CODEGEST-NRS-GLB-001-Normativa general de uso de recursos ...

CODEGEST sca

Norma�va de Seguridad

NRS-GLB-001

Uso de recursos y sistemas de información

CONTROL DE VERSIONES

CLASIFICACIÓN

USO INTERNO

LISTA DE DISTRIBUCIÓN

El presente documento está dirigido EXCLUSIVAMENTE a las personas nombradas en la lista de distribución, quienes podrán, en base a su criterio, divulgarlo a quienes consideren oportuno. Se recomienda encarecidamente una divulgación controlada en la que todos los cesionarios del documento conozcan inequívocamente su CLASIFICACIÓN y se comprometan a mantener la consecuente confidencialidad en todo su ciclo de uso y, en su caso, archivo y/o

NORMA DE SEGURIDAD NRS-GLB-001 GLOBAL


Versión 02 USO INTERNO 23/12/2020

FECHA VERSIÓN ELABORACiÓN APROBACIÓN CAMBIOS

20/06/2020 01 RSEG CSI Versión inicial

23/12/2020 02 RSEG CSI Teletrabajo

Las aprobaciones formales de los documentos figuran en sus actas correspondientes.

PERSONA CARGO

Personal de CODEGEST sca --------------------------------------------------------------------------

Colaboradores externos ---------------------------------------------------------------------------

CODEGEST sca Norma�va de Seguridad NRS-GLB-001 Página 2 de 44

destrucción .

TABLA DE CONTENIDOS

1 OBJETIVOS Y CONTENIDO DEL PRESENTE DOCUMENTO. 6

2 INTRODUCCIÓN 6

3 REFERENCIAS 7

3.1 INTERNAS 7

3.2 EXTERNAS 7

4 CLASIFICACIÓN. 7

5 ÁMBITO DE APLICACIÓN 7

6 VIGENCIA 8

7 REVISIÓN Y EVALUACIÓN 8

8 DATOS DE CONTACTO CON ROLES RELEVANTES. 9

9 MONITORIZACIÓN Y CONTROL DE ACTUACIONES. 9

10 UTILIZACIÓN DE LOS RECURSOS CORPORATIVOS. 9

10.1 NORMAS GENERALES 10

10.2 USOS ESPECÍFICAMENTE PROHIBIDOS 13

10.3 NORMAS ESPECÍFICAS DEL PUESTO DE TRABAJO. 14

10.4 NORMAS ESPECÍFICAS PARA EL ALMACENAMIENTO DE INFORMACIÓN 14

10.5 NORMAS ESPECÍFICAS PARA EQUIPOS PORTÁTILES Y MÓVILES 15





10.6 USO DE MEMORIAS/LÁPICES USB (PENDRIVES) Y/O DISCOS DUROS EXTERNOS. 16

10.7 GRABACIÓN DE CDs Y DVDs 17

10.8 COPIAS DE SEGURIDAD 17

10.9 BORRADO Y ELIMINACIÓN DE SOPORTES INFORMÁTICOS 18

10.10 IMPRESORAS EN RED, FOTOCOPIADORAS Y FAXES 18

10.11 LIMPIEZA DE METADATOS. 19

10.12 DIGITALIZACIÓN DE DOCUMENTOS 19

10.13 CUIDADO Y PROTECCIÓN DE LA DOCUMENTACIÓN IMPRESA 20

10.14 PIZARRAS Y FLIPCHARTS 21

10.15 PROTECCIÓN DE LA PROPIEDAD INTELECTUAL 21

10.16 PROTECCIÓN DE LA DIGNIDAD DE LAS PERSONAS 21

11 USO EFICIENTE DE EQUIPOS Y RECURSOS INFORMÁTICOS 21

12 INSTALACIÓN DE SOFTWARE 22

13 ACCESO A LOS SISTEMAS DE INFORMACIÓN Y A LOS DATOS TRATADOS 22

14 ACCESO FÍSICO Y TRABAJO EN LAS SEDES DE CODEGEST sca 23

15 IDENTIFICACIÓN Y AUTENTICACIÓN 23

16 ACCESO Y PERMANENCIA DE TERCEROS EN LOS EDIFICIOS, INSTALACIONES Y DEPENDENCIAS DE CODEGEST sca 25


16.2 USO DE EQUIPOS INFORMÁTICOS POR PARTE DE TERCEROS 26

17 CONFIDENCIALIDAD DE LA INFORMACIÓN 27

18 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y DEBER DE SECRETO 28





19 TRATAMIENTO DE LA INFORMACIÓN 28

20 SALIDAS DE INFORMACIÓN 29

21 CONEXIÓN DE DISPOSITIVOS A LAS REDES DE COMUNICACIONES 29

22 USO DEL CORREO ELECTRÓNICO CORPORATIVO 29


22.2 USOS ESPECIALMENTE PROHIBIDOS 31

23 ACCESO A INTERNET Y OTRAS HERRAMIENTAS DE COLABORACIÓN 32


23.2 INTERNET EN ESPACIOS CORPORATIVOS 33

23.3 MENSAJERÍA Y REDES SOCIALES. 34

23.4 REPOSITORIOS EN LA NUBE (CLOUD). 34

23.5 USOS ESPECÍFICAMENTE PROHIBIDOS 35

24 INCIDENCIAS DE SEGURIDAD 35

25 COMPROMISOS DE LOS USUARIOS 36

25.1 RESPONSABILIDADES DIRECTAS 36

25.2 DISPOSITIVOS PROPIEDAD DEL USUARIO 36

25.3 TELETRABAJO 37

25.4 FACTORES HUMANOS – INGENIERÍA SOCIAL 37

25.5 FORMALIZACIÓN Y AUDITORÍA DE LAS SOLICITUDES DE INFORMACIÓN. 38

25.6 ACTUACIONES INAPROPIADAS 38

26 CONTROL DE ACTUACIONES SOBRE LOS RECURSOS DE CODEGEST sca 39

27 USO ABUSIVO DE LOS SISTEMAS DE INFORMACIÓN. 39





28 MONITORIZACIÓN Y APLICACIÓN DE ESTA NORMATIVA 39

29 ACTUALIZACIÓN DE LA NORMATIVA. 41

30 EXCEPCIONES A LA NORMATIVA. 41

31 INCUMPLIMIENTO DE LA NORMATIVA 41

32 ACEPTACIÓN Y OBLIGACIÓN DE CUMPLIMIENTO 41





1 OBJETIVOS Y CONTENIDO DEL PRESENTE DOCUMENTO.

Este documento con�ene la Norma�va General para el uso de recursos y sistemas de información en CODEGEST sca (en adelante CODEGEST o “la organización”).

Esta norma�va hace referencia a otras norma�vas y/o procedimientos más detallados donde se desarrollan aspectos específicos de los componentes mencionados en la presente, y cuya lectura es también obligatoria para reforzar los conocimientos del personal.

2 INTRODUCCIÓN

(1). Este documento con�ene la Norma�va General de U�lización de los Recursos y Sistemas de Información de CODEGEST sca , propiedad, ges�onados o bajo la responsabilidad de esta organización, señalando asimismo los compromisos que adquieren los usuarios respecto a su seguridad y buen uso.

(2). Los Sistemas de Información cons�tuyen elementos básicos para el desarrollo de las misiones encomendadas a CODEGEST sca, por lo que los usuarios deben u�lizar estos recursos de manera que se preserven en todo momento las dimensiones de la seguridad sobre las informaciones manejadas y los servicios prestados: disponibilidad, integridad, confidencialidad, auten�cidad y trazabilidad.

(3). La u�lización de equipamiento informá�co y de comunicaciones es actualmente una necesidad en cualquier empresa u organización. Estos medios y recursos se ponen a disposición de los usuarios como instrumentos de trabajo para el desempeño de su ac�vidad profesional, razón por la cual compete a CODEGEST sca determinar las normas, condiciones y responsabilidades bajo las cuales se deben u�lizar tales recursos tecnológicos.

(4). La seguridad de la información y los servicios de CODEGEST sca requiere, ineludiblemente, la implicación de todas las personas intervinientes en su ciclo de vida, por lo que esta norma�va incluye obligaciones asociadas al desempeño del personal, interno y externo.

