1 Estudio de Sophos sobre proteccin de datos versin 1 9_11
Ejemplos de polticas de usuario por las
que guiarse Polticas de proteccin de datos para los usuarios
Los directores informticos de las empresas deben formar a los usuarios y proporcionarles herramientas que fomenten su concienciacin y, al mismo tiempo, ayuden a reducir los riesgos para la seguridad de los datos en el trabajo diario.
Los ejemplos de polticas incluidas en este kit pueden ayudarle a identificar las prcticas ms adecuadas y a descubrir otras reas en las que desplegar polticas para los usuarios, los datos, el cumplimiento de las normativas del sector, etc.
Este kit incluye tres polticas:
Requisitos para los empleados Prevencin de fugas de datos (datos en movimiento) Cifrado completo de discos en estaciones de trabajo
Las reas personalizables de estas polticas aparecen entre corchetes [ejemplo]. Si lo desea, puede copiar las polticas y pegar el contenido de cada una de ellas en un mensaje de correo electrnico para enviarlo a los usuarios de la empresa.
2 Estudio de Sophos sobre proteccin de datos versin 1 9_11
Poltica de proteccin de datos: Requisitos para los empleados
Cmo utilizar esta poltica Esta poltica de ejemplo describe el comportamiento que se espera de los empleados a la hora de manejar datos y ofrece una clasificacin de los tipos de datos con los que deben tener especial cuidado. Incluya esta poltica con la poltica de uso aceptable de la empresa, los programas de formacin sobre seguridad y la poltica de proteccin de datos para proporcionar a los usuarios pautas sobre los comportamientos exigidos.
1.0 Objetivo [Empresa X] debe proteger los datos confidenciales, restringidos o delicados para evitar que posibles fugas daen el prestigio o afecten de forma negativa a los clientes. Tanto la proteccin de estos datos como la flexibilidad para acceder a ellos y la conservacin de la productividad son requisitos crticos para la empresa.
Este control tecnolgico no est diseado para evitar robos maliciosos o detectar todos los datos. Su principal objetivo es fomentar la concienciacin de los usuarios para evitar fugas accidentales. En esta poltica se describen los requisitos para la prevencin de fugas de datos, las razones para su uso y su finalidad.
2.0 Alcance 1. Todos los empleados, contratistas o usuarios con acceso a los datos o a los sistemas de [empresa X]. 2. Definicin de los datos protegidos (identifique los tipos de datos y proporcione ejemplos a los usuarios para que puedan detectarlos cuando los utilicen) Informacin de identificacin personal Datos financieros Datos restringidos o delicados Datos confidenciales Direcciones IP 3.0 Poltica: requisitos para los empleados
1. Realice los cursos de concienciacin sobre seguridad de [empresa X] y compromtase a adherirse a la poltica de uso aceptable. 2. Si se encuentra con algn individuo desconocido, sin escolta o no autorizado en [empresa X], comunquelo inmediatamente a [introducir la informacin correspondiente]. 3. Las personas que visiten [empresa X] deben estar acompaadas por algn empleado autorizado en todo momento. Si est encargado de acompaar a las visitas, dirjalas solamente a las zonas adecuadas. 4. No est permitido hacer referencia a temas o datos delicados y confidenciales en pblico o a travs de sistemas o canales de comunicacin no controlados por [empresa X]. Por ejemplo, est prohibido utilizar sistemas externos de correo electrnico no alojados por [empresa X] para la distribucin de datos. 5. Mantenga su escritorio organizado. Para conservar la seguridad de la informacin, no deje ningn dato englobado en esta poltica sin atender encima del escritorio. 6. Segn la poltica de contraseas, deber utilizar una contrasea segura en todos los sistemas de [empresa X]. Dichas credenciales deben ser exclusivas y no deben utilizarse en otros sistemas o servicios externos.
