Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NOMBRE
NOMBREDE
DELA
LAEMPRESA
EMPRESA
ÍNDICE
2.- DESARROLLO
2.1.- SEGURIDAD EN LOS PUESTOS DE TRABAJO
Rev.00
Logotipo empresa
cliente GUÍA DEL USUARIO SI
Se aplica a todos los empleados, socios y personal externo autorizado para el tratamiento de
información por la empresa.
Los puntos desarrollados a continuación dan cumplimiento a los controles incluidos en el Objetivo de
control de Responsabilidades del usuario, Dispositivos móviles y teletrabajo, Uso aceptable de los
activos, Seguridad de los equipos (instrucciones de uso respecto al emplazamiento, seguridad
cableado, mantenimiento y de equipos, seguridad equipos fuera de las instalaciones, equipo de
usuarios desatendido,) Política de puestos despejado y pantalla limpia , del Anexo A de la norma ISO
27001.
Rev.00
Logotipo empresa
cliente GUÍA DEL USUARIO SI
2. Desarrollo
En esta guía establece las normas de seguridad a seguir por los empleados en su puesto de trabajo,
esto incluye las normas de acceso tanto físicas como lógicas –acceso a las aplicaciones, intranet,
correo electrónico,-.
Control de acceso físico. Cada usuario tan solo puede acceder a las instalaciones, salas,
ubicaciones, de forma temporal o permanente, previa identificación, acreditación y durante el horario
establecido.
Colocación de puestos e impresoras. Tanto las pantallas de los equipos como las impresoras
deberán estar físicamente ubicadas en lugares o de manera que se garantice la confidencialidad.
Se hará necesario cancelar todas las sesiones activas antes de finalizar la jornada laboral.
Puesto de trabajo despejado. Se habilitan armarios para guardar la información física que no esté
siendo utilizada de tal manera que las mesas deber estar despejadas de información y otros
materiales cuando los usuarios asignados no están en su puesto de trabajo.
Cuando no esté usando, los papeles y los soportes informáticos deberá guardarlos en lugares cerrados
y/o en los tipos de mobiliario de seguridad adecuados, especialmente fuera de las horas de trabajo.
Impresoras Todos los puntos de entrada y salida de correo, así como las impresoras deben ser
protegidas y estar custodiadas durante su uso para evitar accesos no autorizados a la información que
puedan generar. Por tanto, cada usuario que tenga acceso a una impresora debe asegurarse de que
en sus bandejas de salida no quedan documentos impresos que contengan información confidencial o
secreta. Si las impresoras son compartidas, cada usuario debe retirar los documentos conforme vayan
siendo impresos.
Equipo desatendido. Los computadores personales y terminales no se dejan desatendidos una vez
completados los procesos de identificación y autenticación de usuario, permaneciendo bloqueados
cuando no se estén utilizando.
Ficheros temporales. Se consideran ficheros temporales aquellos que están generados para atender
a una finalidad concreta y limitada en el tiempo, mediante la extracción de datos de ficheros
preexistentes, o como ficheros o documentos con tratamientos complementarios o preparatorios de
otros.
Los ficheros temporales deben ser borrados una vez que hayan dejado de ser necesarios para los
fines que motivaron su creación, lo que es una obligación del usuario que lo ha generado.
Rev.00
Logotipo empresa
cliente GUÍA DEL USUARIO SI
Normas de acceso y uso de Internet. Cada usuario debe utilizar Internet exclusivamente para
fines laborales, de acuerdo con las instrucciones impartidas por la empresa.
El usuario no debe modificar las configuraciones de los navegadores de los equipos, ni la activación de
servidores o puertos sin autorización del responsable del SGSI.
Tampoco está permitido acceder a imágenes o contenidos ilegales o contrarios a la moral y buenas
costumbres. No está permitido el acceso, descarga o almacenamiento en cualquier soporte de páginas
con estos contenidos, ni de formatos de imágenes, sonido o vídeo; de archivos que pueden contener
virus y códigos maliciosos y en general, de todo tipo de programas piratas o ilegales sin la
autorización pertinente del Responsable de Seguridad.
