Políticas Relacionadas a Dispositivos y Seguridad Física

Enero 2019
 Objetivo: Garantizar que se proteja la información en un nivel adecuado.
 Cargo encargado de conceder y quitar accesos: Comité de Seguridad
Todos los tipos de información, independientemente del formato, ya sean documentos en
papel o electrónicos, aplicaciones y bases de datos, conocimiento de las personas, etc.
Nivel de
Etiquetado Criterios de clasificación Restricción de acceso
confidencialidad

Pública (sin etiquetar) Hacer pública la información no puede dañar La información está disponible para
a la organización de ninguna forma todo el público

Uso interno USO INTERNO El acceso no autorizado a la información La información está disponible para
podría ocasionar daños y/o inconvenientes todos los empleados y terceros
menores a la organización seleccionados

Restringida RESTRINGIDA El acceso no autorizado a la información La información está disponible

podría dañar considerablemente el negocio solamente para un grupo específico
y/o la reputación de la organización de empleados y de terceros
autorizados
Política de Clasificación
Confidencial CONFIDENCIAL El acceso no autorizado a la información La información está disponible
de la Información podría dañar de forma catastrófica solamente para personas específicas

(I) (irreparable) el negocio y/o la reputación de la de la organización

organización
 Documentos en papel Nivel de confidencialidad: esquina inferior izquierda c/u
página del documento; también se indica en la portada o
en el sobre que contiene dicho documento, como también
en la carpeta de archivo en la que se guarda el documento.
Documentos electrónicos Nivel de confidencialidad: esquina inferior izquierda c/u
página del documento.
Sistemas de información Nivel de confidencialidad en aplicaciones y bases de datos:
en la pantalla de acceso al sistema, como también en la
esquina superior derecha de cada pantalla consecutiva que
muestra información confidencial.
Correo electrónico Nivel de confidencialidad: primera línea del cuerpo del
correo electrónico.
Soporte de almacenamiento (discos, tarjetas de memoria, etc.) Nivel de
electrónico confidencialidad: sobre la superficie de cada soporte.

Información transmitida Nivel de confidencialidad de la información confidencial

Política de Clasificación oralmente que se transmite a través de una comunicación cara a cara,
por teléfono o por alguna otra vía de comunicación debe
de la Información ser comunicado antes que la información propiamente
(II) dicha.
 Objetivo: definir reglas para evitar el acceso no autorizado a la información en los
puestos de trabajo, como también a las instalaciones y a los equipos compartidos.
 Cargo encargado de conceder y quitar accesos: Comité de Seguridad
Toda la información clasificada como "Uso interno", "Restringido" y "Confidencial" de
acuerdo a lo establecido en la Política de Clasificación de la Información, es considerada
sensible en esta Política.

Política de Pantalla Limpia

Si no se esta en el puesto de trabajo debe quitar toda la información
sensible de la pantalla y se debe denegar el acceso a todos los sistemas.
En el caso de una ausencia corta (hasta 20 minutos), la política de pantalla
limpia se implementa bloqueando la pantalla con una clave.
Si se ausenta por un tiempo prolongado de 40 minutos, el sistema debe
Política de Pantalla y entrar en hibernación.
Escritorio Limpio (I) Los accesos y claves son controlados de acuerdo a lo establecido en la
Política de Control de Acceso y Política de Claves.
 Política de Escritorio Limpio
Si no se esta en el puesto de trabajo toda información sensible debe estar
bajo llave.
Los documentos deben estar archivados de acuerdo a la Política de
Clasificación de la Información
El usuario no debe pegar notas en el monitor o cualquier otro espacio
visible con información reservada y/o confidencial o sensible.
El usuario no debe dejar en el escritorio llaves, identificaciones o medios
de acceso que tenga bajo su responsabilidad.
Al finalizar la jornada laboral, el usuario deberá guardar su herramienta de
trabajo en el cajón que se tiene a su costado con llave, entregando una
llave a su superior.

Protección de Equipos Compartidos

Política de Pantalla y Los documentos que contienen información sensible deben ser retirados
inmediatamente de las impresoras. El uso no autorizado de impresoras y
Escritorio Limpio (II) demás equipamiento compartido para copiado se evita cerrando la
instalación y el acceso es solo a través de la llave y tarjetas de acceso.
 Objetivo: es evitar el acceso no autorizado a dispositivos ubicados tanto dentro como
fuera de las instalaciones de la organización.
 Cargo encargado de conceder y quitar permiso: Comité de Seguridad
 Computación Móvil: Incluyen todo tipo de ordenadores portátiles, teléfonos móviles,
tarjetas de memoria y demás equipamiento móvil utilizado para almacenamiento,
procesamiento y transferencia de datos.