3 Estudio de Sophos sobre proteccin de datos versin 1 9_11
7. Al finalizar el contrato, los empleados debern devolver todos los registros (en cualquier formato) que contengan informacin personal. 8. Si se produce el extravo de cualquier dispositivo que contenga datos englobados en esta poltica (por ejemplo, telfonos mviles, porttiles, etc.), informe de inmediato a [introducir la informacin correspondiente]. 9. Si sospecha que algn sistema o proceso no cumple la poltica o pone en peligro la seguridad de la informacin, tiene el deber de informar a [introducir la informacin correspondiente] para que se tomen las medidas necesarias. 10. Si se le ha concedido la capacidad de trabajar de forma remota, tome medidas de precaucin adicionales para asegurarse de que maneja los datos adecuadamente. Solicite ayuda a [introducir la informacin correspondiente] si no est seguro de sus responsabilidades. 11. Asegrese de no exponer de forma excesiva los activos que contengan datos englobados en esta poltica, por ejemplo, a la vista en el asiento trasero del coche. 12. Las transferencias de datos dentro de [empresa X] deben realizarse solamente a travs de los mecanismos seguros proporcionados por la empresa (por ejemplo, correo electrnico, recursos compartidos, memorias USB cifradas, etc.). [Empresa X] le proporcionar los sistemas o dispositivos correspondientes para tal fin. No utilice otros mecanismos para el manejo de datos englobados en esta poltica. Si tiene alguna pregunta relacionada con el uso de cualquier mecanismo de transferencia o detecta alguno que no cumpla los requisitos empresariales, informe a [introducir la informacin correspondiente]. 13. Toda informacin transferida a cualquier dispositivo mvil (por ejemplo, memorias USB u ordenadores porttiles) debe estar cifrada de acuerdo con las prcticas recomendadas del sector, y las leyes y normativas correspondientes. Si tiene alguna duda sobre los requisitos, solicite ayuda a [introducir la informacin correspondiente].
4 Estudio de Sophos sobre proteccin de datos versin 1 9_11
Poltica de proteccin de datos: Prevencin de fugas de datos (datos en movimiento)
Cmo utilizar esta poltica Esta poltica de ejemplo tiene como finalidad servir de gua a aquellas empresas que deseen implementar o actualizar los controles de prevencin de fugas de datos. Adptela a los requisitos de usabilidad o segn las normativas o los datos que necesite proteger. Esta poltica proporciona un marco para la clasificacin de los datos que desee controlar. Ample dicha clasificacin para englobar los activos delicados presentes en la empresa.
Principios fundamentales La prevencin de fugas de datos est diseada para concienciar a los usuarios sobre la naturaleza confidencial o las posibles restricciones de los datos que transfieren.
1.0 Objetivo [Empresa X] debe proteger los datos confidenciales, restringidos o delicados para evitar que posibles fugas daen el prestigio o afecten de forma negativa a los clientes. Tanto la proteccin de estos datos como la flexibilidad para acceder a ellos y la conservacin de la productividad son requisitos crticos para la empresa.
Este control tecnolgico no est diseado para evitar robos maliciosos o detectar todos los datos. Su principal objetivo es fomentar la concienciacin de los usuarios para evitar fugas accidentales. En esta poltica se describen los requisitos para la prevencin de fugas de datos, las razones para su uso y su finalidad.
2.0 Alcance 1. Todos los dispositivos de [empresa X] en los que se manejen datos de clientes, delicados o de la empresa, e informacin de identificacin personal. Todos los dispositivos utilizados de forma habitual para acceder al correo electrnico e Internet, o realizar otras tareas relacionadas con el trabajo de los usuarios, y que no estn exentos de forma especfica por razones tecnolgicas o empresariales justificadas. 2. La poltica de proteccin de la informacin de [empresa X] definir los requisitos para el manejo de informacin y el comportamiento de los usuarios. Esta poltica aade controles tecnolgicos a la poltica de proteccin de la informacin. 3. Excepciones: en aquellos casos en los que ciertas necesidades empresariales exijan la exencin de esta poltica (costes, complejidad o repercusiones en otros requisitos), debe realizarse una evaluacin de los riesgos autorizada por la gestin de la seguridad. Consulte el proceso de Evaluacin de riesgos (incluya aqu una referencia al proceso de evaluacin de riesgos propio de la empresa).
