1. INTRODUCCIÓN
Se tendrán en cuenta las siguientes recomendaciones y mejores prácticas en relación con el uso de los sistemas de información puestos a disposición del personal.
El personal se comprometerá al cumplimiento de la presente normativa al inicio de la relación laboral, incluyéndose la obligación y declaración de cumplimiento en las cláusulas de deberes y obligaciones a firmar en el proceso de incorporación.
2. NORMAS GENERALES
Se deberán cumplir, al menos, las siguientes normas de seguridad de forma general:
- No dañar de forma intencionada los sistemas de información que se estén utilizando, ya sean de Grupo Control de proveedores externos asociados y terceras partes
- No utilizar los sistemas de información fuera del ámbito laboral, con ánimo de lucro, o para realizar funciones no acordes al puesto de trabajo
- No copiar información a medios tecnológicos particulares
- No sacar información fuera de la empresa, o enviar información a terceras partes, sin autorización pertinente de Dirección y del Responsable de Seguridad
- No utilizar cuentas de otros usuarios/as
- Acceso a zonas restringidas en función del puesto de trabajo
- No acceder a información no necesaria para el correcto desempeño de las funciones del puesto
- El personal deberá seguir en todo momento las indicaciones del Área TIC respecto al uso de los sistemas de información
3. EQUIPO INFORMÁTICO
Se deberán cumplir, al menos, las siguientes normas de seguridad y recomendaciones de buen uso de los equipos informáticos:
- Se aplicarán las normas definidas en el documento Política de Telefonía y Equipos
- No se podrá alterar ni modificar la configuración de los ordenadores
- Los usuarios no podrán ser administradores de sus propias máquinas
- No se podrá modificar la configuración de los programas antimalware instalados, ni proceder a la desactivación de éstos.
- No se podrá almacenar información en el disco duro local del ordenador, debiendo almacenar los datos en las carpetas de los servidores de la empresa
- Se deberán apagar el equipo al finalizar la jornada laboral
- No se podrán conectar dispositivos particulares a los equipos informáticos
- No se podrá instalar software no autorizado por el Área TIC. Las instalaciones deberá realizarlas en todo caso el personal informático autorizado
- No se podrá utilizar el equipo para un uso que difiera del necesario para el correcto desempeño de las funciones asociadas al puesto de trabajo
4. EQUIPOS PORTÁTILES
Se deberán cumplir, al menos, las siguientes normas de seguridad y recomendaciones de buen uso de los equipos portátiles:
- Se aplicarán las normas definidas en el documento Política de Telefonía y Equipos
- En caso de autorización para salida de los portátiles fuera de las instalaciones de Grupo Control, se deberá dotar al mismo de las medidas de protección necesarias (al menos las siguientes: cifrado, acceso mediante VPN a la LAN corporativa), en función de la sensibilidad y criticidad de la información manejada en el mismo
- Se deberá dotar con medidas de seguridad que se puedan activar en caso de pérdida o sustracción, también en función de la sensibilidad y criticidad de la información manejada en el mismo
- Se deberá vigilar el equipo, especialmente fuera de las instalaciones de la empresa, no dejándolo desatendido en sitios no vigilados o protegidos
- En caso de pérdida o robo del equipo, los usuarios/as deberá notificarlo inmediatamente al Área TIC
- No se podrá conectar el equipo a redes inalámbricas no seguras. En sitios públicos y hoteles, se deberá hacer uso de la red oficial del sitio
5. DISPOSITIVOS MÓVILES
Se deberán cumplir, al menos, las siguientes normas de seguridad y recomendaciones de buen uso para los dispositivos móviles:
- Se aplicarán las normas definidas en el documento Política de Telefonía y Equipos
- No se podrán realizar instalaciones de aplicaciones fuera de los sitios oficiales de descarga. En todo caso, será el Área TIC la responsable de la instalación y configuración de aplicativos en los dispositivos móviles
- El acceso al dispositivo móvil deberá ser protegido mediante PIN o Patrón de Seguridad.
