Guía de Seguridad de la Información

Comité Gestor de Seguridad de la Información

Sum

ario

PrefacioSeguridad de la InformaciónComité Gestor de Seguridad de la Información y ResponsabilidadDisposiciones GeneralesCreación y Uso de ContraseñaActivos de Tecnología de la InformaciónPantalla Limpia y Mesa LimpiaCorreo ElectrónicoInternetRedes SocialesSistemasRedes WirelessAcceso Remoto y Dispositivos MóvilesTratamiento / Clasificación de la InformaciónTelefonía y ImpresiónConclusión

Pref

acio

El contenido de esta guía tiene como objetivo compartir algunos conceptos relacionados al tema de Seguridad de la Información. Además de las sugerencias de cómo tratar los recursos y las informaciones corporativas con que lidiamos en nuestra rutina diaria, este material tiene por objetivo enfatizar la responsabilidad de todos los empleados, pasantes, terceros, socios y visitantes que accesen informaciones de Ultra.

¡Proteger las informaciones de la empresa para la cual trabajamos es un deber de todos!

Esperamos que esta guía ayude a aclarar dudas eventuales y pueda orientarlos sobre cómo ejercer el papel de ”colaborador clave” para la Seguridad de la información.

¡Tengan una buena lectura!Comité Gestor de Seguridad de la Información

Estimado Colaborador,

Se trata de la protección de la información (preservación de la Confidencialidad, Integridad y Disponibilidad) contra varios tipos de amenazas y tiene por objetivo asegurar la continuidad del negocio, minimizar los daños, maximizar el retorno de las inversiones y las oportunidades de negocio. A continuación, la definición de los tres pilares que sustentan la Seguridad de la Información:

Confidencialidad:Limita el acceso a la información solamente a personas debidamente autorizadas.

Integridad: Asegura que la información manipulada mantenga todas las características originales establecidas por el propietario de la información, incluyendo el control de cambios y la seguridad de su ciclo de vida (creación, mantenimiento y destrucción).

Disponibilidad: Asegura que la información esté siempre disponible para el uso legítimo.

Segu

ridad

de

la In

form

ació

n

Comité Gestor de Seguridad de la Información

Ultra constituyó un Comité de Seguridad de la Información que actúa para establecer normas y políticas, que sirven tanto para fomentar la idea de seguridad, como para monitorear los riesgos y amenazas, y evitar el surgimiento y exploración de vulnerabilidades de la seguridad.

Responsabilidad

Cada uno de los colaboradores es responsable por garantizar la seguridad de las informaciones de Ultra de acuerdo con las directrices de la Política de la Seguridad de la Información y las normas corporativas.

Com

ité G

esto

r de

Segu

ridad

de

la In

form

ació

ny

Resp

onsa

bilid

ad

Disp

osic

ione

s G

ener

ales

Las informaciones de propiedad de Ultra poseen valor inestimable para la empresa y son consideradas activos para la organización.

El acceso a las informaciones es controlado y limitado a lo necesario para el cumplimiento de sus actividades y para que eso ocurra se definieron las siguientes reglas:

El uso de los activos de propiedad de Ultra puede ser monitoreado.Todos los Usuarios son responsables por los activos a los cuales poseen acceso.Los Usuarios deben informar formalmente la ocurrencia o sospecha de incidentes de seguridad por medio de apertura de llamado en el Service Desk.

Ultra adopta directrices de seguridad para la utilización de los recursos puestos a disposición para uso. Se sobreentiende que recurso es cualquier tipo de activo, ya sea lógico (software, sistemas) o físico (hardware), que almacene, procese y/o transmita información.

Crea

ción

y U

tiliz

ació

n de

Con

tras

eña

Su contraseña garantiza el acceso para los cuales usted está autorizado. La contraseña es de uso personal, intransferible y de responsabilidad exclusiva del Usuario y debe ser cambiada de acuerdo con las normas de la organización.

Las contraseñas no deben ser simples, a tal punto de ser descubiertas, o complejas, que necesiten que sean anotadas. Se aconseja el uso de contraseñas fuertes, considerando la combinación de letras mayúsculas y minúsculas, números, caracteres especiales, longitud mínima de 6 (seis) caracteres y que no deriven de un modelo.

A continuación se mencionan las buenas prácticas en relación a las contraseñas.

Evite:Nombre y apellido, palabras encontradas en diccionarios o invertidas.Números de documentos, teléfonos y placas de carro.Fechas que puedan ser relacionadas al Usuario o familiares.

