Skip to main content

Gestión del Uso de Dispositivos

1 Objeto

Este procedimiento tiene por objeto definir la sistemática de actuación para el uso de los dispositivos (ordenadores, portátiles, smartphones, móviles) propiedad de la Organización y definir el sistema de teletrabajo.

2 Alcance

Este procedimiento es de aplicación a todo el personal, tanto internos como externos, que hagan uso de algún dispositivo móvil de la Organización.

3 Definiciones

N/A

4 Responsabilidades

TareaResponsabilidades
R A S C I
Mantener actualizado el inventario de todos los equipos y dispositivos móviles de la Organización

5 Desarrollo

5.1 Soportes extraíbles

5.2 Ordenadores Portátiles

La Organización pone a disposición de todo su personal, para la prestación de sus funciones, un ordenador portátil.

Uso

Cada usuario es responsable del equipo que se le ha asignado para el desempeño de sus tareas.

El Departamento de Sistemas mantiene un inventario de todos los equipos de la Organización, en donde queda reflejado el identificador del equipo y su responsable, así como el uso que se da al portátil, y el software y hardware que son requeridos por el empleado.

Está prohibida la instalación de software o modificación de las configuraciones sin autorización del Departamento de Sistemas, ya que estas modificaciones pueden comprometer la integridad del equipo y por extensión de los sistemas de la empresa.

Gestión de la información

Está prohibido el almacenamiento de información de la Compañía, o de alguno de sus clientes, en los discos duros de los dispositivos.

Para el almacenamiento de la información corporativa, se empleará el repositorio habilitado en SharePoint, el cual está designado para cumplir con esta función y es respaldado por la Compañía.

Conexión a redes

Las conexiones a redes ajenas a las de la Organización deben quedar reducidas a aquellas estrictamente necesarias para ejecutar las tareas propias del usuario, y siempre bajo la autorización del Departamento de Sistemas.

Está prohibida la conexión a redes no confiables.

Si se sospecha la infección por virus u otro software malicioso, se debe notificar a la mayor brevedad posible al Responsable de Seguridad de la Organización.

Transporte y custodia

El equipo no debe quedar expuesto a altas temperaturas que puedan dañar sus componentes o impedir que se pueda acceder a la información almacenada en el mismo.

En ningún caso se debe dejar el portátil solo en un automóvil ni dejarlo visible o fácilmente accesible. Si se trabaja con él en lugares donde al finalizar la jornada no se garantice la custodia del equipo, éste debe quedar anclado con un candado de seguridad o guardado en un armario de seguridad.

En caso de robo o pérdida del equipo se debe notificar de manera inmediata al Departamento de Sistemas, facilitando toda la información posible acerca del hecho. En caso de robo, el usuario facilitará al Departamento de Sistemas la correspondiente denuncia realizada ante la Policía.

Responsabilidades

El usuario es el responsable final del equipo portátil que se le ha facilitado para el correcto desempeño de sus tareas. Por tanto, es éste el que debe garantizar la seguridad tanto del equipo como de la información que contiene.

Esta normativa es de obligado cumplimiento, así como todas las relativas a la seguridad de los sistemas de la información que disponga la organización.

Sincronización horaria
Los equipos se sincronizan mediante servidor público NTP.

5.3 Smartphones y móviles

Cualquier grabación de información sensible de la Organización (Datos Sensibles o Información de Carácter Personal) en estos dispositivos deberá ser aprobada por el CISO.

La información no se mostrará a personas no autorizadas.

Las conexiones externas con estos dispositivos a los sistemas de la Organización no están permitidas. Para los servidores en remoto existe un sistema de permisos.

No se puede grabar información en el Sistema sobre clientes desde el exterior con estos dispositivos.

5.4 Gestión de los equipos y recursos usados

Toda documentación en papel que contengan información clasificada como confidencial o restringida y se desee eliminar, deberá ser destruida en la destructora de papel.

Los dispositivos de almacenamiento que se desee eliminar y contengan información clasificada como confidencial o restringida, se deberá utilizar métodos de destrucción apropiados. Esto puede incluir el uso de trituradoras especializadas para medios electrónicos o la destrucción manual segura.

Los componentes de almacenamiento (Discos Duros, Cintas, memorias, etc.) que se desee eliminar y contengan información clasificada como confidencial o restringida deberán (según sea el dispositivo): eliminar las particiones, formatear a bajo nivel y/o sobrescribir con información (clasificada como publica) antes de su eliminación o reutilización.

