modo correcto de llevar acabo las inspecciones de acuerdo
con el proceso definido por IBM en sus polticas de proteccin de la informacin (ITSC300).
Todos los empleados de IBM y los que contrate, son responsables de proteger la informacin de IBM
y del Cliente sin excepcin.
Este procedimiento establece los requisitos mnimos establecidos, no obstante cada gerente de lnea
puede establecer requisitos adicionales a su discrecin, inclusive el cliente solicitarlos.

2.2.

Alcance

Este documento contiene una descripcin del Procedimiento de WorkPlace Security (WPS) que debe
ser aplicado por todos los miembros de GBS (AMS y CS) dando cobertura a:

La identificacin y anlisis de los riesgos en el manejo de la informacin y documentos del


proyecto
La definicin de los planes de mitigacin en caso de ser necesarios

El alcance de este procedimiento incluye la identificacin, documentacin y reporte de los potenciales


riesgos en el manejo de la informacin, el control del impacto y de la probabilidad de ocurrencia
durante el ciclo de vida del Proyecto, adems de la definicin y seguimiento de las acciones de
mitigacin que se implementen en el marco de tiempo requerido.
Abarca la informacin disponible en cualquier forma: impresin, resguardo, traslado, transmisin y
comunicacin de dicha informacin y cualquier otro tipo de disposicin de la misma.

2.3

Documentacin relacionada

Ttulo del Documento


Workplace Security Review Procedure

Notes Link

ITSC300

3. Proceso de Inspeccin de Seguridad


3.1

Visin General

Los gerentes de primera lnea son los responsables de que sus empleados cumplan con las normas
ITSC300.

Confidential

Page 4

5/15/2015

Las inspecciones deben realizarse con una frecuencia mnima trimestral aunque se recomienda que, de
ser posible, stas se realicen mensualmente, y se documentan en la American Business Tool o en el
PCB del proyecto, segn corresponda. Las inspecciones se realizan sobre las reas de trabajo de IBM y
del cliente. Deben incluir adems las impresoras, las reas de seguridad, los espacios en comn y los
considerados vacantes.

3.2

Consideraciones Generales

Identificar el sitio de inspeccin


Cada PM o responsable del Site o a quien stos hayan delegado la ejecucin de la tarea, debe llevar
a cabo inspecciones de lugares de trabajo de su propio equipo.
Identificar grupo de inspeccin
Deben identificarse las personas dentro del sitio de inspeccin.
Seleccionar fecha de la inspeccin - Despus de horas de trabajo
Si el equipo de inspeccin no tiene acceso fsico a las oficinas o reas de trabajo seleccionado para
su inspeccin, el gerente de lnea debe informar la fecha y solicitar acceso ante quien corresponda.
Conducta de Inspeccin
Los resultados de la inspeccin deben ser documentados. Se enviar una notificacin a / los
ocupante/s del rea de trabajo en la que se llev a cabo la inspeccin y se determin la infraccin
explicando cual fue la misma. Adems se dejar una nota en el puesto de trabajo si la infraccin
implica el retiro de algn elemento ver ejemplo:

"Security
Ins pection-Failure.ppt"

Todos los participantes de una inspeccin en el lugar de trabajo deben estar familiarizados con los
requisitos de seguridad del lugar. Estos requisitos son formalmente documentado en la gua ITCS300,
que se puede encontrar en ITSC300
En el resumen siguiente se detalla una lista de los criterios de inspeccin que, si no se cumplen
constituirn una violacin a las normas:

Confidential

Page 5

5/15/2015

Security Compliance Checklist (en Ingles)


Security Compliance Checklist Part I
1. Lock up confidential information when you are away from your work area. Use the
Do not leave personal information tent card, if applicable.
2. Dispose of confidential information appropriately (shredder for IBM material, or in
confidential waste container).
3. Immediately retrieve all confidential faxes and printouts.
4. Active password protected keyboard / screen lock when you are away from your
work area.
5. Secure your laptop with a cable lock. When you are not using the cable, do not
leave the key in the lock.
6. Secure all passwords and keys.
7. Log- off and power down desktops after normal business hours.
8. If laptops are left in the workplace at the end of the business day, ensure they are
secured in a locked drawer or cabinet.
9. Portable storage media unsecured - all media be considered contain Confidential
information or it be an asset that must be secured (in the case of Cd s, unless the disc
itself is clearly a music Cd)
10. Confidential information must be properly labelled and classified either for
Customer or IBM.