- En caso de pérdida o robo del dispositivo, los usuarios/as deberá notificarlo inmediatamente al Área TIC
- Deberá estar habilitado el bloqueo del terminal al cabo de cierto tiempo de inactividad
- No se podrá almacenar información corporativa de cualquier tipo en el terminal. En caso de estar autorizado para ello, se deberá proteger la información mediante los mecanismos de cifrado necesarios
- En caso de pérdida o robo, se podrá eliminar la información de forma remota del dispositivo
6. DISPOSITIVOS USB
Se deberán cumplir, al menos, las siguientes normas de seguridad y recomendaciones de buen uso para las memorias extraíbles:
- No utilización de USB particulares en cualquier equipo corporativo
- La utilización de dispositivos USB corporativos deberá estar autorizada por el Responsable de Seguridad
-
En
caso de estar autorizado para su uso, el dispositivo USB deberá
contar con las medidas de seguridad necesarias para proteger la
información, al menos las siguientes:
- Cifrado del dispositivo
- Acceso al dispositivo mediante algún mecanismo de autenticación
- Bloqueo del dispositivo en caso de intentos consecutivos de acceso sin éxito, y borrado en su caso de la información contenida
- La utilización de dispositivos USB corporativos fuera de las instalaciones debe estar autorizada por el Responsable de Seguridad. No se podrán utilizar los dispositivos USB autorizados en equipos particulares
7. IMPRESORAS
Se deberán cumplir, al menos, las siguientes normas de seguridad y recomendaciones de buen uso de impresoras:
- No se podrán dejar desatendidas las impresoras cuando se envíen documentos a imprimir, evitando que los documentos se queden en la impresora un tiempo excesivo
- Únicamente se podrá imprimir la información a la que está autorizado el usuario/a en función de su puesto de trabajo y de las indicaciones de su responsable
- No se podrá sacar documentación impresa fuera de las instalaciones de Grupo Control, salvo que se cuente con autorización de su responsable y del responsable de seguridad
- No se podrá utilizar la impresora para fines particulares
8. NAVEGACIÓN POR INTERNET
Se deberán cumplir, al menos, las siguientes normas de seguridad y recomendaciones de buen uso en relación con la navegación por Internet:
- No se podrán visitar páginas Web para uso particular, juegos, visionado de series, películas, vídeos, etc., o cualquier uso fuera del ámbito de trabajo del usuario/a
- No se podrán realizar descargas de aplicaciones en los equipos sin autorización y supervisión del personal del Área TIC
- En caso de aparición de páginas Web sospechosas, banners de publicidad, barras de navegación, o cualquier otra anomalía, se deberá comunicar inmediatamente al Área TIC
- No se podrá navegar por sitios Web que limiten el uso de banda ancha de la red corporativa
9. CORREO ELECTRÓNICO
Se deberán cumplir, al menos, las siguientes normas de seguridad y recomendaciones de buen uso con relación al correo electrónico:
- No se podrá utilizar el correo electrónico corporativo para fines particulares
- No se podrá transmitir información corporativa mediante cuentas de correo electrónico particulares de los usuarios/as
- En caso de envío de correos particulares a varios destinatarios, se deberá hacer uso de la copia oculta
- El correo electrónico deberá contar con un pie de correo definido, en el que se muestren las cláusulas pertinentes de deber de información sobre el tratamiento de datos personales. No se podrá modificar ni eliminar el pie del correo el utilizar el correo electrónico
- No se podrán utilizar las cuentas de correo electrónicos de otros usuarios/as
- En caso de recibir correo electrónico con datos adjuntos o con vínculos a otras páginas Web, se deberá verificar la procedencia del correo electrónico y la identidad de la persona que lo envía. Ante cualquier duda o sospecha sobre el emisor del correo electrónico, o sobre los adjuntos o enlaces de Internet incluidos, se deberá comunicar al Área TIC
- No se podrán realizar suscripciones a Newsletter o listas de correo electrónico sin autorización
- En caso de envío de información periódica a cuentas de correo externas (ciudadanos, clientes, empresas terceras, autónomos, etc.), suscritas a Newsletter o similares, no se podrá enviar información que no esté asociada a la finalidad del tratamiento correspondiente. Los usuarios/as suscriptos podrán darse de baja y solicitar no recibir más información en cualquier momento, a través de un enlace incluido en el propio correo electrónico
10. CONTRASEÑAS
Se deberán cumplir, al menos, las siguientes normas de seguridad y recomendaciones de buen uso con relación a las contraseñas:
- Cada usuario/a es responsable del uso seguro de la contraseña, evitando anotar ésta en documentos en papel, o en archivos electrónicos en los propios equipos informáticos o dispositivos que utilice
- Los usuarios/as deberán contar con un identificador único. Queda prohibido compartir las contraseñas con otros usuarios, y el acceso a cuentas y aplicaciones por varios usuarios/as utilizando las mismas credenciales de acceso
- No se podrán enviar contraseñas por correo electrónico, ni comunicar las mismas por vía telefónica
- La contraseña deberá modificarse de forma periódica y no compartirse con nadie
- La contraseña deberá contar con un mínimo de robustez, definida en las normativas de control de acceso
- En caso de sospecha de que alguien pueda conocer la contraseña de acceso al equipo, a aplicaciones, o al correo electrónico, deberá comunicarlo inmediatamente al Área TIC
INFORMACIÓN EN PAPEL
Se deberán cumplir, al menos, las siguientes normas de seguridad y recomendaciones de buen uso con relación a la información en papel:
- Se deberá imprimir únicamente la información en papel necesaria para el correcto desempeño de las funciones del puesto de trabajo, estando autorizado por su responsable directo
- Una vez finalizada la jornada, toda la documentación en papel debe quedar recogida y almacenada en los cajones, armarios con llave, o demás medios puestos a disposición de los usuarios/as, no quedando documentos en las mesas de trabajo
- La destrucción de papel se realizará mediante mecanismos seguros, contemplados en la normativa de gestión de soportes. En cualquier caso, no se deberá tirar documentación en papel directamente a la papelera, debiendo utilizarse los medios puestos a disposición de los usuarios/as, tales como destructoras de papel, o contenedores seguros.
11. PROCESO DISCIPLINARIO
El personal de Grupo Control se compromete al cumplimiento de la presente Normativa de Seguridad de la Información.
En caso de incumplimiento, se llevarán a cabo las acciones disciplinarias que procedan, así como el bloqueo de cuentas o interrupción de uso de los sistemas de información que se decidan, de forma temporal o definitiva, en función de la criticidad de las acciones y del modo en que pudiera verse comprometida la seguridad en la empresa.
12. REVISIÓN
La presente Normativa será revisada al menos una vez al año, o cuando decida del Responsable de Seguridad (y del SGSI). La petición de revisión será elevada por el Responsable de Seguridad al Comité de Seguridad de la Información.