Estándar de seguridad para el teletrabajo

14 de diciembre de 2011

Objetivo

Esta norma establece los requisitos mínimos de seguridad para el teletrabajo de empleados estatales, contratistas, voluntarios y pasantes.

Descripción general

Muchas agencias estatales ofrecen a su personal la opción de trabajar desde un lugar alternativo, incluyendo su domicilio. El riesgo de seguridad asociado al teletrabajo no controlado puede resultar costoso y afectar la prestación de servicios públicos esenciales. Las agencias deben comprender los riesgos del teletrabajo e implementar medidas para mitigarlos.

La clave para establecer un acuerdo de teletrabajo seguro reside en abordar la seguridad de la información, al tiempo que:

• En reposo: Datos almacenados en un dispositivo de teletrabajo, como un ordenador portátil, un ordenador de sobremesa o un dispositivo de almacenamiento extraíble.
• En tránsito: Datos que viajan entre la agencia y el lugar de teletrabajo;
• y En uso: Datos que está utilizando el empleado que trabaja a distancia.

Los equipos y la información utilizados para el teletrabajo en la agencia deben contar con las mismas protecciones, o mayores, que las implementadas en la sede principal de la agencia.

Alcance

Esta norma establece los requisitos mínimos para el teletrabajo seguro. Se aplica a todas las agencias, según lo define el Capítulo 8A, Sección 101 del Código de Iowa. Se recomienda a las agencias que no participan en la norma que sigan las directrices de esta y otras políticas, normas, directrices, procesos y procedimientos a nivel empresarial.

Definiciones

• Aplicaciones basadas en la nube : Aplicaciones que se distribuyen a través de Internet, como Google Docs, en lugar de estar instaladas en el ordenador del usuario.

• Conexión multihomed : Un ordenador conectado a dos o más redes o que dispone de dos o más direcciones de red. Por ejemplo, un ordenador puede estar conectado a una línea serie y a una LAN, o a varias LAN.
• Intercambio de archivos entre pares (P2P) : El intercambio de archivos entre pares (P2P) (por ejemplo, BitTorrent) permite a los usuarios compartir archivos en línea a través de una red informal de ordenadores que ejecutan el mismo software. Una configuración incorrecta del intercambio de archivos puede facilitar la fuga de datos.
• Conexión remota : Conexión de un recurso de información ubicado en una ubicación ajena a la agencia con un recurso de información en la red de la agencia.
• Túnel dividido : Proceso que permite a un usuario remoto de VPN acceder a una red pública, generalmente Internet, al mismo tiempo que accede a los recursos de la VPN. Una desventaja de este método es que deja la VPN vulnerable a ataques, ya que es accesible a través de la red pública no segura.
• Teletrabajo : Acuerdo aprobado por la dirección, amparado por un contrato de teletrabajo, en el que un empleado desempeña regularmente las funciones oficialmente asignadas en un lugar de trabajo ajeno a la agencia, incluyendo el trabajo desde casa.

Actualizaciones

Esta norma se revisará al menos cada dos años y se actualizará según sea necesario.

Estándar de seguridad para el teletrabajo empresarial

Los siguientes elementos se aplican al teletrabajo:

1. Política : Los organismos deberán elaborar una política de seguridad para el teletrabajo y compartirla con el personal.
2. Conexiones remotas : Lo siguiente se aplica a las conexiones de teletrabajo remoto:
   1. Las conexiones deben estar cifradas.
   2. Las conexiones deben utilizar la autenticación de dos factores. Las formas de autenticación de dos factores incluyen:
      1. Nombre de usuario y contraseña + Certificado
      2. ID de usuario y contraseña + Generador de tokens
      3. ID de usuario y contraseña + Generador de tokens + Certificado
   3. El usuario que realiza el teletrabajo no deberá iniciar dos conexiones simultáneas a redes diferentes (es decir, no se permite el uso de túneles divididos ni conexiones a múltiples redes).
3. Cuentas de usuario:

• Las cuentas de usuario para teletrabajo tendrán privilegios limitados. Los privilegios administrativos solo se otorgarán al personal que tenga una necesidad justificada para acceder a ellos por motivos laborales.
• Las contraseñas de las cuentas de teletrabajo no deben almacenarse junto con el dispositivo/equipo.