Si contiene información Si esta en lugares públicos, Las actualizaciones del Windows

sensible, debe estar bajo tener precaución de que los están desactivadas y el antivirus
llave o usar trabas datos no sean leídos por es el único que debe ser
especiales para asegurarlo personas no autorizadas. actualizado

Configuración adecuada de Implementar protección de Equipamiento de computación

la red local utilizada para datos sensibles de acuerdo a móvil sea desatendido, se deben
conectarse a la Internet. la política de Clasificación de aplicar las reglas para
Política sobre la información equipamiento de usuario
Dispositivos Móviles y desatendido de la Política de
Pantalla y Escritorio Limpio
Tele-Trabajo (I)
  Tele-trabajo: Los equipos de información y comunicación se utilizan para permitir que
los empleados realicen su trabajo fuera de la organización. El tele-trabajo no incluye el
uso de teléfonos móviles fuera de las instalaciones de la organización.
 Formulario: https://goo.gl/forms/Akox4riWDXRfunFq2

Protección del equipamiento Configuración adecuada de la Proceso de devolución de datos y

de computación móvil red local utilizada para equipamiento en caso de
conectarse a la Internet finalización del empleo

Evitar el acceso no Protección de los derechos de Nivel mínimo de configuración

autorizado de personas que
viven o trabajan en la
ubicación donde se realiza la
actividad de tele-trabajo
Política sobre
Dispositivos Móviles y
Tele-Trabajo (II)
propiedad intelectual de la de la instalación donde se
organización, tanto por el realizarán las actividades de tele-
software como por otros trabajo
contenidos que puedan estar
protegidos por derechos de
propiedad intelectual
 Objetivo: Cómo Smart Reasons retendrá el control sobre su información mientras se
accede a dicha información a través de dispositivos que no pertenecen a la organización.
BYOD significa, “bring your own device” que en español significa Trae tu propio dispositivo.
 Cargo encargado de conceder y quitar accesos: Comité de Seguridad
Política de la empresa Los datos de la empresa que se almacenan, transfieren o
procesan en BOYD siguen perteneciendo a la empresa, y la
empresa mantiene el derecho a controlar esos datos aunque
no sea propietaria del dispositivo.
Quiénes pueden utilizar El Comité de Seguridad creará :
BOYD y para qué • Lista de usuarios habilitados para BYOD
• Lista de configuraciones de seguridad
• Lista de aplicaciones prohibidas

Derechos Especiales Smart Reasons no abonará a los empleados (los propietarios de

Política Trae tu propio BYOD) ningún costo por el uso del dispositivo con fines
laborales.
dispositivo (BYOD) (I) Los costos de telecomunicaciones (cargos de teléfono y datos)
son contemplados para en el plan de mejora continua.
 La información sensible que
se encuentra en
ordenadores portátiles debe
estar encriptada
Configuración adecuada de
la red local utilizada para
conectarse a la Internet
Notificar al Comité de
Seguridad antes de eliminar,
vender o entregar un BOYD
a terceros para su
reparación.
Violaciones de seguridad:
reportadas al Comité de
Seguridad. Si aún no se han
convertido en incidentes
Política Trae tu propio deben ser reportados por
dispositivo (BYOD) (II) medio de los mismos
canales dentro de 1 día
hábil.
El método de autenticación que Las actualizaciones del Windows
se utilizará es el de contraseña están desactivadas y el antivirus es el
y protección de pantalla de único que debe ser actualizado
acuerdo la Política de Pantalla y
Escritorio Limpio
Implementar protección de Si esta en lugares públicos, tener
datos sensibles de acuerdo a la precaución de que los datos no sean
política de Clasificación de la leídos por personas no autorizadas.
información Debe estar bajo llave o usar trabas
especiales para asegurarlo
Prohibido:
- Almacenar material ilegal en el dispositivo.
- Instalar software sin licencia.
- Permitir el acceso a cualquiera que no sea el empleado propietario
del dispositivo
- Conectarse a redes Wi-Fi desconocidas
- Almacenar claves localmente, excepto cuando se utilicen las
siguientes aplicaciones:
- Gitlab
- SQL Server
- PostgreSQL
- Escritorios remotos de los servidores
- Transferir datos de la empresa a otros dispositivos no permitidos
Resumen – Políticas Relacionadas a Dispositivos
Política de Pantalla y Escritorio Política sobre Dispositivos Política Trae tu propio dispositivo
Limpio Móviles y Tele-Trabajo (BYOD)
Pantalla Limpia

Escritorio Limpio

Protección de Equipos Compartidos Formulario de Solicitud para Tele-Trabajo Lista de cargos y/o personas a quienes se
les permite utilizar BOYD

Smart Reasons no se responsabiliza de los

BOYD

Listado de Configuraciones para la Seguridad

Lista de Aplicaciones Prohibidas

COMITÉ DE SEGURIDAD
Resumen – Políticas Relacionadas a Seguridad
Política de Clasificación de la
Información
Garantizar que se proteja la información en un
nivel adecuado

Pública, Uso interno, Restringida, Confidencial

Documentos en papel
Documentos electrónicos
Sistemas de información
Correo electrónico
Soporte de almacenamiento electrónico
Información transmitida oralmente

COMITÉ DE SEGURIDAD
Incidencias

Olvidar el Fotocheck

Olvidar guardar la laptop cuando se retira de la

oficina

Política
Dejar en el escritorio llaves

Vizcacha
Dejar en el escritorio fotocheck

Dejar en el escritorio documentos al retirarse

Dejar en la pantalla información sensible

No suspender la computadora al almorzar

Dejar las llaves en el cajón