(5). A efectos del presente documento, y del resto de norma�vas en general, se en�ende como “información sensible” toda aquella “NO PÚBLICA”. Dentro de la información sensible se incluye la clasificada como USO INTERNO y CONFIDENCIAL. Ante cualquier duda en la clasificación de una información, debe considerarse como de USO INTERNO si no con�ene datos personales y CONFIDENCIAL si los contuviera.

(6). La información que contenga datos personales clasificables como de “categoría especial” en base al RGPD (ideología polí�ca, convicciones religiosas o filosóficas=





(7). Por tanto, la presente Norma�va General de U�lización de los Recursos y Sistemas de Información de CODEGEST sca �ene como obje�vo establecer normas encaminadas a alcanzar la mayor eficacia y seguridad en su uso.

(8). Este documento se considera de uso interno de CODEGEST sca y, por consiguiente, no podrá ser divulgado salvo autorización del Responsable de Seguridad .

3 REFERENCIAS

3.1 INTERNAS

(9). Norma�va interna propia y/o grupal aplicable en CODEGEST sca.

3.2 EXTERNAS

(1). Real Decreto 3/2010, de 8 de enero, modificado por el Real Decreto 951/2015 de 23 de

octubre, Esquema Nacional de Seguridad.

(2). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016

rela�vo a la protección de las personas �sicas en lo que respecta al tratamiento de datos

personales y a la libre circulación de estos datos (RGPD en adelante).

(3). Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garan�a de

los derechos digitales (LOPDGDD).

(10). Norma ISO/IEC 27001 2013 y conexas.

(11). Guías CCN-STIC y CCN-BP del Centro Criptológico Nacional.

4 CLASIFICACIÓN.

(12). Este documento está clasificado como USO INTERNO de CODEGEST sca y por tanto no podrá ser divulgado fuera del contexto de CODEGEST salvo autorización previa y formal del Responsable de Seguridad.

5 ÁMBITO DE APLICACIÓN

(13). Esta Norma�va General es de aplicación a todo el ámbito de actuación de CODEGEST sca,





y sus contenidos desarrollan las directrices de carácter más general definidas en la Polí�ca de Seguridad de la Información de CODEGEST sca.

(14). La presente Norma�va General de U�lización de los Recursos y Sistemas de Información es de aplicación y de obligado cumplimiento para todo el personal que, de manera permanente o eventual, preste sus servicios en CODEGEST sca en cualquiera de sus formas laborales y contractuales, incluyendo el personal de proveedores externos.

(15). En el ámbito de la presente Norma�va, se en�ende por “usuario” cualquier persona con vinculación laboral con CODEGEST sca, perteneciente o ajeno a CODEGEST sca, así como el personal de organizaciones públicas o privadas externas colaboradoras o cualquier otra persona con algún �po de vinculación con CODEGEST sca y que u�lice o posea acceso a recursos de CODEGEST sca, sean cuales sean sus funcionalidades y ubicación.

6 VIGENCIA

(16). La presente Norma�va General de U�lización de los Recursos y Sistemas de Información ha sido aprobada por el Comité de Seguridad de la Información o el Responsable de Seguridad de CODEGEST sca, estableciendo de esta forma las directrices generales para el uso adecuado de los recursos de tratamiento de información que CODEGEST sca pone a disposición de sus usuarios para el ejercicio de sus funciones y que, consecuentemente, asumen las obligaciones incluidas, comprome�éndose a cumplir con lo dispuesto en los siguientes epígrafes.

(17). Cualquier modificación posterior entrará en vigor inmediatamente después de su publicación por parte de CODEGEST sca.

(18). Las versiones anteriores que hayan podido distribuirse cons�tuyen borradores que se han desarrollado temporalmente, por lo que su vigencia queda anulada por la úl�ma versión de esta Norma�va General.

7 REVISIÓN Y EVALUACIÓN

(19). La ges�ón de esta Norma�va General corresponde al Responsable de Seguridad , que es competente para:

═ Interpretar las dudas que puedan surgir en su aplicación.

═ Proceder a su revisión, cuando sea necesario para actualizar su contenido o se cumplan los plazos máximos establecidos para ello.

═ Verificar su efec�vidad.





(20). Anualmente (o con menor periodicidad, si existen circunstancias que así lo aconsejen), el Responsable de Seguridad revisará la presente Norma�va General, que se someterá, de haber modificaciones, a su aprobación por el Comité de Seguridad (si lo hubiere) o por el propio Responsable de Seguridad .

(21). La revisión se orientará tanto a la iden�ficación de oportunidades de mejora en la ges�ón de la seguridad de la información, como a la adaptación a los cambios habidos en el marco legal, infraestructura tecnológica, organización general, etc.

(22). Será el Responsable de Seguridad la persona encargada de la custodia y divulgación de la versión aprobada de este documento.

8 DATOS DE CONTACTO CON ROLES RELEVANTES.

9 MONITORIZACIÓN Y CONTROL DE ACTUACIONES.

(23). CODEGEST sca monitoriza las ac�vidades de todo el personal, interno y/o externo, en base a su legi�mación (ENS, ar�culos 89 y 90 LOPDGDD, Estatuto de los Trabajadores), teniendo en cuenta las limitaciones recogidas en la legislación vigente.

(24). La monitorización puede incluir videovigilancia, geolocalización y el uso de plataformas automa�zadas de análisis de ac�vidades en los equipos informá�cos y de comunicaciones propiedad de CODEGEST sca, y todas las evidencias recogidas por estos medios pueden ser u�lizadas en posibles procesos disciplinarios y/o legales que pudieran entablarse, así como ser objeto de bloqueo cualquier recurso con actuaciones calificadas como ilícitas, inseguras o impropias bajo el criterio de CODEGEST SCA.

(25). Este documento cons�tuye el aviso con carácter previo requerido por la LOPDGDDD, si bien se comunicará con antelación la instalación concreta de estas medidas en caso de no estar instaladas.




Rol Correo Teléfono

Responsable de Seguridad <<CORREORSEG>> <<TELEFONORSEG>>

Responsable de Sistema <<CORREORSIS>> <<TELEFONORSIS>>

Delegado de Protección de Datos <<CORREODPD>> <<TELEFONODPD>>


(26). La empresa puede u�lizar mecanismos de todo �po, incluyendo disposi�vos biométricos, para control de presencia, control horario, control de acceso �sico y control de acceso a equipos y/o aplicaciones informá�cas.

10 UTILIZACIÓN DE LOS RECURSOS CORPORATIVOS.

(27). Se en�ende por “recurso” o “recursos” todo componente �sico y/o lógico que CODEGEST sca entrega al personal para el desarrollo de sus ac�vidades. Dentro de este concepto de recurso se encuentran:

═ Ordenadores fijos, portá�les, tablets. ═ Teléfonos. ═ Sistemas opera�vos. ═ Ofimá�ca en todos sus componentes. ═ Líneas de comunicaciones, tanto de voz como de datos. ═ Acceso a Internet. ═ Correo electrónico. ═ Acceso a sistemas y/o aplicaciones informá�cas, tanto en modo local como en

modo remoto (fuera de las sedes e instalaciones de CODEGEST). ═ Documentos en papel. ═ Mobiliario. ═ Impresoras, escáneres, faxes. ═ Disposi�vos de iden�ficación, �sicos y/o electrónicos. ═ Cer�ficados electrónicos para iden�ficación y/o firma electrónica. ═ Disposi�vos de ges�ón y custodia de claves y/o credenciales de usuario. ═ Formación, conocimiento. ═ Acceso a datos. ═ Cualquier otro elemento no referenciado anteriormente que pueda ser u�lizado

para la relación entre los usuarios y CODEGEST sca.

(28). Los recursos que CODEGEST sca pone a disposición de los usuarios son propiedad de CODEGEST sca y deben u�lizarse para el desarrollo de las funciones encomendadas, es decir, para fines profesionales.

(29). Cualquier uso de los recursos con fines dis�ntos a los profesionales está estrictamente prohibido. CODEGEST sca podrá monitorizar el uso de los recursos, u�lizando medios automa�zados de control si así lo es�ma conveniente, para verificar su correcta u�lización.