4. Cortafuegos : Se deberá implementar un cortafuegos en el lugar de teletrabajo que proporcione filtrado de tráfico entrante y saliente.
5. Compartir documentos:

• El uso de aplicaciones basadas en la nube debe ser aprobado por la dirección de la agencia.
• Los datos confidenciales del estado deberán cifrarse tanto en tránsito como en reposo cuando se utilicen aplicaciones basadas en la nube.
• No se deben instalar aplicaciones para compartir archivos entre pares en las computadoras de la agencia.

6. Cuentas de correo electrónico personales : La información confidencial de la agencia no deberá transmitirse utilizando cuentas de correo electrónico personales.
7. Equipo : Lo siguiente se aplica al equipo utilizado para el teletrabajo:
   1. No se podrán utilizar ordenadores personales, soportes extraíbles ni otros dispositivos para el teletrabajo.
   2. El equipo de teletrabajo de la agencia no deberá utilizarse para actividades personales.
   3. Los equipos electrónicos que contengan información confidencial deberán mantenerse protegidos cuando no estén en uso.
   4. Los ordenadores de sobremesa utilizados para el teletrabajo que almacenen información confidencial deberán estar cifrados.
   5. Las aplicaciones que no se utilicen deberán desinstalarse de los dispositivos de teletrabajo.
   6. Los equipos electrónicos que no funcionen deberán devolverse a la agencia para su eliminación.
   7. Los equipos utilizados para el teletrabajo deberán ser auditados trimestralmente para garantizar que la configuración de seguridad no haya sido desactivada ni modificada.
   8. Se implementará un tiempo de espera por inactividad de 15 minutos en todos los ordenadores portátiles y de sobremesa utilizados para el teletrabajo.
   9. Solo se podrá instalar software aprobado por la agencia en los equipos de la misma.
8. Copias de seguridad : La información electrónica utilizada en un lugar de teletrabajo deberá ser respaldada en el almacenamiento de red principal de la agencia.
9. Actualizaciones de seguridad : Los ordenadores portátiles, de sobremesa y otros dispositivos móviles utilizados para el teletrabajo deben tener instaladas las actualizaciones de seguridad críticas para las vulnerabilidades activas en un plazo de 5 días desde su lanzamiento.
10. Información en formato impreso:

• Los documentos en papel que contengan información confidencial de la agencia deberán guardarse de forma segura cuando no se utilicen (es decir, en un escritorio o archivador con llave).
• Los documentos en papel que contengan información confidencial deberán triturarse con una trituradora de microcorte si se desechan en el lugar de teletrabajo.
• Los organismos deberán realizar un seguimiento de la retirada y la devolución de materiales confidenciales, como expedientes de personal, a los lugares de teletrabajo.

11. Capacitación : Los empleados, contratistas, pasantes y voluntarios de la agencia deberán recibir capacitación sobre prácticas seguras de teletrabajo antes de comenzar a trabajar a distancia.
12. Supervisión : Todos los accesos remotos al teletrabajo deberán registrarse y supervisarse. Los archivos de registro deberán capturar información suficiente para permitir una reconstrucción virtual de la sesión de red.
13. Notificación : El personal deberá notificar cualquier incidente de seguridad que implique el robo o la pérdida de equipos o la divulgación no autorizada de información a su supervisor en un plazo de 24 horas.
14. Conexión inalámbrica : Los dispositivos inalámbricos para teletrabajo deberán configurarse de manera que no intenten conectarse automáticamente a las redes inalámbricas que detecten.

Fecha de entrada en vigor  

Esta norma entrará en vigor el 14 de diciembre de 2011.
Aplicación

Esta norma se aplicará de conformidad con el Código Administrativo de Iowa 11—25.11(8A).

Diferencia

El Código Administrativo de Iowa, sección 11 - 25.11(2), contempla excepciones a las normas de seguridad. Las solicitudes de excepción a cualquiera de los requisitos de esta política deberán presentarse por escrito al Director de Seguridad de la Información antes de su implementación.