Se prohíbe efectuar ataques dirigidos para obstruir sistemas informáticos, o cualquier actividad que
tenga por objeto la paralización del servicio por saturación de líneas, de la capacidad del servidor, o
cualquiera similar.
Uso de la información. Dado que en el desarrollo de sus funciones los usuarios pueden estar en
contacto con información afectada por el alcance, estos están obligados a respetar la confidencialidad
requerida por la empresa para el tratamiento de la misma y a utilizarla en el estricto ámbito de sus
tareas laborales, en consonancia con los cometidos propios de su cargo.
Como usuario del SGSI y dependiendo del puesto en el que esté incorporado, cada usuario tiene
acceso únicamente a aquellos datos, carpetas, documentos y recursos precisos para el desarrollo de
sus funciones. Será el responsable de la custodia de la información y de los datos que almacene en su
puesto de trabajo.
Seguridad de documentos. No está permitido extraer fuera de las sedes de la empresa cualquier
información para la que el usuario no esté autorizado expresamente por dirección.
Destrucción de los documentos al ser desechados. Previa autorización, cuando sea necesaria la
destrucción de documentos por parte del personal, esta debe de ser realizada según el procedimiento
de gestión, distribución, desechado y reutilización de soportes.
Rev.00
Logotipo empresa
cliente GUÍA DEL USUARIO SI
El usuario solo debe utilizar el correo electrónico que le facilite la empresa para los fines relacionados
con las funciones y tareas que le han sido asignadas, sin permitirse el uso para fines privados.
El usuario es responsable de todas las actividades realizadas en sus cuentas de correo y respectivos
buzones.
No debe permitir la utilización del mismo a personas no autorizadas ni enviar mensajes a personas
que no deseen recibirlo.
Se prohíbe efectuar ataques para obstruir sistemas informáticos dirigidos a un usuario o al propio
sistema de correos, o cualquier actividad que tenga por objeto la paralización del servicio por
saturación de líneas, de la capacidad del servidor, o cualquiera similar.
Ningún mensaje de correo electrónico es considerado como privado, por lo que la empresa podrá
ordenar la revisión, sin previo aviso, de los mensajes de correo electrónico corporativo, con el fin de
comprobar el cumplimiento de las normas establecidas y prevenir actividades que puedan afectarla.
Existe un formato para que pueda poner en el pie del correo tus datos de contacto y profesionales. El
texto sería el siguiente:
NOMBRE DE LA EMPRESA.
Tel: +34 902
Fax: +34 984
Correo electrónico:
http://
Rev.00
Logotipo empresa
cliente GUÍA DEL USUARIO SI
Le informamos, como destinatario de este mensaje, que el correo electrónico y las comunicaciones
por medio de Internet no permiten asegurar ni garantizar la confidencialidad de los mensajes
transmitidos, así como tampoco su integridad o su correcta recepción, por lo que NOMBRE DE LA
EMPRESAno asume responsabilidad alguna por tales circunstancias. Si no consintiese en la utilización
del correo electrónico o de las comunicaciones vía Internet le rogamos nos lo comunique y ponga en
nuestro conocimiento de manera inmediata.
Este mensaje va dirigido, de manera exclusiva, a su destinatario y contiene información confidencial y
sujeta al secreto profesional, cuya divulgación no está permitida por la ley. En caso de haber recibido
este mensaje por error, le rogamos que, de forma inmediata, nos lo comunique mediante correo
electrónico remitido a nuestra atención o a través del teléfono (+34 ____________) y proceda a su
eliminación, así como a la de cualquier documento adjunto al mismo. Asimismo, le comunicamos que
la distribución, copia o utilización de este mensaje, o de cualquier documento adjunto al mismo,
cualquiera que fuera su finalidad, están prohibidas por la ley.