(30). Por tanto, queda estrictamente prohibido el uso por mo�vos personales de los recursos de CODEGEST sca . En caso de contravenirse esta direc�va, el uso por mo�vos personales





de los recursos no genera derecho alguno de privacidad ni in�midad . La única excepción a esta direc�va es la autorización previa y formal del responsable departamental correspondiente y del Responsable de Seguridad, durante la vigencia de la misma .

10.1 NORMAS GENERALES

(31). Los recursos serán asignados por el Responsable de Sistema previa solicitud y autorización de una persona con potestad para ello, normalmente Jefes de Área / Sección / Departamento / Unidad Organiza�va.

(32). Exis�rá un inventario actualizado de recursos. El Responsable de Sistema será encargado de ges�onar dicho inventario.

(33). El Responsable del Sistema autorizará la entrega de los recursos, debidamente configurados, y con las credenciales de acceso a los servicios y aplicaciones necesarias para el desempeño de sus competencias profesionales, las cuales debe solicitarlas la persona responsable del área / departamento de quien depende el nuevo usuario.

(34). Los privilegios de acceso y actuación de los usuarios serán los mínima y estrictamente necesarios para el desempeño de sus tareas .

(35). Si fuera necesaria la u�lización de recursos no entregados por CODEGEST sca, el Responsable de Seguridad debe aprobar previamente y de manera expresa dicha u�lización.

(36). Los trabajos que realice el usuario para CODEGEST sca durante su relación laboral, colabora�va o contractual son propiedad de CODEGEST, a menos que se haya pactado por escrito y formalmente alguna excepción a este punto. Por tanto, deberán quedar en su totalidad accesibles para la organización, sin restricciones, en caso de finalizar su relación laboral, colabora�va o contractual.

(37). CODEGEST sca puede acceder a los ac�vos de su propiedad cuando se considere necesario, especialmente en caso de finalización de la relación laboral, colabora�va o contractual, enfermedad, accidente, periodos vacacionales u otras causas de indisponibilidad personal, incluyendo acceso a equipos informá�cos, disposi�vos, correos electrónicos, carpetas, repositorios, documentos de todo �po en papel o informa�zados, aplicaciones, entornos de desarrollo y, en general, cualquier componente �sico o lógico entregado al usuario para el desarrollo de su trabajo en CODEGEST sca. Este acceso respetará cualquier documento que pueda ser iden�ficado como personal, si bien están prohibido los usos personales de los ac�vos corpora�vos.

(38). Está prohibida la u�lización de los equipos informá�cos, aplicaciones, componentes, correo, acceso a Internet, navegadores, documentación y, en general, cualquier





componente entregado a usted por CODEGEST sca, para cualquier ac�vidad dis�nta al trabajo asignado a usted por parte de CODEGEST sca, quedando expresamente prohibida su u�lización en temas privados y/o ajenos a su trabajo en CODEGEST sca. En este sen�do, no se admite la consideración de “información privada” ni “uso privado” la información accedida y/o almacenada, y/o la u�lización de recursos propiedad de CODEGEST sca para temas no relacionados directamente con su trabajo en esta empresa.

(39). CODEGEST sca inicializará los equipos y soportes informá�cos que el usuario haya u�lizado en el transcurso de su relación laboral, colabora�va o contractual cuando ésta finalice o antes de una nueva asignación a otro usuario. Los documentos residentes en las unidades de almacenamiento de estos equipos serán eliminados tras las copias que el personal de CODEGEST realizará de aquéllos que tengan relevancia, por lo que serán eliminados todos los documentos no relacionados con las ac�vidades corpora�vas.

(40). Únicamente el personal autorizado por el Responsable de Seguridad podrá distribuir, instalar, configurar o desinstalar so�ware y hardware, o modificar la configuración de cualquiera de los equipos, especialmente en aquellos aspectos que puedan repercu�r en la seguridad de los Sistemas de Información de CODEGEST sca. Cuando sea necesario instalar disposi�vos no provistos por CODEGEST deberá solicitarse autorización previa al Responsable de Seguridad y Responsable de Sistema.

(41). Está prohibido alterar, sin la debida autorización, cualquiera de los componentes �sicos o lógicos de los equipos informá�cos y disposi�vos de comunicación, salvo autorización expresa del Responsable de Seguridad. En todo caso, estas operaciones sólo podrán realizarse por el personal de soporte técnico autorizado por el Responsable de Sistema .

(42). Salvo autorización expresa del Responsable de Seguridad, los usuarios no tendrán privilegio de administración sobre los equipos.

(43). Los usuarios deberán facilitar al personal de soporte técnico el acceso a sus equipos para labores de reparación, instalación o mantenimiento.

(44). Si el personal de soporte técnico detectase cualquier anomalía que indicara una u�lización de los recursos contraria a la presente norma�va, lo pondrá en conocimiento del Responsable de Sistema, que tomará las oportunas medidas correctoras y dará traslado de la incidencia al Responsable de Seguridad.

(45). Los recursos de CODEGEST deberán mantener actualizados los parches de seguridad de todos los componentes que tengan instalados. Se deberá prestar especial atención a la correcta actualización, configuración y funcionamiento de los sistemas an�malware, cortafuegos y, en general, componentes relacionados con la seguridad.

(46). Los usuarios deberán no�ficar al Responsable de Seguridad, a la mayor brevedad posible,





cualquier comportamiento anómalo de su ordenador, especialmente cuando existan sospechas de que se haya producido algún incidente de seguridad en el mismo.

(47). Cada recurso deberá estar asignado a un usuario concreto, asociado a una persona concreta . Tales usuarios son responsables de su correcto uso. Las credenciales de grupo, en su caso, deberán ser autorizadas previa y formalmente por el Responsable de Seguridad, tras una solicitud formal mo�vada.

(48). El usuario será responsable del cuidado y mantenimiento de los recursos que �ene asignados, dando cuenta al Responsable de Seguridad de cualquier evento real o sospechado que pudiera detectar.

(49). El usuario debe ser consciente de las amenazas provocadas por malware . Numerosos ataques requieren la par�cipación de los usuarios para propagarse, ya sea a través de CDs/DVDs, memorias USB, mensajes de correo electrónico o instalación de programas descargados desde Internet, entre otros vectores de ataque. Es imprescindible, por tanto, vigilar el uso responsable los recursos para reducir este riesgo.

(50). El usuario será responsable de toda la información extraída fuera de CODEGEST a través de disposi�vos tales como memorias USB, CDs, DVDs, etc., que le hayan sido asignados. Es imprescindible un uso responsable de los mismos, especialmente cuando se trate información sensible.

(51). El cese de ac�vidad o cambio de función de cualquier usuario debe ser comunicada con antelación suficiente al Responsable de Sistema, al objeto de que le sean re�rados los recursos que le hubieren sido asignados. A su vez, la persona que tenga asignados estos recursos deberá devolverlos inmediatamente a la unidad organiza�va responsable cuando finalice su vinculación con dicho puesto o función.

(52). El usuario debe informar inmediatamente al Responsable de Seguridad o al Delegado de Protección de Datos sobre cualquier comportamiento sospechoso que pueda comprometer la seguridad de los recursos de CODEGEST sca, muy especialmente si compromete información sensible.

10.2 USOS ESPECÍFICAMENTE PROHIBIDOS

(53). Están terminantemente prohibidos los siguientes comportamientos:

═ Ejecución remota -salvo autorización- de archivos de �po audiovisual (música, vídeo, animaciones, etc.).

═ U�lización de cualquier �po de so�ware no autorizado,





═ U�lización de aplicaciones que, por su naturaleza, hagan un uso abusivo de la red.

═ Conexión a la red informá�ca corpora�va de cualquier equipo o disposi�vo no facilitado por CODEGEST, a menos que se disponga de la previa autorización del Responsable de Seguridad.

═ U�lización de conexiones y medios inalámbricos con tecnologías WiFi, Bluetooth o infrarrojos que no estén debidamente autorizados por el Responsable de Seguridad .

═ U�lización de disposi�vos USB, teléfonos móviles u otros elementos, como acceso alterna�vo a Internet, salvo autorización expresa del Responsable de Seguridad.

═ Instalación y/o u�lización de programas o contenidos que vulneren la legislación vigente en materia de Propiedad Intelectual. Este comportamiento estará some�do a las previsiones disciplinarias, administra�vas, civiles o penales descritas en las leyes.