3.0 Poltica 1. La tecnologa de prevencin de fugas de datos (DLP) de [empresa X] detecta datos en movimiento. 2. La tecnologa DLP identifica grandes volmenes de datos englobados en la poltica (con alto riesgo de contener informacin delicada y que pueden provocar graves consecuencias si se manejan de forma inadecuada). Se consideran grandes volmenes de datos aquellos que superan los [introducir la cantidad correspondiente] registros (ajuste la cantidad al tamao de su empresa, por ejemplo, 1 000 registros).
5 Estudio de Sophos sobre proteccin de datos versin 1 9_11
Se consideran datos englobados en la poltica: (incluya los datos vinculados a normativas o aquellos que puedan afectar ms a su empresa. Los ejemplos siguientes resultan adecuados para la mayora de las empresas). a. Datos de tarjetas de crdito, nmeros de cuentas bancarias y dems informacin financiera b. Direcciones de correo electrnico, nombres, direcciones postales y otras combinaciones de datos de identificacin personal c. Documentos marcados de forma explcita como informacin confidencial de [empresa X]. d. La prevencin de fugas de datos identifica contenido especfico como, por ejemplo: i. Datos de ventas (principalmente, previsiones, listas de renovaciones y listados de clientes) ii. Informacin de identificacin personal exportada fuera de los sistemas controlados (incluya en esta categora los datos que ms le preocupen y que desee asegurarse de que se detectan mediante la poltica de prevencin de fugas de datos).
3. La prevencin de fugas de datos se configurar para advertir a los usuarios cuando se sospeche que estn transfiriendo datos delicados. Los usuarios podrn autorizar o denegar las transferencias. De esta forma, los usuarios tienen la oportunidad de tomar las decisiones adecuadas para proteger los datos sin afectar al funcionamiento de la empresa. La configuracin de la solucin de prevencin de fugas de datos se modificar segn el proceso de cambios informticos de [empresa X] y bajo la autorizacin de los encargados de la gestin de la seguridad para identificar los ajustes necesarios en la poltica de proteccin de la informacin y las comunicaciones de los empleados. 4. La solucin de prevencin de fugas de datos registrar los incidentes de forma centralizada para facilitar su revisin. El departamento informtico evaluar los eventos para identificar los datos que pueden ser delicados, las situaciones en las que se autoriz su transferencia y los posibles usos inadecuados. El departamento de recursos humanos recibir notificaciones sobre dichos eventos para ocuparse de ellos segn los procesos habituales y proteger a los empleados. (Ajuste este apartado a su empresa. En algunos casos, los encargados de realizar las evaluaciones son los propietarios de la empresa, en lugar del departamento informtico). 5. Si cree que se ha producido una filtracin de datos, siga el procedimiento de gestin de incidentes informticos e informe a [introducir la informacin correspondiente] (por ejemplo, el departamento de recursos humanos, legal o encargado de la seguridad). 6. El acceso a los eventos de prevencin de fugas de datos estar restringido a una serie de individuos concretos para proteger la privacidad de los empleados. Dichos eventos no deben utilizarse como prueba de que un empleado haya provocado de forma accidental o intencionada una fuga de datos, pero pueden servir como base de las investigaciones para asegurarse de que los datos se han protegido adecuadamente.