Control de acceso a datos. Dado que en el desarrollo de sus funciones puede estar en contacto
con información sensible de ORGANIZACIÓN, deberá respetar su confidencialidad, y utilizarla en el
estricto ámbito de sus tareas laborales, en consonancia con los cometidos propios de su cargo.
Como usuario del sistema informático, dependiendo del puesto al que se incorpora, tendrá acceso
únicamente a aquellos datos, carpetas, documentos y recursos precisos para el desarrollo de sus
funciones. Será el responsable de la custodia de la información y de los datos de acceso a tu
ordenador.
Si advirtiese o sospechase que sus claves han sido indebidamente conocidas o utilizadas por personas
no autorizadas, deberá formular la oportuna notificación de incidencia en el plazo más breve posible,
del modo y manera regulados en el registro de incidencias, que podrá solicitarse al Responsable del
SGSI para su cumplimentación, y procederse inmediatamente a su cambio.
Aplicación _______
Cuenta de correo electrónico
Intranet
Sistema documental
Las contraseñas de acceso se sustituirán periódicamente, siendo el propio servidor de dominio el que
marca estos plazos.
Rev.00
Logotipo empresa
cliente GUÍA DEL USUARIO SI
Monitorización. Como medida de seguridad, este sistema y los servicios y la red en la que se
soportan, pueden emplear programas de monitorización para identificar usos y accesos no
autorizados. Al hacer uso de estos sistemas, el usuario consiente el uso de dichos medios de
monitorización.
Intentar descifrar las claves, sistemas o algoritmos de cifrado o cualquier otro elemento de
seguridad.
Debe reportar cualquier debilidad fallo y/o amenaza- observada o sospechada, respecto a la seguridad
de los sistemas, datos, programas o servicios de la empresa, y aquellas incidencias producidas en la
realización de sus tareas utilizando para ello el formulario de registro de incidencias.
A modo de observación se aconseja incluir en el registro de incidencias todo mensaje que aparezca en
pantalla, así como seguir las indicaciones que posteriormente el Responsable informático le ofrecerá.
El personal deberá actuar dando cumplimiento a las políticas uso de dispositivos móviles, dispositivos
BYOD y teletrabajo.
Para asegurar que la información no esté comprometida, será obligatorio adoptar las siguientes
medidas de seguridad cuando se trabaje con dispositivos móviles en un entorno exterior
desprotegido:
Rev.00
Logotipo empresa
cliente GUÍA DEL USUARIO SI
Entre los equipos móviles se incluyen todo tipo de computadores portátiles, teléfonos móviles,
tarjetas de memoria, USB y demás equipamiento móvil utilizado para almacenamiento,
procesamiento y transferencia de datos.
Se deberán proteger físicamente los dispositivos móviles contra el robo, sobre todo en coches,
habitaciones de hotel, centros de formación y reuniones, cafeterías, etc. No se deberá dejar
solo, o sin vigilar, un equipo que contenga información importante, sensible o crítica; siempre
que sea posible se dejará bajo llave.
Se deberán instalar y mantener al día antivirus y/u otros procedimientos contra software
malicioso.
Se deberá prestar un cuidado especial en proteger los dispositivos móviles que estén
conectados a las redes. Solo se deberán hacer accesos remotos a la información de la
empresa pasando por mecanismos de seguridad de control de accesos y después de
conseguir con éxito identificarse y autenticarse.
Los empleados encargados de los dispositivos remotos son los máximos responsables de su
seguridad y como tales deberán asumir las sanciones impuestas ante un posible incidente de
seguridad.
Se debe tener especial cuidado cuando los equipos móviles se encuentran en vehículos
(incluyendo automóviles), espacios públicos, habitaciones de hotel, salas de reunión, centros
de conferencias y demás áreas no protegidas exteriores a las instalaciones de la organización.
