Estándar de cifrado para dispositivos de almacenamiento extraíbles

22 de junio de 2011

Objetivo

Esta norma establece los requisitos mínimos para el uso seguro de dispositivos de almacenamiento extraíbles.

Descripción general

Los dispositivos de almacenamiento extraíbles permiten la portabilidad de datos y programas. Son fáciles de usar y capaces de almacenar grandes cantidades de datos. Sin embargo, estas mismas características plantean problemas de seguridad. Su pequeño tamaño hace que sean fáciles de perder o robar. Su portabilidad facilita la extracción de datos confidenciales de sistemas seguros.

Esta norma identifica las medidas que deben adoptarse para reducir los riesgos asociados al uso de dispositivos de almacenamiento extraíbles.

Alcance

Esta norma establece los requisitos mínimos para el uso seguro de dispositivos de almacenamiento extraíbles y el cifrado de datos confidenciales en dichos dispositivos. Esta norma no se aplica a los archivos grabados en cinta u otros soportes como parte del proceso habitual de copias de seguridad de una agencia, cuando el software utilizado está destinado exclusivamente a la creación y gestión de copias de seguridad.

Esta norma se aplica a todas las agencias según lo define el Capítulo 8A, Sección 101 del Código de Iowa. Se recomienda a las agencias que no participan que sigan las directrices contenidas en esta y otras políticas, normas, directrices, procesos y procedimientos a nivel empresarial.

Definiciones

A continuación se definen algunos términos del estándar de cifrado de almacenamiento extraíble empresarial (Enterprise Removable Storage Encryption Standard):

Dispositivos de almacenamiento extraíbles: Dispositivos diseñados para almacenar y transferir información electrónica de un ordenador a otro. Los dispositivos de almacenamiento extraíbles incluyen, entre otros:

• Unidades flash USB (memorias USB) Discos duros portátiles
• Tarjetas de memoria
• DVDs, CDs y disquetes
• Teléfonos móviles, iPods y reproductores de MP3
• Las cintas magnéticas no forman parte del proceso de respaldo de una agencia.

Actualizaciones

Esta norma se revisará al menos cada dos años y se actualizará según sea necesario.

Estándar de cifrado de medios extraíbles empresariales

Todos los dispositivos de almacenamiento extraíbles deben cumplir con los siguientes estándares mínimos:

1. Política : Los organismos deberán establecer una política que regule el uso de dispositivos de almacenamiento extraíbles. Como mínimo, la política deberá abarcar:
   1. Tipos de datos permitidos en dispositivos de almacenamiento extraíbles
   2. Los tipos de dispositivos permitidos
2. Cifrado de datos : Los datos confidenciales almacenados en dispositivos de almacenamiento extraíbles deben estar cifrados. El cifrado deberá utilizar el estándar de cifrado avanzado (AES) de 256 bits o un cifrado más seguro.
3. Dispositivos : Lo siguiente se aplica a los dispositivos de almacenamiento extraíbles.
   1. Los empleados no pueden copiar datos confidenciales del Estado en dispositivos personales.
   2. No se permite conectar dispositivos de propietario desconocido a las computadoras estatales.
   3. Los dispositivos proporcionados por los clientes de la agencia deben ser escaneados en busca de malware.
   4. Los organismos deberán implementar configuraciones o políticas para prohibir el uso de dispositivos extraíbles no autorizados.
   5. Utilice una contraseña segura:
      1. Al menos 8 caracteres
      2. Una mezcla de números y letras
      3. Al menos un personaje especial
      4. Los datos biométricos pueden utilizarse junto con contraseñas para una autenticación sólida.
      5. Las contraseñas escritas no se almacenarán con el dispositivo.
   6. Los dispositivos serán gestionados de forma centralizada por la agencia.
      1. Las agencias deberán mantener un inventario de los dispositivos entregados, a quién se le entregó el dispositivo y el estado de cifrado del dispositivo.
4. Protección física : Los empleados son responsables de la protección física de los dispositivos de almacenamiento extraíbles cifrados que contienen información confidencial.
5. Almacenamiento principal : Los dispositivos de almacenamiento extraíbles no podrán ser el dispositivo de almacenamiento principal para ningún dato confidencial del Estado de Iowa.
6. Evaluación : La ISO evaluará periódicamente el cumplimiento de esta norma por parte de las agencias. Las agencias proporcionarán acceso a la información y los sistemas de inventario según sea necesario para determinar el cumplimiento. Si se detectan infracciones de esta norma, la agencia recibirá una notificación por escrito de conformidad con IAC 11-25.11(8A).
7. Capacitación en sensibilización : El personal recibirá capacitación en sensibilización sobre seguridad de dispositivos y soportes de almacenamiento extraíbles. Como mínimo, los usuarios recibirán documentación que describa los dispositivos de almacenamiento extraíbles y los riesgos asociados.
8. Notificación : Los dispositivos de almacenamiento extraíbles que se pierdan o sean robados y contengan información confidencial deben notificarse a la Oficina de Seguridad de la Información de DAS en un plazo de 24 horas. La notificación deberá incluir:
   1. Nombre de la agencia y contacto
   2. Fecha de robo/pérdida
   3. Descripción del robo/pérdida.
   4. Descripción de la información almacenada en el dispositivo
   5. Si el dispositivo estaba cifrado