5.5 Teletrabajo

RecursosAcciones
Equipos
  • Tienen asignados por la empresa un equipo portátil para el acceso remoto.
  • Para la sustitución de equipos por fallo de éstos, aparte del stock existente en la oficina, se cuenta con la posibilidad de envío a domicilio de equipos, si la situación fuera necesario.
Comunicaciones En caso de ser necesario, conexiones alternativas a través de datos móviles.
Provisión de material
  • Mantenimiento de un stock de equipos informáticos suficientes.
  • Se realizan compras tempranas ante posibles necesidades de material.

5.6 Eliminación de soportes

Cuando un soporte o documento que contenga datos de carácter personal debe ser eliminado o dado de baja, se lleva a cabo dicho trámite de manera segura, dado que, si no se elimina cuidadosamente, la información puede filtrarse a personas ajenas a la entidad.

Por ello, la entidad tiene establecidos procedimientos formales para la eliminación segura de los soportes y documentos a fin de minimizar este riesgo, por ejemplo:

  1. Todos los elementos del equipamiento que contengan dispositivos de almacenamiento, por ej. discos rígidos no removibles, deben ser controlados para asegurar que todos los datos y el software bajo licencia, han sido eliminados o sobrescritos antes de su baja.

  2. Los medios de almacenamiento deben ser físicamente destruidos o sobrescritos en forma segura en vez de utilizar las funciones de borrado estándar, evitando, de esta manera, el acceso por personal no autorizado.

  3. Haciendo uso de mecanismos internos de la entidad que permitan la destrucción o hacerlos trizas, como destructoras de soportes.

  4. Contratación de terceros que ofrecen servicios de recolección y eliminación equipos, documentos y medios. Se debe seleccionar cuidadosamente a un contratista apto con adecuados controles y experiencia.

5.7 Soportes físicos en tránsito

Con carácter general, se encuentra totalmente prohibido sacar soportes que contengan datos de carácter personal o información de la empresa o de sus clientes fuera de las instalaciones de la Organización Para la salida de soportes se requiere autorización expresa de la Organización.

No se requerirá la citada autorización en los siguientes supuestos:

  • Los usuarios del sistema a los que se asigna como herramienta de trabajo una cuenta de correo electrónico profesional está autorizados para el envío de documentos que contienen datos de carácter personal, como adjuntos al correo.

  • Los usuarios del sistema a los que se asigna como herramienta de trabajo un ordenador portátil y/o tablet están autorizados para la salida de documentos fuera de las instalaciones de la entidad en dicho soporte.

  • En los supuestos de traslado de soportes que contienen datos de carácter personal se toman las medidas necesarias dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

En este sentido, los envíos pueden realizarse a través de alguno de los siguientes medios:

  • Uso de empresas de mensajería
  • Utilización de correo interno
  • Personal cuya función es el traslado (conductores, ordenanzas, etc.…)
  • Correo certificado

5.8 Seguridad de los equipos fuera de las instalaciones

La seguridad provista para este tipo de supuestos debe ser equivalente a la suministrada dentro del ámbito de la organización, para un propósito similar, teniendo en cuenta los riesgos de trabajar fuera de la misma. El equipamiento de procesamiento de la información incluye todo tipo de equipos personales, organizadores, teléfonos móviles, papel u otros formularios, necesarios para el trabajo en el domiciliario o que es transportado fuera del lugar habitual de trabajo.

En este sentido, la Organización tiene en consideración los siguiente:

  • Los soportes o documentos retirados del ámbito de la organización no deben permanecer desatendidos en lugares públicos. Deben ser transportados como equipaje de mano y de ser posible enmascarados, durante el viaje.

  • Se deben respetar permanentemente las instrucciones del fabricante, por ej. protección por exposición a campos electromagnéticos fuertes.

  • Los controles de trabajo en domicilio deben ser determinados a partir de un análisis de riesgo y se aplicarán controles adecuados según corresponda, por ej. gabinetes de archivo con cerradura, política de escritorios limpios y control de acceso a equipos.

  • Una adecuada cobertura de seguro debe estar en orden para proteger el equipamiento fuera del ámbito de la organización.

Los riesgos de seguridad, por ej. el daño, robo o escucha subrepticia, pueden variar considerablemente según las ubicaciones y deben ser tenidas en cuenta al determinar los controles más apropiados.

6 Anexos

N/A

7 Formatos

N/A

8 Registros

N/A

9 Documentos Relacionados

N/A

10 Referencias Normativas

  • ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.