═ Mantener conversaciones sobre información sensible por vía telefónica a menos que pueda contrastar la iden�dad de su interlocutor, no exista otra posibilidad o la urgencia lo exija. Siempre que sea posible deben u�lizarse medios que permitan revisar las cues�ones y documentos intercambiados (p.e. videoconferencia) verificando la iden�dad de las personas par�cipantes. En caso de conversación telefónica, debe asegurarse que la persona interlocutora es quien dice ser.

═ Comunicar o ceder información sensible a personas ajenas a su equipo de trabajo, sean de CODEGEST o no, a menos que formen parte de roles asociados a los asuntos que ges�ona el usuario, o disponga de una autorización previa, expresa y formalizada por parte del Responsable de Seguridad.

═ Crear cuentas en redes sociales (WhatsApp, Facebook, Instagram o cualquier otra) donde se traten cues�ones de CODEGEST sca, a menos que se disponga de la correspondiente autorización previa y formalizada del Responsable de Seguridad.

10.3 NORMAS ESPECÍFICAS DEL PUESTO DE TRABAJO.

(54). El puesto de trabajo deberá permanecer despejado y sin documentos en papel, soportes ni cualquier otro disposi�vo conteniendo información que no sean estrictamente necesarios para el desempeño del trabajo actual de la persona.

(55). Cuando una persona deba abandonar el puesto de trabajo de forma que no disponga de visibilidad sobre el mismo, con carácter previo debe:

A. Guardar en cajones o armarios securizados todos los documentos o soportes que





estuviera u�lizando.

B. Bloquear el ordenador siempre (WINDOWS+L, CTRL+ALT+SUPR).

C. Si la ausencia puede ser prolongada (mayor de 1 hora), deben cerrarse todas las sesiones abiertas de las aplicaciones que estuviera u�lizando.

D. Si la ausencia puede ser mayor de 2 horas, deben cerrarse todas las sesiones y apagar el ordenador, al igual que a la finalización de la jornada laboral.

(56). Los cajones y/o armarios donde se almacenan documentos y/o disposi�vos conteniendo información corpora�va “no pública” deben estar permanentemente cerrados, sus llaves re�radas de las cerraduras y debidamente custodiadas de forma segura.

10.4 NORMAS ESPECÍFICAS PARA EL ALMACENAMIENTO DE INFORMACIÓN

(57). No está permi�do almacenar información en los discos locales de los ordenadores, salvo que se disponga de una autorización previa y formal del Responsable de Seguridad. Esto incluye las carpetas:

═ Documentos o “Mis documentos” ═ Escritorio ═ Descargas ═ Imágenes ═ Música ═ Papelera de reciclaje. ═ Otras carpetas creadas por el usuario.

Estas carpetas ubicadas en el disco local no disponen de copias de seguridad corpora�vas y está estrictamente prohibido realizar copias de seguridad de forma par�cular por parte de los usuarios. En caso de u�lizarse alguna de estas carpetas de forma temporal para operaciones de escaneo de documentos o descargas donde no fuera posible dirigirlas a carpetas de la red corpora�va, deben trasladarse los documentos del disco local a las carpetas corpora�vas apropiadas de forma inmediata , borrando inmediatamente del disco local los documentos, tanto de su carpeta de descarga como de la Papelera de Reciclaje.

10.5 NORMAS ESPECÍFICAS PARA EQUIPOS PORTÁTILES Y MÓVILES

(58). Los equipos portá�les y móviles serán asignados por el Responsable de Sistema .

(59). Exis�rá un inventario actualizado de los equipos portá�les y móviles. El Responsable de Sistema será encargado de ges�onar dicho inventario.





(60). Este �po de disposi�vos estará bajo la custodia del usuario que los u�lice o del Responsable de Sistema. Ambos deberán adoptar las medidas necesarias para evitar daños o sustracción, así como el acceso a ellos por parte de personas no autorizadas.

(61). La sustracción de estos equipos se ha de poner inmediatamente en conocimiento del Responsable de Sistema para la adopción de las medidas que correspondan, denuncias (en su caso) y a efectos de ges�ón del inventario.

(62). Los equipos portá�les y móviles deberán u�lizarse únicamente para fines ins�tucionales, especialmente cuando se usen fuera de las instalaciones de CODEGEST sca.

(63). Los usuarios de estos equipos se responsabilizarán de que no serán usados por terceras personas ajenas a CODEGEST sca o no autorizadas para ello.

(64). En general, los equipos portá�les no deberán conectarse directamente a redes externas (incluyendo la red o el acceso a Internet del usuario en su domicilio), a menos que se establezcan las excepciones correspondientes por mo�vos de teletrabajo o se disponga de autorización previa y formal del Responsable de Seguridad.

(65). CODEGEST sca puede proporcionar accesos remotos autorizados y configurados por el Responsable de Sistema a través de disposi�vos corpora�vos. Cuando este sea el caso, deberán realizar de forma obligatoria dicha conexión a través de dichos disposi�vos. En casos debidamente jus�ficados y previamente autorizados por el Responsable de Seguridad se podrá hacer uso de conexiones alterna�vas, observando estrictas medidas de seguridad en cuanto a la navegación en Internet y el resto de los preceptos de la presente Norma�va General que resulten de aplicación.

(66). Los usuarios de equipos portá�les deberán realizar conexiones periódicas, en la periodicidad comunicada por el Responsable de Sistema a la red corpora�va, para permi�r la actualización de aplicaciones, sistema opera�vo, firmas de an�virus y demás medidas de seguridad. En su defecto, los equipos portá�les serán entregados al Responsable de Sistema para la actualización del so�ware cuando sean requeridos para ello.

(67). Los disposi�vos portá�les que contengan información sensible deberán tener cifrado el disco duro, configuración de seguridad donde se implementen las medidas an�malware apropiadas y mecanismos de auditoría capaces de crear un registro (log) de las acciones desarrolladas.

(68). Como norma general, los equipos portá�les se configurarán por defecto con todos los canales, puertos y sistemas de comunicaciones de salida de información bloqueados (WiFi, Bluetooth, USB’s, CD, DVD, tarjetas de red, etc.). Mediante solicitud mo�vada dirigida al Responsable de Seguridad, y tras la autorización formal de este rol, se podrán





habilitar algunas o todas las funciones de salida de información.

(69). Los usuarios no tendrán privilegio de administración sobre los equipos portá�les, teniendo prohibido realizar cualquier modificación hardware/so�ware sobre los mismos. Corresponderá al Responsable de Sistema llevar a cabo estas modificaciones.

(70). Al finalizar o modificarse las circunstancias profesionales (término de una tarea, cese en el cargo, etc.) que originaron la entrega de un recurso móvil, el usuario lo devolverá al Responsable de Sistema, al objeto de proceder al borrado seguro de la información almacenada y restaurar el equipo a su estado original para que pueda ser asignado a un nuevo usuario. Por tanto, en caso de contener información sensible que deba ser salvaguardada antes del borrado seguro, el usuario debe indicarlo al Responsable de Sistema para obtener una copia de seguridad.

(71). Los equipos portá�les (laptops) que traten información clasificada en nivel ALTO ENS en las dimensiones CONFIDENCIALIDAD o INTEGRIDAD deberán disponer de disposi�vos detectores de manipulación (an�-tamper) y los usuarios deben comunicar inmediatamente al Responsable de Seguridad cualquier alteración de estos disposi�vos, dado que puede iden�ficar una manipulación del equipo afectado.

10.6 USO DE MEMORIAS/LÁPICES USB (PENDRIVES) Y/O DISCOS DUROS EXTERNOS.

(72). Con carácter general, el uso de memorias y/o discos USB en CODEGEST sca no está autorizado.

(73). Por razones de seguridad, los interfaces USB de los puestos de usuario estarán deshabilitados. En caso de ser necesaria su habilitación, deberá jus�ficarse por el usuario y requerirá la previa autorización del responsable jerárquico de la persona solicitante y el Responsable de Seguridad .

(74). En el caso de que a un usuario se le autorice el uso del interfaz USB de su puesto de trabajo, las memorias y/o discos USB u�lizadas serán las proporcionadas por CODEGEST, que serán conformes a las normas de seguridad de ésta. Está prohibida la u�lización de disposi�vos de almacenamiento USB privados .