Special recommendations to all employees (not validated thru regular inspections)


1. Sensitive information about IBM s employees, our customers or other individuals is
to be classified either customer or IBM confidential.
2. When transporting laptop for one location to other another, store laptops in locked
vehicles out of general view.

Help Security Compliance Checklist (en Espaol)


Security Compliance Checklist Part I
1. Guarde bajo llave la informacin confidencial cuando se encuentre lejos de su rea
de trabajo. Use un letrero que diga No deje informacin confidencial
2. Deshgase adecuadamente de la informacin confidencial (con una trituradora de
material de IBM, o en un contenedor cerrado)
3. Inmediatamente recupere los faxes confidenciales y documentos impresos.
4. Active el protector de pantalla cuando est fuera de su rea de trabajo.
5. Proteja su laptop con un cable de seguridad. Cuando no lo est usando no deje la
llave o clave
6. Cambie cuando corresponda todas sus contraseas y claves.
7. Apague las desktops despus de las horas laborables.
8. Si las computadoras porttiles se dejan en el lugar de trabajo al final de la jornada
laborable, asegrese que sea guardada en lockers o gabinetes seguros y con su cable
de seguridad.
9. Todos los dispositivos porttiles que contienen informacin confidencial y son
considerados como activos propios deben ser asegurados. Todos los medios de
almacenamiento de informacin deben estar protegidos si contienen informacin

Confidential

Page 6

5/15/2015

confidencial.
10. La informacion confidencial debe ser debidamente etiquetada y clasificada as, ya
sea del cliente o de IBM.

Recomendaciones especiales para todos los empleados (no verificadas durante


inspecciones regulares)
1. La informacin confidencial sobre los empleados de IBM, los clientes u otras
personas se clasifican ya sea del Cliente o confidencial de IBM.
2. Cuando transporte la desktop de un lugar a otro, debe guardarse fuera de la vista
del pblico en general.

Utilizando la siguiente plantilla de control, se realizan trimestralmente las inspecciones del lugar de
trabajo y a los puestos de todos los integrantes del equipo del Proyecto (no obstante se recomienda
efectuarlas mensualmente). Se documentan en la American Business Tool o en el PCB del proyecto,
segn corresponda, los posibles riesgos en el manejo de la informacin y se generan las medidas de
mitigacin correspondientes para su solucin.

RM&C - Checklist
Clean Desk V1.0

Confidential

Page 7

5/15/2015

4. Roles y responsabilidades
Los siguientes roles son utilizados a travs de este procedimiento:
Gerente de Proyecto (PM o responsable del Site)
Es responsable de:

Asegurarse de que todos los pasos de este procedimiento sean seguidos

Definir la estrategia para la correccin de las alertas encontradas

Planificar las actividades de seguimiento


Integrantes del Equipo de Proyecto
Es el grupo de personas del Proyecto que siguen los procesos de desarrollo, mantenimiento y entrega
del producto final. Son responsables de:

Dar soporte al Gerente de Proyecto en la realizacin, evaluacin y correccin de las


Inspecciones de Clean Desk y Workstation Security Tool en el Proyecto.
Especialista de PMO (Project Management Office), si tuviese la cuenta
Es responsable de dar soporte al Gerente de Proyecto en la registracin y seguimiento de las hojas
de datos. Tambin se encargar de subir los documentos y las evidencias de las inspecciones al PCB.