4.0 Pautas tcnicas Las pautas tcnicas sirven para identificar los requisitos de implementacin tcnica y suelen estar relacionados con las tecnologas. 1. La tecnologa elegida es [introducir la informacin correspondiente]. 2. El producto se configurar para detectar el movimiento de datos en navegadores, programas de mensajera instantnea, clientes de correo electrnico, dispositivos de almacenamiento y medios de escritura ptica. 5.0 Informes Informes de incidentes semanales a [introducir la informacin correspondiente] Los incidentes de alta prioridad descubiertos por el departamento informtico deben comunicarse de forma inmediata a [introducir la informacin correspondiente] Informes mensuales sobre el porcentaje de dispositivos que cumplen la poltica de prevencin de fugas de datos
6 Estudio de Sophos sobre proteccin de datos versin 1 9_11
7 Estudio de Sophos sobre proteccin de datos versin 1 9_11
Poltica de proteccin de datos: Poltica de cifrado completo de discos en estaciones de trabajo
Cmo utilizar esta poltica Esta poltica de ejemplo tiene como finalidad servir de gua a aquellas empresas que deseen implementar o actualizar la poltica de control del cifrado completo de discos. Adptela a los requisitos de usabilidad o segn las normativas o los datos que necesite proteger.
Principios fundamentales Hoy en da, el cifrado completo de discos es una tecnologa fundamental para la mejora de la privacidad y un requisito obligatorio de muchas normativas.
1.0 Objetivo [Empresa X] debe proteger los datos confidenciales, restringidos o delicados para evitar que posibles fugas daen el prestigio o afecten de forma negativa a los clientes. Adems, existen diferentes normativas generales (tales como [introducir la informacin correspondiente]) que obligan a la proteccin de una gran variedad de datos. Esta poltica ayuda a cumplir dichas normativas mediante la restriccin del acceso a los datos alojados en los dispositivos [introducir la informacin correspondiente].
Segn las definiciones incluidas en diferentes estndares de cumplimiento y prcticas recomendadas del sector, el cifrado completo de los discos es necesario para evitar la divulgacin de los datos si se extrava un activo. En esta poltica se definen los requisitos del cifrado completo de discos como medida de control, adems de los procesos relacionados.
2.0 Alcance 1. Todas las estaciones de [empresa X]: ordenadores de escritorio y porttiles (segn los tipos de datos almacenados y los mtodos fsicos de proteccin, en algunas empresas, esta poltica afecta a los ordenadores porttiles). 2. Todos los equipos virtuales de [empresa X]. 3. Excepciones: en aquellos casos en los que ciertas necesidades empresariales exijan la exencin de esta poltica (costes, complejidad o repercusiones en otros requisitos), debe realizarse una evaluacin de los riesgos autorizada por la gestin de la seguridad. Consulte el proceso de Evaluacin de riesgos (referencia al proceso de evaluacin de riesgos propio de la empresa).
3.0 Poltica 1. Todos los dispositivos englobados en la poltica debern tener activado el cifrado completo del disco. 2. La poltica de uso aceptable de [empresa X] y los cursos de concienciacin sobre la seguridad deben obligar a que los usuarios informen a [introducir la informacin correspondiente] si creen que no cumplen esta poltica. 3. La poltica de uso aceptable y los cursos de concienciacin sobre la seguridad deben obligar a que los usuarios informen a [introducir la informacin correspondiente] si se produce el robo o extravo de cualquier dispositivo. 4. La administracin y la evaluacin del cumplimiento de la poltica de cifrado son responsabilidad de [introducir la informacin correspondiente]. Los equipos deben enviar informes a la infraestructura central de gestin para poder demostrar el cumplimiento mediante registros de auditoras cuando sea necesario.
