Professional Documents
Culture Documents
PSI-NEPP Estándares - Dispositivos Móviles
PSI-NEPP Estándares - Dispositivos Móviles
C
O
T
I nformática y sistemas
A
Dispositivos Móviles
CONTROL DE VERSIONES
FIRMAS DE APROBACIÓN
Los abajo firmantes dan su aprobación al presente documento "Estándares, Prácticas y Pautas Comunes -
Dispositivos Móviles", que establece el marco general de políticas de seguridad de la información que se
debe aplicar para esta plataforma.
SERGIO MOYA C.
EMILIO JARUFE J.
1. OBJETIVOS
2. DEFINICIONES
3. ESTÁNDARES
1 OBJETIVO
2 DEFINICIONES
a) Un dispositivo móvil corresponde a un equipo digital de fácil transporte (por su pequeño tamaño y
peso) orientado a dar soporte personal en diversas funciones tales como procesamiento de datos,
telefonía, correo electrónico, navegación por la web, u otras. Dentro de esta categoría y a modo de
ejemplo se pueden mencionar: notebooks y PDA's.
b) Los dispositivos móviles asignados por el Banco (propiedad del Banco) están destinados única y
exclusivamente al apoyo de tareas asociadas al cargo que desempeña el empleado a quien se le ha
asignado y autorizado su uso.
c) El empleado debe velar por el cuidado del dispositivo móvil asignado y la información que maneje en
éste.
e) El área de Soporte Usuarios deberá enviar al área de Seguridad de la Información (SDI), en forma
semestral, un listado actualizado de las asignaciones de dispositivos móviles, que contenga
información relativa a la configuración del dispositivo (versión del Sistema Operativo, nivel de parches
aplicados, software instalado, etc.).
3 ESTÁNDARES
a) Los dispositivos móviles asignados deberán contar con software antivirus y firewall definidos e
instalados por la Gerencia Local Infraestructure.
b) Los dispositivos móviles que almacenen datos de carácter confidencial deberán contar con software de
cifrado de datos aprobado por SDI e instalado por la Gerencia Local Infraestructure.
c) Cualquier método de transferencia de archivos que se utilice por medio de la red, debe asegurar el
uso de alguna técnica de cifrado de datos, aprobada por SDI.
d) Los dispositivos móviles deben contar con algún mecanismo de autenticación. Si se utiliza el ingreso de
una contraseña, esta debe cumplir con lo establecido en el estándar común de Cuentas y
Contraseñas.
f) Si se está utilizando el ingreso de una contraseña para iniciar una sesión de trabajo, esta
contraseña debe mantenerse en todo momento como obligatoria.
g) De ser factible, el dispositivo debe contar con protector de pantalla, para bloquear la sesión después
de un tiempo de inactividad. Para volver a la sesión se debe exigir el ingreso de una contraseña.
j) La pérdida, robo o hurto de un dispositivo móvil debe ser inmediatamente reportado a la Mesa de
Ayuda del Banco para coordinar su reparación y activación de cobro del seguro correspondiente.
m) Las únicas áreas autorizadas para reparar y/o configurar hardware o software del dispositivo móvil son
las áreas que componen la Gerencia Local Infraestructure.
n) El usuario que tiene asignado un dispositivo móvil debe velar por el cumplimiento de procedimientos y
políticas del Banco en cuanto al contenido de información y software instalado.
o) Al igual que con el resto de los equipos digitales del banco (PC's, impresoras, scanners, etc.), el
usuario no deberá alterar la configuración con que se recibió el equipo, lo que incluye el uso de
periféricos que no son de propiedad del Banco tales como dispositivos externos de almacenamiento de
datos, entre otros. Cualquier necesidad, deberá ser canalizada a través de la Mesa de Ayuda,
quedando sujeta a la aprobación o rechazo por parte de las áreas de Local Infraestructure y SDI.
p) Si a través del dispositivo móvil se tiene acceso a alguna aplicación del Banco, se deberá asegurar que
se apliquen los mismos requerimientos de seguridad que los de un PC conectado a la red de
comunicaciones interna del Banco. Si se trata de un acceso remoto, se deberá cumplir con la política
dictada por la Casa Matriz del banco, que establece el uso de una VPN (Virtual Private Network) y
autenticación robusta.
q) Todo dispositivo móvil que contenga información crítica para el Banco, según el criterio de SDI basado
en las políticas de seguridad vigentes, deberá configurarse para que su información esté sincronizada
con los servidores centrales. De esta forma, se puede asegurar la disponibilidad de la información en
casos de pérdida, falla, robo o hurto del dispositivo móvil, a través de los respaldos periódicos de los
servidores.
r) El software instalado en notebooks podrá diferir según el usuario a quien se haya asignado, no
obstante deberá corresponder a aquel definido para equipos Desktop (ver estándar Uso de Desktop).
Las únicas excepciones podrán corresponder a software instalado por el fabricante del notebook para
ciertas tareas específicas (por ejemplo uso de huella digital para autenticarse) y aprobadas por SDI.
s) Si el dispositivo móvil se trata de un notebook, éste deberá contar con un software que mantenga
encriptada su información, como por ejemplo el producto Safeboot, a menos que SDI lo autorice por
considerar que no se mantendrá información de carácter confidencial.
t) Si el dispositivo móvil se trata de un notebook, éste deberá permanecer anclado a través de un lazo de
seguridad.