S

C
O
T
I nformática y sistemas
A

Políticas de Seguridad de la Información

Nivel Estándares Prácticas y Pautas

Estándares, Prácticas y Pautas comunes

Dispositivos Móviles

Autor: Editor: Gerencia Responsable: Autorizó publicación: Fecha de Fecha de

creación: actualización:
José Carvajal B. Juan Enrique Gerencia de Seguridad Gerencia División 18/08/2005 5 de Enero de
Ibáñez de la Información Tecnología 2009
 HISTORIAL DE REVISIONES

CONTROL DE VERSIONES

Versión Motivo Responsable Fecha

1.0 Creación José Carvajal Balboa 18/08/2005
1.1 Revisión Marco Rossel L. 19/8/2005
1.2 Revisión Juan Enrique Ibáñez 25/8/2005
1.3 Revisión Roberto Carrillo T. 25/8/2005
1.4 Revisión Juan Enrique Ibáñez 5/1/2009

Categoría Estándares de Seguridad

Documento Estándar de Seguridad para Dispositivos Móviles SSA
Clasificación de confidencialidad Interna SSA
Dueño Gerencia de Seguridad de la Información
Estado del documento Revisado

Políticas de Seguridad de la Información Fecha de actualización: 5/01/2009 Pág.: 2

Nivel Estándares Prácticas y Pautas
Dispositivos Móviles
 APROBACIÓN

FIRMAS DE APROBACIÓN

Los abajo firmantes dan su aprobación al presente documento "Estándares, Prácticas y Pautas Comunes -
Dispositivos Móviles", que establece el marco general de políticas de seguridad de la información que se
debe aplicar para esta plataforma.

SERGIO MOYA C.

GERENTE DIVISIÓN TECNOLOGÍA

JUAN ENRIQUE IBÁÑEZ A.

GERENTE DE SEGURIDAD DE LA INFORMACIÓN

EMILIO JARUFE J.

GERENTE LOCAL INFRAESTRUCTURE

Políticas de Seguridad de la Información Fecha de actualización: 5/01/2009 Pág.: 3

Nivel Estándares Prácticas y Pautas
Dispositivos Móviles
 CONTENIDO

1. OBJETIVOS

2. DEFINICIONES

3. ESTÁNDARES

Políticas de Seguridad de la Información Fecha de actualización: 5/01/2009 Pág.: 4

Nivel Estándares Prácticas y Pautas
Dispositivos Móviles
 S
C
O
T
I nformática y sistemas
A

1 OBJETIVO

Establecer normas dirigidas a la protección de la información almacenada en dispositivos móviles asignados

por el Banco a sus empleados, así como también establecer los alcances en relación al tipo y utilización del
software asociado.

Políticas de Seguridad de la Información Fecha de actualización: 5/01/2009 Pág.: 5

Nivel Estándares Prácticas y Pautas
Dispositivos Móviles
 S
C
O
T
I nformática y sistemas
A

2 DEFINICIONES

a) Un dispositivo móvil corresponde a un equipo digital de fácil transporte (por su pequeño tamaño y
peso) orientado a dar soporte personal en diversas funciones tales como procesamiento de datos,
telefonía, correo electrónico, navegación por la web, u otras. Dentro de esta categoría y a modo de
ejemplo se pueden mencionar: notebooks y PDA's.

b) Los dispositivos móviles asignados por el Banco (propiedad del Banco) están destinados única y
exclusivamente al apoyo de tareas asociadas al cargo que desempeña el empleado a quien se le ha
asignado y autorizado su uso.

c) El empleado debe velar por el cuidado del dispositivo móvil asignado y la información que maneje en
éste.

d) El área de Soporte Usuarios es la encargada de la configuración, entrega y soporte del dispositivo

móvil asignado al usuario.

e) El área de Soporte Usuarios deberá enviar al área de Seguridad de la Información (SDI), en forma
semestral, un listado actualizado de las asignaciones de dispositivos móviles, que contenga
información relativa a la configuración del dispositivo (versión del Sistema Operativo, nivel de parches
aplicados, software instalado, etc.).

Políticas de Seguridad de la Información Fecha de actualización: 5/01/2009 Pág.: 6

Nivel Estándares Prácticas y Pautas
Dispositivos Móviles
 S
C
O
T
I nformática y sistemas
A

3 ESTÁNDARES

a) Los dispositivos móviles asignados deberán contar con software antivirus y firewall definidos e
instalados por la Gerencia Local Infraestructure.

b) Los dispositivos móviles que almacenen datos de carácter confidencial deberán contar con software de
cifrado de datos aprobado por SDI e instalado por la Gerencia Local Infraestructure.

c) Cualquier método de transferencia de archivos que se utilice por medio de la red, debe asegurar el
uso de alguna técnica de cifrado de datos, aprobada por SDI.