Recomendaciones:Cerciórese de no estar siendo observado al digitar su contraseña.No anote su contraseña, memorícela.¡No comparta su contraseña!

Sugerencias: Defina una frase cualquiera:

Copa Mundial de la Fifa Brasil 2014

Utilice la primera, la segunda o la última letra de cada palabra

de la frase intercalando con números y caracteres

especiales:

CMFB&2@!4

Activ

os d

e Te

cnol

ogía

de

la In

form

ació

nActivos de tecnología de la información son todos los equipos e informaciones necesarios para el desempeño de sus funciones, por ejemplo, las estaciones de trabajo, servidores, softwares, archivos, correo electrónico, dispositivos de autenticación y cualesquier equipos electrónicos o sistemas relacionados a la tecnología de la información.

La utilización de los activos se restringe solamente a los Usuarios autorizados y deben ser devueltos en caso de desvinculación de la empresa. No se recomienda almacenar archivos particulares en los activos de Ultra.

Las informaciones de trabajo deben ser almacenadas siempre en los directorios de red o en pastas específicas, ya que poseen copias de seguridad.

Pant

alla

Lim

pia

y M

esa

Lim

pia

Manipulamos diferentes tipos de informaciones, desde boletines informativos simples hasta informaciones confidenciales. Con base en esto, usted debe celar siempre por su estación de trabajo, teniendo cuidado de no dejar expuestas informaciones restrictas o confidenciales.Siempre que se ausente de su mesa de trabajo, tome cuidado para que cualesquier documentos impresos estén guardados apropiadamente y que su estación esté bloqueada para acceso, impidiendo que informaciones importantes sean visualizadas por personas no autorizadas.

Corr

eo E

lect

róni

co

El correo electrónico es una concesión de Ultra y, por lo tanto, puede ser monitoreado en cualquier momento para fines de Seguridad de la Información y procesos de auditoría. Por lo tanto, deben celar por su uso.

Algunas prácticas buenas en el uso del correo electrónico son:

No utilice su dirección de e-mail corporativo para fines personales ;

Todos los mensajes enviados a direcciones de e-mails externas contienen un aviso legal estándar;

No se deben enviar o archivar mensajes que contengan:

Asuntos que provoquen asedio o perturbación a otras personas o que comprometan la imagen del negocio.

Temas difamatorios, discriminatorios, material obsceno, ilegal o antiético.

Imágenes, audios o videos que no tengan relación con las actividades profesionales.

Anexos con archivos potencialmente peligrosos (véase la norma de correo electrónico).

Inte

rnet

La Internet es un recurso corporativo puesto a disposición de los Usuarios para el desarrollo de sus actividades profesionales, por lo tanto puede ser monitoreada su utilización La internet trae innúmeras posibilidades de uso, sin embargo, para aprovechar cada una de ellas de forma segura, es importante que se sigan algunos procedimientos de seguridad.

No accese material de carácter sexual, profano, obsceno, pedófilo, fraudulento, difamatorio, racialmente ofensivo o ilegal.

No haga downloads de archivos que no estén relacionados con las actividades del negocio.

Rede

s So

cial

es

La concesión del acceso a las redes sociales debe ser autorizada por el gestor del área del Usuario que necesita del acceso para el desempeño de la función, por medio de solicitud al Service Desk y podrá ser monitoreado.

Se deben seguir las siguientes recomendaciones en la utilización de las redes sociales.

Al encontrar comentarios ofensivos relacionados a Ultra, cualquier situación que pueda colocar en riesgo la confidencialidad de informaciones corporativas o la imagen de la organización, comunique inmediatamente al Service Desk informando lo ocurrido.

Nunca publique direcciones, datos financieros o números de documentos.

En caso que la utilización no esté relacionada con sus actividades profesionales, utilice siempre un e-mail personal, nunca el e-mail corporativo.

No permita que nadie visualice su perfil sin su permiso.

Nunca publique informaciones de propiedad de Ultra sin la autorización previa de su gestor.

No publique asuntos que provoquen asedio, perturbación a otras personas o que comprometan la imagen de la organización.

Elija cuidadosamente las informaciones, videos e imágenes que serán compartidos y no publique temas considerados difamatorios, discriminatorios, obsceno o ilegales.

Sist

emas

Sistemas son recursos de tecnología de la información utilizados por Ultra para colectar, procesar, transmitir y distribuir informaciones para el Usuario y que contribuyen a los procesos de los negocios.