(75). Se recuerda que las memorias USB están des�nadas a un uso exclusivamente profesional, como herramienta de transporte de ficheros, no como herramienta de almacenamiento. El Responsable del Sistema podrá poner a disposición de los usuarios de aplicaciones, servicios y sistemas de CODEGEST sca unidades de almacenamiento en red, que podrán usarse para tal propósito.

(76). Cuando un disposi�vo de almacenamiento USB contenga información sensible, debe estar cifrado .





(77). La pérdida o sustracción de un disposi�vo de almacenamiento USB, con indicación de su contenido, deberá ponerse en conocimiento del Responsable de Seguridad, de forma inmediata.

(78). CODEGEST sca podrá exigir la verificación previa de cualquier disposi�vo de almacenamiento USB antes de su introducción en la interfaz USB de cualquier ordenador. El usuario está obligado a entregar el disposi�vo al Responsable de Sistema y seguir sus instrucciones.

10.7 GRABACIÓN DE CDs Y DVDs

(79). Con carácter general, el uso de equipos grabadores de CDs y DVDs en CODEGEST sca no está autorizado, máxime ante el uso prác�camente inexistente o residual de estos disposi�vos. En su caso, la autorización deberá proporcionarla el Responsable de Seguridad.

(80). Por razones de seguridad, los equipos grabadores de CDs y DVDs de los puestos de trabajo estarán deshabilitados. En el caso de ser necesaria su habilitación, deberá jus�ficarse por el usuario y requerirá la previa autorización del jefe de la unidad y por el Responsable de Seguridad.

10.8 COPIAS DE SEGURIDAD

(81). Mantener copias de seguridad es una cautela esencial de protección de la información.

(82). Los datos ges�onados por el usuario en el desempeño de sus competencias profesionales deberán mantenerse en los repositorios asignados al efecto, en una unidad de almacenamiento dentro de la red corpora�va.

(83). Está prohibido almacenar en los discos locales de los ordenadores de usuario información corpora�va, dado que no se realizan copias de los discos locales y queda estrictamente prohibido generar copias no autorizadas por el Responsable de Sistema.

(84). De forma periódica, se realizarán copias de seguridad, tanto completas como incrementales, de las unidades de red corpora�vas de CODEGEST sca donde se almacene información de CODEGEST.

(85). La información almacenada en las copias de seguridad podrá ser recuperada en caso de que se produzca algún incidente. Para recuperar esta información el usuario habrá de dirigirse al Responsable del Sistema .

10.9 BORRADO Y ELIMINACIÓN DE SOPORTES INFORMÁTICOS





(86). Las copias de seguridad �sicas (p.e. cintas) o los medios de almacenamiento que, por obsolescencia o degradación, pierdan su u�lidad, y especialmente aquellos que contengan información sensible, deberán ser desechados de forma segura para evitar accesos ulteriores a dicha información. En este sen�do, el usuario deberá:

═ Asegurarse del contenido de cualquier soporte antes de su eliminación, evitando la destrucción de información sensible de la que no se disponga de copia de seguridad.

═ Remi�r al Responsable de Sistema una solicitud de eliminación del disposi�vo, entregando dicho disposi�vo e incluyendo información sobre su contenido.

(87). Cualquier pe�ción de eliminación de componentes informá�cos deberá ser autorizada expresamente por el Responsable de Seguridad, quien, tras su autorización, lo confirmará al Responsable de Sistema , responsable final de la destrucción o almacenamiento de los medios informá�cos obsoletos.

(88). Está prohibido desechar cualquier �po de componente informá�co fuera del control del Responsable de Seguridad y Responsable de Sistema.

10.10IMPRESORAS EN RED, FOTOCOPIADORAS Y FAXES

(89). Con carácter general, deberán u�lizarse las impresoras en red y las fotocopiadoras corpora�vas. En ningún caso el usuario podrá hacer uso de impresoras, fotocopiadoras o equipos de fax que no hayan sido proporcionados por CODEGEST y, en su consecuencia, estén debidamente inventariados y controlados.

(90). En caso de que CODEGEST sca disponga de impresoras en las que sea ac�vable un PIN que permita la impresión �sica únicamente cuando se teclea dicho PIN en la impresora, los usuarios están obligados a u�lizar dicha funcionalidad en caso de ser opcional. Si esta funcionalidad no está disponible, cuando se imprima documentación el usuario deberá acudir inmediatamente a recogerla , para evitar que terceras personas puedan acceder a la misma.

(91). El usuario deberá re�rar inmediatamente los originales de la fotocopiadora, una vez finalizado el proceso de copia. Si se encontrase documentación sensible abandonada en una fotocopiadora o impresora, el usuario intentará localizar a su propietario para que éste la recoja inmediatamente. En caso de desconocer su propietario o no localizarlo, re�rará los documentos, los custodiará en una ubicación segura y lo pondrá inmediatamente en conocimiento del Responsable de Seguridad.

(92). En caso de permanecer ac�va alguna máquina de fax, los documentos que se envíen por fax deberán re�rarse inmediatamente del equipo, de modo que se impida el acceso a su





contenido.

10.11LIMPIEZA DE METADATOS.

(93). Los documentos conteniendo información sensible deben someterse a una limpieza de metadatos cuando puedan ser accedidos por terceros ajenos a CODEGEST sca o cuando se determine por parte del Responsable de Seguridad.

(94). La limpieza de metadatos será realizada mediante las funcionalidades incorporadas al efecto por las plataformas ofimá�cas (Office, Libre Office, PDF) o bien mediante plataformas de limpieza de metadatos homologadas por el Responsable de Sistema.

(95). En la limpieza de metadatos debe tenerse en cuenta que estos metadatos pueden ser necesarios para determinadas transacciones, como los requeridos en las Normas Técnicas de Interoperabilidad u otras normas. Asimismo, CODEGEST sca puede decidir, publicar y comunicar los �pos de documento para los que no se permite la limpieza de sus metadatos.

10.12DIGITALIZACIÓN DE DOCUMENTOS

(96). Deberán evitarse, en la medida de lo posible, las carpetas compar�das donde se depositan los documentos escaneados. En caso de ser necesarias, se configurarán las carpetas adecuadas para evitar una mezcla de documentos de diferentes tupos y sensibilidad y que pudieran derivar en accesos no autorizados a los mismos. Por tanto, las carpetas de escaneo públicas generales no están permi�das.

(97). Cuando se digitalicen documentos el usuario deberá ser especialmente cuidadoso con la selección de la carpeta compar�da donde habrán de almacenarse las imágenes obtenidas, especialmente si con�enen información sensible.

(98). El usuario debe asegurarse de re�rar los originales del escáner, una vez finalizado el proceso de digitalización. Si se encontrase documentación sensible abandonada en un escáner, el usuario intentará localizar a su propietario para que éste la recoja inmediatamente. En caso de desconocer su propietario o no localizarlo, re�rará los documentos, los custodiará en una ubicación segura y lo pondrá inmediatamente en conocimiento del Responsable de Seguridad.

10.13CUIDADO Y PROTECCIÓN DE LA DOCUMENTACIÓN IMPRESA

(99). La documentación impresa que contenga información sensible debe ser especialmente resguardada, de forma que sólo tenga acceso a ella el personal autorizado, debiendo ser recogida inmediatamente de las impresoras y fotocopiadoras y ser custodiada en armarios bajo llave.





(100). Cuando concluya la vida ú�l de los documentos impresos con información sensible deberán ser objeto de análisis para determinar la posibilidad de eliminación securizada inmediata (en las máquinas destructoras de CODEGEST sca) o, en su caso, depositados en contenedores securizados para una destrucción cer�ficada por parte de una empresa especializada, de forma que no sea recuperable la información que pudieran contener. En caso de que los contenedores están llenos, los documentos deben ser custodiados apropiadamente hasta que haya disponibilidad para su depósito securizado.

(101). Debe tenerse en cuenta que las destructoras están clasificadas según el nivel de seguridad que proporcionan, en base a la Norma DIN 66399, la cual establece niveles desde P-1 a P-7 en orden creciente de seguridad. La destrucción de documentos con datos confidenciales y/o secretos debe ser realizada mediante destructoras P-5 o superiores.

(102). Si, una vez impresa, es necesario almacenar tal documentación, el usuario habrá de asegurarse de proteger adecuadamente y bajo llave aquellas copias que contengan información sensible.