Confidential

Page 8

5/15/2015

5. Pasos del procedimiento


5.1 Inspeccin en el lugar de trabajo
El primer paso para describir el procedimiento de Workplace Security es realizar la inspeccin al sitio
de trabajo teniendo en cuenta:

Observar todos los documentos que quedan sobre el escritorio


Verificar la informacin que se ha colocado en las paredes o tableros.
El acceso a la correspondencia debe ser restringida solo a personas autorizadas.
Aquella no retirada al final de la jornada laboral debe ser protegida contra el uso no autorizado o
mal uso, guardada en armarios con cerradura o puertas con cerradura .
Las salas que son identificadas como de uso mltiple (por ejemplo, copiadora, fax, etc), pueden
servir como lugar de resguardo siempre y cuando permanezcan cerradas al final de la jornada
laboral.
No se permitir la recepcin por personas no autorizadas de correo marcado como certificado o
por correo IBM confidencial.
Validar si hay libros, ver carpetas y dems documentos que puedan ser de trabajo.
Intentar abrir todos los cajones, armarios y dems mobiliario con cerradura para ver si son
seguros.
Buscar las llaves que quedan en portalpices, bandejas de escritorio.
Inspeccionar si las contraseas pueden estar escritas en calendarios, hojas de papel, post-it y
dems artculos visibles en el escritorio. Buscar en los estantes del escritorio y en el teclado de la
computadora si hay seas para las contraseas u otra informacin confidencial.
Mirar el bote de la basura, impresoras y mquinas de fax para ver si los documentos de trabajo
han sido indebidamente arrojados en los recipientes que corresponda y debidamente destruidos
tal que no se identifique su contenido.
Todos los computadores deben estar en una condicin de powered-off despus de horas de no
utilizacin. Al encender la mquina se debe comprobar que aparezca una contrasea que se ha
desplegado con un aviso para restringir el acceso. El computador que queda encendido de la
noche a la maana, con protector de pantalla genera una violacin. El protector de pantalla debe
activarse en el tiempo adecuado (30 minutos) y la contrasea de activacin debe ser compleja y
modificada con periodicidad.
Los computadores porttiles tienen que estar asegurados con un cable de seguridad en todo
momento y bajo llave en un cajn / gabinete si se dejan durante la noche.
El encontrar disquetes, CD-RW, discos, sobre el escritorio constituye una violacin sin necesidad
de comprobar el contenido real almacenado dentro.

Si se encuentra cualquier violacin, se debe informar a los trabajadores y confiscar cualquier material
abandonado dejando constancia en el puesto de trabajo y enviando un correo a la persona que
cometi la infraccin con copia a su Gerente.

5.2 Workstation Security Tool


Para hacer la evaluacin de la seguridad informtica de los computadores actualmente utilizamos la
herramienta WST, esta herramienta se ejecuta mensualmente vigilando que todos los tems estn en
verde y posteriormente se guardan las evidencias.
El PM deber controlar que estas acciones se cumplan y controlar los desvos.
Con el WST se monitorea lo siguiente:

Confidential

Page 9

5/15/2015

El equipo dispone de las ltimas revisiones de seguridad?


El equipo tiene el ms reciente de Services Pack de Windows instalado?
El equipo tiene un disco duro con una serie contraseas?
El equipo tiene un programa aprobado de antivirus instalado y en funcionamiento, con
actualizaciones regulares?
El equipo tiene el protector de pantalla para activarse a los 30 minutos o menos?
Rplica local copias de las bases de datos cifrados? NO cifrar Libretas de direcciones locales.
El computador tiene el firewall instalado y en funcionamiento?
El equipo requiere que se configure una contrasea, las contraseas deben ser de al menos 8
caracteres de longitud y ser cambiado por lo menos cada 90 das.
No se han encontrado aplicaciones Peer-Too-Peer para compartir archivos
Los recursos compartidos en la red de Windows sean configurado para requerir autenticacin
1. Si el equipo (empleado) cumple con la evaluacin de WST la base de datos ser actualizada con la
fecha y el estado de seguimiento de todos los controles de seguridad.
2. Si el equipo (empleado) no cumple, el WST base de datos ser actualizada con la fecha y los
elementos encontrados. El empleado recibir un e-mail para informarle de la falta y las medidas a
tomar para el cumplimiento del equipo, con copia a su gerente, debiendo resolver el desvo dentro
de un plazo de cinco das hbiles. Este mail le ser reiterado hasta que los desvos estn
solucionados. Si las mquinas no estn en cumplimiento debido a la poltica de seguridad del
cliente (por ejemplo, el uso de McAffee en lugar de Norton anti-virus), entonces las exenciones
deben ser presentadas debidamente aprobadas.