La licencia para la utilización de los sistemas es una concesión de Ultra a los Usuarios que necesitan de este recurso para desempeñar sus funciones. Este acceso requiere la aprobación del gestor y su utilización es monitoreada.

No se permite compartir las credenciales de acceso. Éstas son de uso personal, intransferible y de responsabilidad exclusiva del Usuario.

Se deben cumplir los criterios para la elaboración de contraseñas para sistemas de acuerdo con el ítem Creación y Uso de Contraseñas, excepto en los casos en que los propios sistemas impongan limitaciones.

Rede

Wire

less

Ultra pone a disposición una red inalámbrica exclusiva para Usuarios autorizados para la realización de sus funciones y otra exclusiva para visitantes solamente para el acceso a internet. Ambas poseen las mismas reglas corporativas de control de contenido.

También se pone a disposición una red inalámbrica segregada para dispositivos móviles, solamente para Usuarios elegibles. Los Usuarios que poseen este acceso, deben comunicar inmediatamente al Service Desk en caso de incidente con el dispositivo móvil.

Las redes mencionadas son una concesión de Ultra y, por lo tanto, pueden ser monitoreadas en cualquier momento en cuanto a su uso.

Acce

so R

emot

o y

Disp

ositi

vos

Móv

iles

Ultra dispone de soluciones que permiten que los recursos de tecnología de la información sean accesados fuera del ambiente corporativo, con la finalidad de flexibilizar y viabilizar el compartimiento de informaciones, asegurando la confidencialidad e integridad de las informaciones a través de internet.

Utilice el acceso remoto solamente en locales confiables. En caso de conexión desde una red pública, cerciórese de que su privacidad está siendo respetada.

Los dispositivos móviles homologados y de Usuarios elegibles son configurados de acuerdo con un modelo mínimo de Seguridad de la Información y, bajo tales condiciones, el acceso a los recursos de red de Ultra es puesto a disposición para estos dispositivos.

No utilice el servicio de compartir

informaciones desde su dispositivo.

¡Sea cuidadoso!

Trat

amie

nto

/ Cla

sifica

ción

de

la in

form

ació

n

Todos nosotros somos responsables por la Seguridad de las Informaciones de la empresa para la cual trabajamos. Por eso, precisamos conocer la sensibilidad de los datos accesados en nuestra rutina diaria y tratarlos de acuerdo con su clasificación.

Nuestra Política de Seguridad determina los siguientes niveles para la clasificación de la información:

Información Pública: puede ser distribuida sin restricción, inclusive expuesta en internet.

Información Interna: debe ser limitada al público interno de Ultra.

Información Restricta: debe ser limitada al grupo de Usuarios involucrados con el asunto.

Información Confidencial: debe ser limitada al mínimo necesario de Usuarios.

Tele

foní

a y

Impr

esió

nLa utilización de la telefonía es designada para las actividades profesionales y cabe a cada uno usarla de forma adecuada. Las llamadas telefónicas normalmente no son protegidas, habiendo posibilidad de que otras personas escuchen sus conversaciones.

Algunas llamadas telefónicas pueden referirse a asuntos confidenciales, por lo tanto no se recomienda la divulgación de estas informaciones por teléfono.

Ultra permite el uso de estos recursos de impresión para propósitos particulares, siempre y cuando se respeten los dispositivos legales y normativos vigentes. Dicho uso no debe interferir en el desempeño del profesional o de cualquier otro Usuario, perjudicar el desempeño de los recursos disponibles o comprometer la imagen del negocio.

Documentos impresos son más difíciles de ser controlados, y por eso exigen más cuidados en el caso de documentos restrictos o confidenciales.

La eliminación de documentos impresos debe ser realizada de modo seguro, asegurando la destrucción de la información.

Conc

lusió

n

Al comienzo, definimos lo que es Seguridad de la Información y concluimos que se trata de preservar el estado de confidencialidad, integridad y disponibilidad de la información. Ante esta definición, aclaramos a todos la responsabilidad y las disposiciones generales a que estamos sometidos en Ultra.

Entendiendo nuestro papel en la Seguridad de la Información, describimos en forma general cómo proceder de forma segura en relación a la utilización de los recursos. En caso de sugerencias y dudas, entre en contacto con el Comité Gestor de Seguridad de la Información en la dirección: comite.seguranca@ultra.com.br.

Usted encontrará en la Intranet Corporativa, informaciones sobre las normas y políticas de Seguridad de la Información, así como todas las definiciones necesarias.

Acceda: http://intranet.ultra.corp/si/