Estándar de seguridad para la protección de datos de portátiles

12 de abril de 2012

Objetivo

Esta norma establece los requisitos mínimos de seguridad para los ordenadores portátiles y los datos almacenados, procesados ​​o transmitidos a través de ellos.

Descripción general

Las computadoras portátiles ofrecen portabilidad, permitiendo a los usuarios trabajar fuera de la oficina. Sin embargo, también conllevan riesgos. La información confidencial puede quedar expuesta en caso de pérdida o robo del dispositivo. Además, las computadoras portátiles pueden estar expuestas a malware al conectarse a redes inseguras.

Alcance

Esta norma establece los requisitos mínimos de seguridad y cifrado para las computadoras portátiles que contienen datos estatales o se conectan a redes internas estatales o administradas por el estado. Las computadoras portátiles de contratistas, socios comerciales del estado y particulares que se conectan a redes internas del estado o almacenan datos estatales están cubiertas por esta norma.

A efectos de esta norma, la seguridad se define como la capacidad de proteger la integridad, la confidencialidad y la disponibilidad de la información procesada, almacenada y transmitida por un organismo.

Esta norma se aplica a todas las agencias según lo define el Capítulo 8A, Sección 101 del Código de Iowa. Se recomienda a las agencias que no participan que sigan esta y otras políticas, normas, directrices, procesos y procedimientos a nivel empresarial.

Definiciones

A continuación se definen algunos términos seleccionados que se utilizan en el Estándar de Protección de Datos para Portátiles Empresariales:

• Computadora portátil: Las computadoras portátiles son dispositivos ligeros y portátiles diseñados para funcionar durante períodos prolongados con una fuente de alimentación propia. Para los fines de esta norma, una computadora portátil incluye una tableta, una netbook, un iPad y dispositivos similares.
• Cifrado: Proceso que hace que la información sea indescifrable para protegerla de accesos o usos no autorizados, especialmente durante su transmisión o almacenamiento. El cifrado se basa en un algoritmo y al menos una clave. Aunque se conozca el algoritmo, la información no se puede descifrar sin la(s) clave(s).

Estándar para portátiles empresariales

Todos los ordenadores portátiles deben cumplir con los siguientes estándares mínimos:

1. Inventario de computadoras portátiles . Las agencias mantendrán un inventario de todas las computadoras portátiles y sus usuarios asignados.
2. Cifrado y autenticación de datos . Todos los ordenadores portátiles deberán estar cifrados. El software de cifrado deberá cumplir los siguientes criterios:
   1. Antes del arranque: El software de cifrado debe utilizar la autenticación de usuario previa al arranque.
   2. Disco completo: Se cifrará todo el disco duro, excluyendo el registro de arranque maestro.
   3. Nivel de encriptación: Debe utilizarse un estándar de encriptación avanzado (AES) de 256 bits o un encriptación más potente.
   4. Registro de auditoría: Se deberá mantener un registro de auditoría para demostrar que un dispositivo fue cifrado y el tipo de software de cifrado utilizado.
   5. Gestión centralizada: El proceso y los procedimientos de cifrado se gestionarán de forma centralizada a nivel de agencia y/o empresa.
   6. Hibernación: El portátil se cifra al entrar en hibernación, lo que requiere que el usuario vuelva a autenticarse.
       
3. Procedimientos en caso de pérdida o robo . La pérdida o el robo de cualquier computadora portátil deberá ser reportado al Director de Seguridad de la Información dentro de las 24 horas. La notificación deberá incluir:
   1. Nombre y datos de contacto de la agencia.
   2. Fecha de robo/pérdida.
   3. Descripción del robo/pérdida.
   4. Si en el dispositivo se almacenaba información confidencial o sensible.
   5. Si el portátil estaba encriptado.
   6. Si la contraseña o el token se almacenaron con la computadora portátil.

Asimismo, deberán existir procedimientos para cambiar las credenciales de autenticación en cualquier sistema al que el dispositivo/usuario haya podido acceder.