(103). Por razones ecológicas y de seguridad, antes de imprimir documentos, el usuario debe asegurarse de que es absolutamente necesario hacerlo.

(104). Deben comprobarse previamente los contenidos de los documentos des�nados a contenedores para reciclaje de papel, antes de ser depositados en los mismos. Nunca deben contener información de CODEGEST sca.

(105). Las papeleras no deben u�lizarse para desechar documentos que contengan información de CODEGEST sca.

(106). Toda operación de eliminación debe tener en cuenta, en todo momento, que los documentos pueden necesitar un procedimiento previo de expurgo en base a la legislación vigente.

10.14PIZARRAS Y FLIPCHARTS

(107). Antes de abandonar las salas o permi�r que alguien ajeno entre, se limpiarán adecuadamente las pizarras y flipcharts de las salas de reuniones o despachos, cuidando que no quede ningún �po de información sensible o que pudiera ser reu�lizada.

10.15PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

(108). Está estrictamente prohibida la instalación y u�lización de aplicaciones informá�cas en los Sistemas de Información de CODEGEST sca sin la correspondiente licencia de uso, cuando ésta sea requerida.





(109). Las aplicaciones informá�cas propiedad de CODEGEST sca o licenciadas a CODEGEST sca están protegidos por la vigente legislación sobre Propiedad Intelectual y, por tanto, está estrictamente prohibida su reproducción, modificación, cesión, transformación o comunicación, salvo que los términos del licenciamiento lo permitan y con la autorización previa del Responsable de Seguridad.

(110). Análogamente, está estrictamente prohibido el uso, reproducción, cesión, transformación o comunicación pública de cualquier otro �po de obra protegida por derechos de Propiedad Intelectual, sin la debida autorización del Responsable de Seguridad.

(111). El incumplimiento de estas direc�vas tendrá las consecuencias de toda índole contempladas en la legislación vigente en materia de Propiedad Intelectual, incluyendo supuestos de ilícito penal, adicionales a las propias sanciones aplicables a nivel laboral o contractual, las cuales son calificadas como MUY GRAVES.

10.16PROTECCIÓN DE LA DIGNIDAD DE LAS PERSONAS

(112). Está terminantemente prohibida toda transmisión, distribución o almacenamiento de cualquier material obsceno, difamatorio, discriminatorio, amenazador o que cons�tuya, en general, un atentado contra la dignidad de las personas.

11 USO EFICIENTE DE EQUIPOS Y RECURSOS INFORMÁTICOS

(113). Dentro de las medidas de racionalización del uso de recursos en CODEGEST sca, se promueven las siguientes acciones para un uso más eficiente de los recursos puestos a disposición de los usuarios.

═ Cerrar las sesiones y apagar el ordenador (y la impresora local, en su caso), al finalizar la jornada laboral. Esta medida obedece tanto a razones de seguridad como de eficiencia energé�ca.

═ Imprimir únicamente aquellos documentos que sean estrictamente necesarios. La impresión se hará, preferiblemente, a doble cara y evitando, siempre que sea posible, la impresión en color.

═ Dado que los recursos de almacenamiento en red son limitados y compar�dos entre todos los usuarios, cada usuario deberá hacer un uso responsable de los mismos y almacenar únicamente aquella información que sea estrictamente necesaria.

12 INSTALACIÓN DE SOFTWARE





(114). Únicamente el personal de soporte técnico autorizado por el Responsable de Sistema podrá instalar so�ware en los equipos informá�cos o de comunicaciones de los usuarios.

(115). En ningún caso podrán eliminarse o deshabilitarse las aplicaciones informá�cas instaladas por el Responsable de Sistema.

(116). No está permi�do modificar por parte de los usuarios las caracterís�cas de funcionamiento, parametrización ni configuración de las aplicaciones instaladas y/o accesibles por los usuarios.

13 ACCESO A LOS SISTEMAS DE INFORMACIÓN Y A LOS DATOS TRATADOS

(117). Los datos ges�onados por CODEGEST y tratados por cualquier Sistema de Información de CODEGEST sca deben tener asignado un responsable, que será el encargado de conceder, alterar o anular la autorización de acceso a dichos datos por parte de los usuarios. Este rol será el correspondiente al Responsable de Información , en cuyo defecto actuará el Responsable de Seguridad o la persona u Órgano designado al efecto en la Polí�ca de Seguridad.

(118). El alta de los usuarios será solicitada y comunicada al Responsable de Seguridad. Para acceder a los recursos informá�cos es necesario tener asignada previamente una credencial de usuario y estar dado de alta en los servidores de dominio o mecanismos equivalentes de ges�ón de iden�dades.

(119). La autorización del acceso establecerá el perfil necesario con el que se configuren las funcionalidades y privilegios disponibles en las aplicaciones según las competencias de cada usuario, adoptando una polí�ca de asignación de privilegios mínimos necesarios para la realización de las funciones encomendadas.

(120). Es responsabilidad del usuario hacer buen uso de su cuenta de usuario. La cuenta se podrá desac�var por el Responsable de Sistema en caso de u�lización inadecuada.

(121). Los usuarios tendrán autorizado el acceso únicamente a aquella información y recursos que precisen para el desarrollo de sus funciones, siguiendo una polí�ca de “mínimo privilegio” y “necesidad de conocer”. El acceso a la información será personal y las credenciales de acceso, intransferibles.

(122). Cuando un usuario deje de atender un ordenador o se levante de su puesto de trabajo es necesario bloquear explícitamente la sesión de usuario para evitar que ninguna persona pueda hacer un mal uso de sus credenciales. El bloqueo debe ac�varse mediante la pulsación de las teclas WINDOWS+L o CONTROL+ALT+SUPR.





(123). No debe esperarse la ac�vación del salvapantallas dado que éste puede estar configurado para ac�varse en un plazo de varios minutos, �empo excesivo para mantener las sesiones abiertas en caso de ausencia del usuario. En cualquier caso, y por razones de seguridad, el ordenador de un usuario se bloqueará automá�camente tras un periodo de inac�vidad de TRES minutos.

(124). La baja de los usuarios será comunicada con antelación suficiente al Responsable de Sistema, para proceder a la eliminación efec�va de los derechos de acceso y los recursos informá�cos asignados al mismo en el momento apropiado, evitando todo acceso una vez la baja sea efec�va.

14 ACCESO FÍSICO Y TRABAJO EN LAS SEDES DE CODEGEST sca

(125). El acceso �sico a las instalaciones de CODEGEST sca debe quedar registrado por los medios que CODEGEST establezca al efecto, siendo obligatorio para todo el personal registrar su entrada y salida por dichos medios.

(126). Queda prohibido acceder a cualquier instalación sin realizar el registro per�nente, el cual puede ser u�lizado por CODEGEST para controlar la presencia, desempeño laboral o cualquier otro parámetro laboral o de seguridad.

(127). Está prohibido comer, beber y fumar en los puestos de trabajo de CODEGEST sca.

(128). Toda ac�vidad detectada como sospechosa debe ser comunicada inmediatamente al superior jerárquico y/o al Responsable de Seguridad, por el medio más rápido posible. La pasividad ante posibles incidentes de seguridad puede conllevar la apertura de un procedimiento sancionador.

15 IDENTIFICACIÓN Y AUTENTICACIÓN

(129). Los usuarios dispondrán de una/s credencial/es de usuario para el acceso a los Sistemas de Información de CODEGEST sca, y son responsables de la custodia de los mismos y de toda ac�vidad relacionada con el uso de sus credenciales. La credencial de usuario es única para cada persona y sistema en la organización, intransferible e independiente del recurso desde el que se realiza el acceso.

(130). Los usuarios no deben revelar o entregar, bajo ningún concepto, sus credenciales de acceso o tarjeta criptográfica a otra persona, ni mantenerlas por escrito a la vista o al alcance de terceros.

(131). Los usuarios no deben u�lizar ninguna credencial de otro usuario , aunque dispongan de la autorización de su �tular .





(132). Si un usuario �ene sospechas de que sus credenciales están siendo u�lizadas por otra persona, debe proceder inmediatamente a comunicar a Responsable de Seguridad la correspondiente incidencia de seguridad.

(133). Los usuarios deben u�lizar contraseñas seguras.