5.3 Incumplimiento
La Gerencia de Proyecto revisa los estados y avances de las inspecciones realizadas y ejecuta las
acciones correctivas o los planes de mitigacin, segn correspoda.
Las penalidades serian aplicadas segn su nivel de ocurrencia y gravedad de la siguiente manera:
A. Primera violacin: Empleado es notificado. El empleado es educado en relacin a la falta y de la
forma correcta para remediarla.
B. Segunda violacin: Si la misma persona, comete la misma violacin, se notifica al empleado y su
Gerente quienes debern reunirse y explicar la poltica de tolerancia cero y recordar al empleado que
el cumplimiento es una condicin de empleo. Se sugiere imponer si se justifica una sancin
disciplinaria.
C. Tercera violacin: Si la misma persona, comete la misma violacin. Se notifica al empleado y a su
Gerente de Segundo nivel. Se realiza una reunin con el empleado y su Gerente para explicar por
qu la violacin persiste. Se sugiere poner una sancin disciplinaria.

5.2 Manejo de Datos y Documentos


Esta seccin describe el manejo adecuado de la informacin del Proyecto
Impresin de documentos
La impresin de documentos del cliente o de IBM o informacin confidencial o sensible debe ser
evitada al mximo. Sin embargo, cuando la impresin es necesaria, las siguientes son las pautas que
deben seguirse:
Al imprimir recoger las impresiones de inmediato, no dejar desatendida la impresora
Guarde los documentos y la informacin sensible en armarios y cajones bajo llave.
Eliminacin de Documentos

Confidential

Page 10

5/15/2015

Para eliminar documentos confidenciales use trituradoras. Para eliminar documentos confidenciales
del cliente asegrese de cumplir con las polticas que este tenga al respecto. Si no hay trituradoras
miembros pueden desmenuzar los documentos cuidando que la informacin no quede reconstruible)
Distribucin / Transmisin de documentos
Documentos pueden ser enviados por fax, carta o correo electrnico.
Envo de fax: Cuando se transmite por fax, se debe usar un fax seguro en un ambiente controlado y
utilizar una portada dirigida al destinatario con su nombre.
Correo: Utilizar el correo certificado con acuse de recibo es necesario para estar seguros que el
receptor recibe correctamente la carta.
Correo electrnico: Correo electrnico debe ser encriptado o utilizar los protocolos de seguridad
estndar de la industria. (Tenga en cuenta qu mtodo de correo electrnico utiliza su cliente.)
Transmisin: Para la transferencia electrnica de PI / SPI / BSI entre los sistemas se debe hacer uso
de protocolos seguros, por ejemplo: FTP seguro. (Tenga en cuenta el mtodo de transferencia
electrnica que el cliente utiliza.)
Uso de Portable Media
Los medios extrables utilizados para las copias de seguridad de IBM que contengan informacin
sensible PI / SPI / BSI debern estar protegidos contra el acceso no autorizado y robo. Ellos deben
estar etiquetados si son de IBM o del cliente, como confidenciales y guardarse en un rea bloqueada.
Nunca dejar expuestos en zonas desatendidas.
Destruccin de Datos
Una vez que el PI / SPI / BSI ya no sea necesario, deber ser borrado de cualquier medio de
almacenamiento de tal manera que los programas que en el comercio se encuentran para
recuperacin de datos no los puedan recuperar ni leer.

Confidential

Page 11

5/15/2015

Herramientas

Hojas de datos (Excel o Lotus 123)


American Business Controls

Confidential

Page 12

5/15/2015

A. APNDICES
A1 Glosario de trminos y Acrnimos
Trmino / Acrnimo
GBS
AS
C&SI
PM
PCB
RPM
SSA
WPS
WST

Descripcin
Global Business Integration
Application Services
Consulting & System Integration
Project Manager
Project Control Book
Rational Portfolio Manager
Spanish South America
WorkPlace Security
Workstation Security Tool

****** FIN DEL DOCUMENTO ******

Confidential

Page 13

5/15/2015