4. Protección física . Los usuarios son responsables de la protección física de sus ordenadores portátiles.
   1. Los ordenadores portátiles no deben dejarse desatendidos en zonas públicas a menos que estén asegurados con un candado de cable u otro dispositivo antirrobo.
5. Contraseñas : Se deben usar contraseñas seguras con las computadoras portátiles. Las contraseñas deben ser:
   1. Al menos 8 caracteres.
   2. Una mezcla de números y letras.
   3. Debe tener al menos un personaje especial.

Las contraseñas escritas, las tarjetas inteligentes o los tokens no deben guardarse junto con el ordenador portátil.

6. Almacenamiento principal/Copias de seguridad de datos . Para garantizar la disponibilidad de los datos en caso de pérdida o robo del dispositivo, un ordenador portátil no debe ser el dispositivo de almacenamiento principal para los datos del Estado de Iowa. Se deben realizar copias de seguridad periódicas de los datos almacenados en ordenadores portátiles, de acuerdo con la normativa de la agencia.
7. Se mantiene la seguridad del cliente . Todos los ordenadores portátiles deben tener:
   1. Un cortafuegos basado en host configurado correctamente
   2. Software antimalware actualizado y
   3. Todos los ordenadores portátiles deberán tener instalados los últimos parches de seguridad críticos en un plazo de 5 días hábiles a partir de su lanzamiento.
8. Evaluación . La ISO realizará evaluaciones periódicas del cumplimiento de esta norma por parte de las agencias. Las agencias proporcionarán acceso a la información y los sistemas de inventario según sea necesario para determinar el cumplimiento. Si se detectan infracciones de la norma sobre computadoras portátiles, la agencia recibirá una notificación por escrito de conformidad con IAC 11-25.11(8A).
9. Capacitación en sensibilización : Los usuarios de computadoras portátiles recibirán capacitación en sensibilización sobre seguridad en dispositivos móviles. Como mínimo, se les proporcionará documentación que describa los riesgos de la informática móvil.
10. Borrar datos y deshabilitar el dispositivo : Los portátiles deberán ser borrados y/o deshabilitados:
    1. Después de 10 intentos fallidos de contraseña.
    2. Cuando se reporta como perdido o robado.
    3. Antes de su eliminación/devolución al arrendador.
11. Inactividad : Los portátiles se configurarán para bloquearse tras un máximo de 15 minutos de inactividad.
12. Política de uso : Las agencias deberán:
    1. Tener una política que cubra el uso de computadoras portátiles y
    2. Asegúrese de que el personal reciba y comprenda la política.
13. Dispositivos de propiedad personal : Los ordenadores portátiles de propiedad personal no deberán conectarse a las redes internas propiedad del Estado.
14. Aplicaciones de terceros : Los usuarios no pueden descargar aplicaciones de terceros en su computadora portátil sin la aprobación de la gerencia de la agencia.
15. Inalámbrico : Los portátiles deberán:
    1. Deshabilitar las capacidades de red punto a punto (ad-hoc).
    2. Desactive Bluetooth a menos que sea necesario para una necesidad empresarial legítima. Si Bluetooth es necesario para una necesidad empresarial legítima, el portátil deberá:
       1. Solo se pueden usar dispositivos aprobados por la agencia.
       2. Desactivar el modo detectable.
    3. Utilice una solución VPN cifrada al conectarse remotamente a una red interna de la agencia mediante redes inalámbricas públicas. La solución VPN deberá:
       1. Utilice la autenticación de dos factores.
       2. No permitir dos conexiones simultáneas a redes diferentes (es decir, no permitir tunelización dividida ni conexiones con múltiples direcciones IP).

Actualizaciones

Este documento se revisará al menos cada dos años y se actualizará según sea necesario.

Fecha de entrada en vigor

Esta norma entrará en vigor el 1 de mayo de 2012.

Aplicación

Esta norma se aplicará de conformidad con el Código Administrativo de Iowa 11—25.11(8A).

Diferencia

El Código Administrativo de Iowa, sección 11 - 25.11(2), contempla excepciones a las normas de seguridad. Las solicitudes de excepción a cualquiera de los requisitos de esta política deberán presentarse por escrito al Director de Seguridad de la Información antes de su implementación.