═ Las contraseñas han de tener una longitud mínima de 8 caracteres deben incluir letras mayúsculas y minúsculas, caracteres especiales (del �po @, #, +, etc.) y dígitos numéricos.

═ Las contraseñas no deben estar compuestas únicamente por palabras del diccionario u otras fácilmente predecibles o asociables al usuario (nombres de su familia, direcciones, matrículas de coche, teléfonos, nombres de productos comerciales u organizaciones, iden�ficadores de usuario, de grupo o del sistema, DNI, etc.).

(134). Las contraseñas deberán cambiarse periódicamente, como máximo cada 90 días. El Responsable de Seguridad determinará las caducidades de las contraseñas en base a los riesgos iden�ficados. El Responsable del Sistema implementará los mecanismos apropiados para automa�zar esta obligación mediante funcionalidades de los sistemas cuando estos lo permitan (p.e. Directorio Ac�vo, LDAP).

(135). Si, en un momento dado, un usuario recibiera una llamada telefónica o correo solicitándole su nombre de usuario y contraseña, nunca facilitará dichos datos y procederá a comunicar este hecho al Responsable de Seguridad, de forma inmediata.

(136). Los usuarios deben ser conscientes de que las ac�vidades realizadas con sus credenciales le serán imputables y serán responsable de las mismas.

(137). Los sistemas de información se bloquearán automá�camente tras un número determinado (máximo 3) de intentos de acceso infructuoso.

(138). Las credenciales deben custodiarse adecuadamente, evitando su visibilidad y/o acceso por terceros. En este sen�do, la u�lización de base de datos de contraseñas es obligatoria desde el momento en que sea proporcionada por el Responsable de Sistema.

(139). CODEGEST sca impulsará medios de auten�cación securizados, mediante doble factor, disposi�vos biométricos o cualquier otra tecnología que permita mejorar la seguridad en los accesos.

(140). El usuario deberá cambiar sus credenciales en el primer acceso que realice a un sistema de información, de forma que dichas credenciales queden bajo su única custodia. Esta operación debe realizarse tanto si el sistema de información obliga a realizar dicho





cambio como si fuera opcional. Para CODEGEST sca este cambio es obligatorio.

(141). CODEGEST sca registra todas las actuaciones realizadas por los usuarios en los sistemas de información, las monitoriza en su totalidad y, en caso de detectar cualquier comportamiento o actuación anómala, puede inves�garlo en toda la extensión que fuera necesaria. Ningún recurso, información o actuación será considerado “privado”, en base a la prohibición general de u�lizar recursos de CODEGEST para uso privado.

16 ACCESO Y PERMANENCIA DE TERCEROS EN LOS EDIFICIOS, INSTALACIONES Y DEPENDENCIAS DE CODEGEST sca


(142). Los terceros ajenos a CODEGEST sca que, eventualmente, accedieran y/o permanecieran en sus edificios, instalaciones o dependencias, deberán observar las siguientes normas:

═ El personal ajeno a CODEGEST sca que temporalmente deba acceder a los Sistemas de Información de CODEGEST, deberá hacerlo siempre bajo la supervisión de algún miembro acreditado de CODEGEST sca ( enlace ) y previa autorización del Responsable de Seguridad.

═ Cualquier incidencia asociada a personal externo que surja antes o en el transcurso del acceso a CODEGEST sca deberá ponerlo en conocimiento de su enlace . La función de éste será dar asesoramiento, atender consultas o necesidades, transmi�r instrucciones, ponerle al corriente de sus come�dos, obje�vos, etc.

═ Para los accesos de terceros a los sistemas de información de CODEGEST sca, siempre que sea posible, se les crearán credenciales unívocas y temporales que serán eliminados una vez concluido su trabajo en CODEGEST sca. Si, de manera excepcional, tuvieran que u�lizar credenciales de usuarios ya existentes, una vez finalizados dichos trabajos, se procederá al cambio inmediato de las contraseñas de los usuarios u�lizados.

═ Las personas externas, en lo que les sea de aplicación, deberán cumplir puntualmente la presente Norma�va General, así como el resto de norma�va de seguridad de CODEGEST sca, especialmente en lo referente a los apartados de salida y confidencialidad de la información.

═ Para acceder a los edificios, instalaciones o dependencias de CODEGEST sca deberá estar en posesión de la correspondiente documentación de iden�ficación personal admi�da en Derecho (DNI, NIE, pasaporte), debiendo estar incluido en la relación nominal proporcionada previamente por CODEGEST a la que perteneciere. La





primera vez que acceda �sicamente deberá iden�ficarse ante quien realice su control de acceso y solicitar la presencia de la persona responsable de CODEGEST sca, que cons�tuirá su enlace durante su estancia en él.

═ En caso de suministrar una acreditación personal en el Control de Acceso, deberá portarse en lugar visible en todo momento, debiendo ser entregada a la salida.

═ Una vez en el interior de los edificios, dependencias o instalaciones de CODEGEST sca, los terceros sólo tendrán autorización para permanecer en el puesto de trabajo que les haya sido asignado y en las zonas de uso común (aseos, comedor, zona de máquinas de cafetería, etc.).

═ Todas las entradas y salidas de Centros de Datos, Salas Técnicas u otras ubicaciones sensibles serán registradas, incluyendo para el personal externo:

− DNI/NIE/Pasaporte

− Nombre y apellidos

− Empresa / Organismo al que pertenece

− Mo�vo de la intervención

− Fecha y hora de entrada

− Fecha y hora de salida

− Firma

Estos mismos datos deberán figurar para el personal interno (enlace) que ges�ona la intervención del personal externo .

═ Asimismo, deberán tener autorización del enlace cuando tengan necesidad de realizar desplazamientos entre dis�ntas ubicaciones de CODEGEST sca.

═ Los terceros atenderán siempre los requerimientos que le hiciere el personal de control y seguridad de los edificios, instalaciones o dependencias a los que tuvieren acceso.

16.2 USO DE EQUIPOS INFORMÁTICOS POR PARTE DE TERCEROS

(143). Los terceros u�lizarán para su trabajo los recursos entregados por CODEGEST sca, los cuales estarán configurados con todas las medidas de seguridad corpora�vas. En caso de que los terceros deban u�lizar sus propios equipos en las instalaciones de CODEGEST sca, ANTES de autorizar ac�vidad y/o conexión alguna debe realizarse y registrar los





resultados de:

═ Existencia y validez de medidas de seguridad implantadas en el equipo, y que deben ser iguales o equivalentes a las aprobadas por CODEGEST sca. No se permi�rá trabajo alguno ni conexión a la red de esta empresa ante la más mínima sospecha de riesgo para la seguridad de CODEGEST sca.

═ Compromiso firmado por el tercero de conocimiento, comprensión y aceptación de las medidas de seguridad de CODEGEST sca. Este compromiso puede venir desde las ac�vidades de la propia contratación de los servicios, debiendo verificarse en todos los casos. En este compromiso debe incluirse el derecho de auditoría de CODEGEST sca sobre equipos y ac�vidades desarrolladas por los terceros, inicia�va que se desarrollará ante cualquier incidente real o sospechado e/o iden�ficación de riesgo.

(144). Únicamente tras estas verificaciones documentadas, el Responsable de Seguridad podrá emi�r una autorización formal de uso de equipos externos en los términos y condiciones que sea necesaria dicha u�lización, controlando los periodos autorizados. Ver CODEGEST-PRG-GLB-090-Ges�ón de usuarios para mayor información.

17 CONFIDENCIALIDAD DE LA INFORMACIÓN

(145). Como medida de protección de la información propia, confiada o tratada por CODEGEST sca, está absolutamente prohibido el envío al exterior de información, electrónicamente, mediante soportes informá�cos o por cualquier otro medio, que no hubiere sido previamente autorizada por el Responsable de Seguridad.

(146). Todo el personal de CODEGEST o ajeno a la misma que, por razón de su ac�vidad profesional, hubiera tenido acceso a información ges�onada por CODEGEST sca (tal como datos personales, documentos, metodologías, claves, análisis, programas, etc.) deberán mantener sobre ella, por �empo indefinido, un absoluto secreto.