d) Los dispositivos móviles deben contar con algún mecanismo de autenticación. Si se utiliza el ingreso de
una contraseña, esta debe cumplir con lo establecido en el estándar común de Cuentas y
Contraseñas.

e) Independiente del sistema de autenticación utilizado, luego de 3 intentos fallidos de conexión (o a lo

más 10), se bloqueará el dispositivo en forma permanente. De ser factible, luego de superar los
intentos de conexión fallidos permitidos, la información contenida en el dispositivo será
automáticamente eliminada, a menos que toda la información se encuentre cifrada.

f) Si se está utilizando el ingreso de una contraseña para iniciar una sesión de trabajo, esta
contraseña debe mantenerse en todo momento como obligatoria.

g) De ser factible, el dispositivo debe contar con protector de pantalla, para bloquear la sesión después
de un tiempo de inactividad. Para volver a la sesión se debe exigir el ingreso de una contraseña.

h) No se permite la instalación de software distinto o adicional al instalado por el área de Soporte

Usuarios, salvo expresa autorización del área SDI, a la cual el usuario deberá dirigir su solicitud, a
través de la Mesa de Ayuda, justificando la necesidad de disponer de software adicional. Previo a esta
autorización, SDI deberá consultar la opinión de la Gerencia Local Infraestructure, quien analizará su
factibilidad técnica, económica y operacional. Si se aprueba la instalación de software, ésta deberá ser
ejecutada por el área Soporte Usuarios.

Políticas de Seguridad de la Información Fecha de actualización: 5/01/2009 Pág.: 7

Nivel Estándares Prácticas y Pautas
Dispositivos Móviles
 i) El área de Soporte Usuarios deberá informar a SDI la detección de software adicional no autorizado
que esté presente en los dispositivos móviles asignados.

j) La pérdida, robo o hurto de un dispositivo móvil debe ser inmediatamente reportado a la Mesa de
Ayuda del Banco para coordinar su reparación y activación de cobro del seguro correspondiente.

k) El Usuario que recibe el dispositivo móvil y firma el formulario de recepción correspondiente es el

responsable de su custodia física y buen funcionamiento (evitando caídas, derramamiento de líquidos,
exponer a altas temperaturas, entre otros).

l) El préstamo o intercambio de dispositivos móviles no libera al titular registrado de las

responsabilidades establecidas por el Banco.

m) Las únicas áreas autorizadas para reparar y/o configurar hardware o software del dispositivo móvil son
las áreas que componen la Gerencia Local Infraestructure.

n) El usuario que tiene asignado un dispositivo móvil debe velar por el cumplimiento de procedimientos y
políticas del Banco en cuanto al contenido de información y software instalado.

o) Al igual que con el resto de los equipos digitales del banco (PC's, impresoras, scanners, etc.), el
usuario no deberá alterar la configuración con que se recibió el equipo, lo que incluye el uso de
periféricos que no son de propiedad del Banco tales como dispositivos externos de almacenamiento de
datos, entre otros. Cualquier necesidad, deberá ser canalizada a través de la Mesa de Ayuda,
quedando sujeta a la aprobación o rechazo por parte de las áreas de Local Infraestructure y SDI.

p) Si a través del dispositivo móvil se tiene acceso a alguna aplicación del Banco, se deberá asegurar que
se apliquen los mismos requerimientos de seguridad que los de un PC conectado a la red de
comunicaciones interna del Banco. Si se trata de un acceso remoto, se deberá cumplir con la política
dictada por la Casa Matriz del banco, que establece el uso de una VPN (Virtual Private Network) y
autenticación robusta.

q) Todo dispositivo móvil que contenga información crítica para el Banco, según el criterio de SDI basado
en las políticas de seguridad vigentes, deberá configurarse para que su información esté sincronizada
con los servidores centrales. De esta forma, se puede asegurar la disponibilidad de la información en
casos de pérdida, falla, robo o hurto del dispositivo móvil, a través de los respaldos periódicos de los
servidores.

r) El software instalado en notebooks podrá diferir según el usuario a quien se haya asignado, no
obstante deberá corresponder a aquel definido para equipos Desktop (ver estándar Uso de Desktop).
Las únicas excepciones podrán corresponder a software instalado por el fabricante del notebook para
ciertas tareas específicas (por ejemplo uso de huella digital para autenticarse) y aprobadas por SDI.

s) Si el dispositivo móvil se trata de un notebook, éste deberá contar con un software que mantenga
encriptada su información, como por ejemplo el producto Safeboot, a menos que SDI lo autorice por
considerar que no se mantendrá información de carácter confidencial.

t) Si el dispositivo móvil se trata de un notebook, éste deberá permanecer anclado a través de un lazo de
seguridad.

Políticas de Seguridad de la Información Fecha de actualización: 5/01/2009 Pág.: 8

Nivel Estándares Prácticas y Pautas
Dispositivos Móviles