Computación Móvil y Trabajo Remoto

9.8.1. Computación Móvil.

Cuando se utilizan dispositivos informáticos móviles se debe tener especial cuidado en ga- rantizar que no se comprometa la información de la UNC.

Se deberá tener en cuenta en este sentido, cualquier dispositivo móvil y/o extraíble, incluyen- do: Notebooks, Laptop o PDA (Asistente Personal Digital), Teléfonos Celulares y sus tarjetas de memoria, Dispositivos de Almacenamiento extraíbles, tales como CD, DVD, Disquete, Tape, y cualquier dispositivo de almacenamiento de conexión USB, Tarjetas de identificación personal (control de acceso), dispositivos criptográficos, cámaras digitales, etc..

Esta lista no es taxativa, ya que deberán incluirse todos los dispositivos que pudieran contener información confidencial de la UNC y por lo tanto, ser pasibles de sufrir un incidente en el que se comprometa la seguridad del mismo.

El Comité de Seguridad de la Información desarrollará procedimientos adecuados para estos dispositivos, que abarquen los siguientes conceptos:

1. La protección física necesaria. 2. El acceso seguro a los dispositivos.

3. La utilización de los dispositivos en lugares públicos.

4. El acceso a los sistemas de información y servicios de la UNC a través de dichos disposi- tivos.

5. Las técnicas criptográficas a utilizar para la transmisión de información clasificada. 6. Los mecanismos de resguardo de la información contenida en los dispositivos. 7. La protección contra software malicioso.

La utilización de dispositivos móviles incrementa la probabilidad de ocurrencia de incidentes del tipo de pérdida, robo o hurto. En consecuencia deberá entrenarse especialmente al personal que los utilice. El Responsable de Seguridad de la Información desarrollará normas y procedi- mientos sobre los cuidados especiales a observar ante la posesión de dispositivos móviles, que contemplarán las siguientes recomendaciones:

1. Permanecer siempre cerca del dispositivo. 2. No dejar desatendidos los equipos.

9 CONTROL DE ACCESOS. 61

3. No llamar la atención acerca de portar un equipo valioso.

4. No poner identificaciones de la UNC en el dispositivo, salvo los estrictamente necesarios. 5. No poner datos de contacto técnico en el dispositivo.

6. Mantener cifrada la información clasificada.

Por otra parte, el Responsable de Seguridad Informática y el Responsable del Área Infor- mática confeccionarán procedimientos que permitan al propietario del dispositivo reportar rá- pidamente cualquier incidente sufrido y mitigar los riesgos a los que eventualmente estuvieran expuestos los sistemas de información de la UNC, los que incluirán:

1. Revocación de las credenciales afectadas.

2. Notificación a los Responsables de los Activos de Información cuya seguridad pudiera haber sido afectada.

9.8.2. Trabajo Remoto.

El trabajo remoto utiliza tecnología de comunicaciones para permitir que el personal trabaje en forma remota desde un lugar externo a la UNC.

El trabajo remoto en los Sistemas de información o en los Activos de Información sólo será autorizado por el Responsable de la Unidad Organizativa a la cual pertenezca el usuario solici- tante, conjuntamente con el Responsable de Seguridad Informática, cuando se verifique que son adoptadas todas las medidas que correspondan en materia de seguridad de la información, de modo de cumplir con la política, normas y procedimientos existentes.

Estos casos serán de excepción y serán contemplados en situaciones que justifiquen la impo- sibilidad de otra forma de acceso y la urgencia, tales como horarios de la UNC, solicitud de las autoridades, etc.

Para ello, el Comité de Seguridad de la Información establecerán normas y procedimientos para el trabajo remoto, que consideren los siguientes aspectos:

1. La seguridad física existente en el sitio de trabajo remoto, tomando en cuenta la seguridad física del edificio y del ambiente local.

2. El ambiente de trabajo remoto propuesto.

3. Los requerimientos de seguridad de comunicaciones, tomando en cuenta la necesidad de acceso remoto a los sistemas internos de la UNC, la sensibilidad de la información a la que se accederá y que pasará a través del vínculo de comunicación y la sensibilidad del sistema interno.

4. La amenaza de acceso no autorizado a información o recursos por parte de otras personas que utilizan el lugar, por ejemplo, familia y amigos.

5. Evitar la instalación / desinstalación de software no autorizada por la UNC.

1. Proveer de mobiliario para almacenamiento y equipamiento adecuado para las actividades de trabajo remoto.

2. Definir el trabajo permitido, el horario de trabajo, la clasificación de la información que se puede almacenar en el equipo remoto desde el cual se accede a la red de la UNC y los sistemas internos y servicio a los cuales el trabajador remoto está autorizado a acceder. 3. Proveer de un adecuado equipo de comunicación, con inclusión de métodos para asegurar

el acceso remoto. 4. Incluir seguridad física.

5. Definir reglas y orientación respecto del acceso de terceros al equipamiento e información. 6. Proveer el hardware y el soporte y mantenimiento del software.

7. Definir los procedimientos de backup y de continuidad de las operaciones. 8. Efectuar auditoría y monitoreo de la seguridad.

9. Realizar la anulación de las autorizaciones, derechos de acceso y devolución del equipo cuando finalicen las actividades remotas.

10. Asegurar el reintegro del equipamiento en las mismas condiciones en que fue entregado, en el caso en que cese la necesidad de trabajar en forma remota.

Se implementará procesos de auditoría específicos para los casos de accesos remotos, que serán revisados regularmente. Se llevará un registro de incidentes a fin de corregir eventuales fallas en la seguridad de este tipo de accesos.