8 Estudio de Sophos sobre proteccin de datos versin 1 9_11
5. Si no es posible realizar una gestin centralizada y se utilizan funciones independientes de cifrado (siempre y cuando la evaluacin de riesgos lo autorice), el usuario del dispositivo debe proporcionar una copia de la clave de cifrado activa al departamento informtico. 6. [Introducir la informacin correspondiente] est autorizado a acceder a los dispositivos cifrados para realizar tareas de investigacin, mantenimiento o en el caso de que el empleado principal con derechos de acceso al sistema de archivos no est presente. [Introducir la informacin correspondiente], la poltica de uso aceptable y los cursos de concienciacin sobre la seguridad deben advertir a los usuarios sobre este requisito. (Modifique este requisito segn la poltica de uso aceptable de la empresa o los acuerdos con los empleados). 7. La tecnologa de cifrado debe configurarse de acuerdo a las prcticas recomendadas del sector para que resulte efectiva contra los posibles ataques. 8. [Introducir la informacin correspondiente] registrar y auditar todos los eventos relacionados con la seguridad para detectar accesos inadecuados a los sistemas u otros usos malintencionados. 9. El servicio de asistencia de [introducir la informacin correspondiente] tiene permiso para emitir desafos y respuestas fuera de banda con el fin de acceder a los sistemas en caso de fallos, prdidas de credenciales u otros requisitos que impidan la continuidad del negocio. Los desafos y respuestas se proporcionarn solamente en aquellos casos en los que la identidad del usuario pueda determinarse mediante los atributos documentados en la poltica de contraseas. 10. (Algunas empresas pueden contar con requisitos que obliguen a utilizar mtodos graduales para la proteccin de los datos. Es posible que ciertos usuarios manejen datos especialmente delicados y necesiten medidas de seguridad ms estrictas. Si no es el caso de su empresa, puede eliminar este punto). La poltica de restriccin de datos determinar un grupo de datos delicados y usuarios especiales. Los usuarios de dicho grupo necesitarn la autorizacin de algn miembro de [introducir la informacin correspondiente] (por ejemplo, el director informtico) para cambiar claves o emitir desafos y respuestas. El servicio de asistencia no podr acceder a dichos sistemas sin autorizacin. Estos sistemas tienen acceso a datos muy delicados y de uso restringido y deben permanecer separados. Cuando la poltica de restriccin de datos y autenticacin as lo determine, los sistemas y los usuarios debern utilizar autenticaciones de doble factor segn el estndar [introducir la informacin correspondiente] definido. La autenticacin tendr lugar en el entorno previo al arranque. 11. Los cambios en la configuracin se realizarn mediante el proceso de control de cambios de [introducir la informacin correspondiente] para identificar riesgos y cambios de implementacin importantes en la gestin de la seguridad. 4.0 Pautas tcnicas Las pautas tcnicas sirven para identificar los requisitos de implementacin tcnica y suelen estar relacionados con las tecnologas. 1. [Introducir la informacin correspondiente] es el producto estndar. 2. Deben utilizarse estndares criptogrficos slidos y recomendados en el sector. AES-256 es una implementacin aprobada. 3. La BIOS se configurar con una contrasea segura (segn lo definido en la poltica de contraseas) almacenada por el departamento informtico. El disco duro cifrado contar con un orden de arranque fijo. Si un usuario solicita anularlo por razones de urgencia o mantenimiento, el servicio de asistencia puede autenticar al usuario y proporcionarle la contrasea de la BIOS. El objetivo es evitar que los usuarios no autorizados puedan arrancar y atacar el sistema. 4. Se configurar la sincronizacin de las credenciales de Windows para que el entorno de arranque coincida con las credenciales del usuario y solo sea necesario iniciar sesin una vez. 5. Se utilizar un entorno de arranque previo para la autenticacin. Se utilizarn credenciales para la autenticacin del usuario segn la poltica de proteccin de contraseas de [introducir la informacin correspondiente]. (Si su empresa obliga a utilizar autenticaciones de doble factor, indquelo).
9 Estudio de Sophos sobre proteccin de datos versin 1 9_11
5.0 Informes Informe mensual del porcentaje de sistemas cifrados en comparacin con los activos englobados en la poltica Informe mensual del estado del cumplimiento de los sistemas cifrados y administrados Informe mensual del nmero de activos extraviados y de la evaluacin del manejo adecuado de dichos dispositivos