Todos los usuarios están obligados a eliminar de los mismos cualquier información que no
vaya a ser utilizada, volcándose en los ficheros y carpetas corporativas de la empresa. Al igual
que para el resto de los computadores se configuran los protectores de pantalla que, a la
reanudación del uso, se desactiven con la contraseña correspondiente.
La persona que se lleva dispositivos móviles fuera de las instalaciones debe cumplir las siguientes
reglas:
El dispositivo móvil que contiene información importante, sensible o crítica no debe ser
desatendido y, en lo posible, debe quedar resguardado bajo llave o se deben utilizar trabas
especiales para asegurarlo.
Cuando sea utilizado en lugares públicos, el usuario debe tener la precaución de que los datos
no puedan ser leídos por personas no autorizadas.
Rev.00
Logotipo empresa
cliente GUÍA DEL USUARIO SI
Las reglas de la presente Política aplican para todos los BYOD, ya sea de uso personal o que se
utilicen para trabajar, dentro o fuera de las instalaciones de la organización.
Lo siguiente es obligatorio para todos los BYOD:
[detallar qué software de seguridad debe ser instalado; por ej., software antivirus,
prevención de intrusiones, software para administración de dispositivos móviles,
etc.]
Cuando se utilicen BYOD fuera de las instalaciones de la empresa, no deben ser dejados
desatendidos y, si es posible, deben estar físicamente resguardados bajo llave.
Cuando se utiliza BYOD en lugares públicos, el propietario debe tener la precaución de que los
datos no puedan ser leídos por personas no autorizadas.
La información clasificada debe contar con protección adicional de acuerdo con la Política de
Clasificación de la información.
Notificar al responsable del SGSI antes de eliminar, vender o entregar un BYOD a terceros
para su reparación.
Todas las violaciones de seguridad relacionadas con BYOD deben ser reportadas
inmediatamente al responsable del sistema.
Instalar aplicaciones que están enumeradas en la Lista de aplicaciones prohibidas para BYOD.
Rev.00
Logotipo empresa
cliente GUÍA DEL USUARIO SI
ORGANIZACIÓN tiene el derecho de ver, editar y borrar todos los datos de la empresa que se
encuentran almacenados, transferidos o procesados en BYOD.
El responsable del sistema está autorizado a configurar cualquier BYOD en conformidad con la
presente política y a controlar su uso a través de [software para gestión de dispositivos móviles
si procede].
ORGANIZACIÓN tiene el derecho de realizar el borrado completo de todos los datos del BYOD si
considera que es necesario para la protección de los datos de la empresa, sin el consentimiento del
propietario del dispositivo.
ORGANIZACIÓN no abonará a los empleados (los propietarios de BYOD) ningún costo por el uso del
dispositivo con fines laborales.
Todo nuevo software que necesite ser instalado para uso de la empresa.
Rev.00
Logotipo empresa
cliente GUÍA DEL USUARIO SI
Teletrabajo.
Todo el personal afectado por el alcance (interno, externos) debe de conocer, aceptar y cumplir tanto
la política de seguridad de este sistema como lo indicado en este procedimiento. Por ello, se facilitará
una copia de la presente guía para su firma al inicio de la prestación del servicio, además de los
compromisos de confidencialidad y no competencia adicionales que sean necesarios en cada caso.
Rev.00
Logotipo empresa
cliente GUÍA DEL USUARIO SI
Rev.00
Logotipo empresa
cliente GUÍA DEL USUARIO SI
Aquel personal, interno u externo, que en el tratamiento diario de la información objeto de este alcance,
no lleve a la práctica lo indicado en las políticas, normas, procedimientos o cualquier documento del
presente SGSI que le sea de aplicación a su puesto de trabajo, puede poner en peligro la seguridad de la
información y los sistemas que la tratan.
Por ello, en caso de incumplimiento grave de cualquiera aspecto contenido en los citados documentos,
el trabajador podrá ser objeto de la apertura de un expediente disciplinario en los términos y
condiciones establecidos en el convenio y según lo indicado en el procedimiento seguridad ligada a los
recursos humanos.
Rev.00