(147). En el caso de entrar en conocimiento de información que no sea de libre difusión, en cualquier �po de soporte, deberá entenderse que dicho conocimiento es estrictamente temporal mientras dure la función encomendada, con la obligación de secreto o reserva indefinidas y sin que ello le confiera derecho alguno de posesión, �tularidad o copia del mismo. Asimismo, se deberán devolver los soportes de información u�lizados inmediatamente después de la finalización de las tareas que hubieren originado su uso.

(148). Los usuarios sólo podrán acceder a aquella información para la que posean las debidas y explícitas autorizaciones, en función de las labores que desempeñen, no pudiendo en ningún caso acceder a información perteneciente a otros usuarios o grupos de usuarios para los que no se posea tal autorización.





(149). Los derechos de acceso a la información y a los Sistemas de Información que la tratan deberán siempre otorgarse en base a los principios de mínimo privilegio posible y necesidad de conocer.

(150). La información contenida en los Sistemas de Información de CODEGEST sca es propiedad de CODEGEST sca, por lo que los usuarios deben abstenerse de comunicar, divulgar, distribuir o poner en conocimiento o al alcance de terceros (externos o internos no autorizados) dicha información, salvo autorización expresa del Responsable de Seguridad.

(151). Está prohibido dejar visible información sensible en la pantalla del ordenador.

(152). En todos los casos, las medidas de protección serán proporcionales a la sensibilidad de los datos y a los riesgos iden�ficados sobre los mismos.

18 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y DEBER DE SECRETO

(153). La información contenida en recursos de CODEGEST sca que contenga datos de carácter personal está protegida por el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 rela�vo a la protección de las personas �sicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), y por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garan�a de los derechos digitales (LOPDGDD).

(154). Todo usuario (de CODEGEST sca o de terceras Organizaciones) que, en virtud de su ac�vidad profesional, pudiera tener acceso a datos de carácter personal, está obligado a mantener la más estricta confidencialidad, integridad y disponibilidad de los datos, deber que se mantendrá de manera indefinida, incluso más allá de la relación laboral o profesional con CODEGEST sca.

19 TRATAMIENTO DE LA INFORMACIÓN

(155). Queda prohibido transmi�r o alojar información sensible propia de CODEGEST sca en servidores externos a la organización, salvo autorización previa y formal del Responsable de Seguridad, que comprobará la inexistencia de trabas legales para ello y verificará la suscripción de un contrato expreso entre CODEGEST sca y la organización responsable de la prestación del servicio, incluyendo las previsiones de la legislación vigente en materia de tratamiento de datos personales, los Acuerdos de Nivel de Servicio que procedan, el correspondiente Acuerdo de Confidencialidad o Contrato de Encargado de Tratamiento, y siempre previo análisis de los riesgos asociados a tal externalización.

(156). La creación de ficheros temporales se limitará a los casos donde no haya solución alterna�va, y dichos ficheros serán eliminados tan pronto como haya finalizado la causa





que mo�vó su creación.

(157). No están permi�das las carpetas informa�zadas públicas de acceso libre e indiscriminado. Toda carpeta con datos de CODEGEST debe tener una polí�ca de protección ante accesos no autorizados y tener configurados dichos accesos bajo el principio de “mínimo privilegio” y “necesidad de conocer”.

20 SALIDAS DE INFORMACIÓN

(158). La salida de información de CODEGEST sca (en cualquier soporte o por cualquier medio de comunicación) deberá ser realizada exclusivamente por personal autorizado por el Responsable de Seguridad, autorización que contemplará igualmente a la propia información que sale.

(159). La salida de datos sensibles requerirá su cifrado o la u�lización de cualquier otro mecanismo que garan�ce que la información no será inteligible durante su remisión o transporte.

(160). Los usuarios �enen prohibido sacar al exterior cualquier información de CODEGEST sca en cualquier disposi�vo (CDs, DVDs, disposi�vos de almacenamiento USB, ordenadores o disposi�vos portá�les, etc.), salvo en los supuestos indicados en los puntos anteriores y sólo en caso de legi�mación basada en las regulaciones vigentes y/o con autorización previa del Responsable de Seguridad.

21 CONEXIÓN DE DISPOSITIVOS A LAS REDES DE COMUNICACIONES

(161). No se podrá conectar en la red de comunicaciones corpora�va ningún disposi�vo dis�nto de los admi�dos, habilitados y configurados por CODEGEST sca, salvo autorización previa del Responsable de Seguridad.

(162). Como excepción a la regla anterior, se admite la conexión de disposi�vos externos únicamente sobre subredes creadas para personas externas a la organización. Estas subredes deberán estar totalmente segregadas de las redes corpora�vas, pero deberán controlar su tráfico mediante cortafuegos.

22 USO DEL CORREO ELECTRÓNICO CORPORATIVO

(163). El correo electrónico corpora�vo es una herramienta de mensajería electrónica centralizada, puesta a disposición de los usuarios de CODEGEST sca, para el envío y recepción de correos electrónicos mediante el uso de cuentas de correo corpora�vas.





(164). Se trata de un recurso compar�do por todos los usuarios de CODEGEST, por lo que un uso indebido del mismo repercute de manera directa en el servicio ofrecido a todos.

(165). Las normas de uso se encuentran detalladas en la norma�va CODEGEST-NRG-020-Uso del correo electrónico en su versión vigente. En el presente documento se exponen las normas generales derivadas de aquéllas.


(166). Todos los usuarios que lo precisen para el desempeño de su ac�vidad profesional dispondrán de una cuenta de correo electrónico, para el envío y recepción de mensajes internos y externos a la organización.

(167). Únicamente podrán u�lizarse las herramientas y programas de correo electrónico suministrados, instalados y configurados por CODEGEST sca.

(168). El correo corpora�vo deberá u�lizarse, única y exclusivamente, para la realización de las funciones encomendadas al personal, estando prohibido el uso privado del mismo .

(169). Se deberá no�ficar al Responsable de Seguridad cualquier �po de anomalía detectada, así como los correos no deseados ( spam ) que se reciban, a fin de configurar adecuadamente las medidas de seguridad oportunas.

(170). Se deberá prestar especial atención a los ficheros adjuntos en los correos recibidos. No deben abrirse ni ejecutarse ficheros de fuentes no fiables, puesto que podrían contener virus o código malicioso. En caso de duda sobre la confiabilidad de los mismos, se deberá no�ficar esta circunstancia al Responsable de Seguridad y no se deberá abrir el correo ni el posible fichero adjunto que pudiera contener.

(171). La remisión de ficheros o documentos adjuntos conteniendo información sensible debe protegerse mediante contraseña aplicada a dichos ficheros o documentos. En caso de que, por el �po de fichero o documento, no pueda aplicarse contraseña directamente sobre los mismos, deben incluirse en un fichero comprimido ZIP o RAR y asignarle contraseña.

(172). Las contraseñas para la apertura de ficheros o documentos adjuntos en los correos electrónicos nunca deben remi�rse dentro del mismo correo. De hecho, estas contraseñas deben comunicarse a través de un medio alterna�vo al correo para evitar errores en la especificación de la persona des�nataria.

(173). En caso de ser inviable la remisión de la contraseña por un medio diferente, debe revisarse cuidadosamente la dirección de la persona des�nataria antes de remi�rla.





(174). En caso de estar disponible la funcionalidad de compar�r ficheros y/o documentos, no deben remi�rse mediante correo electrónico sino incluir en el correo los enlaces correspondientes, siempre aplicando las medidas de seguridad disponibles en función de la plataforma u�lizada.

(175). Está terminantemente prohibido suplantar la iden�dad de un usuario de internet, correo electrónico o cualquier otra herramienta colabora�va.

(176). Una vez copiados los ficheros y/o documentos adjuntos a sus carpetas defini�vas, deben eliminarse de los correos dichos adjuntos.

(177). Deben revisarse periódicamente las listas de des�natarios de correo para verificar que todas las personas e/o ins�tuciones sigan manteniendo su legi�mación para pertenecer a la lista.

(178). Debe verificarse la procedencia, origen y razón de ser de cada correo recibido ANTES DE ABRIRLO, dado que la suplantación de personas es una de las vías u�lizadas por atacantes para conseguir que se abran correos y adjuntos que con�enen malware. Ante la más mínima sospecha:

═ No abrir el correo. ═ En caso de haber abierto el correo, NO ABRIR EL ADJUNTO. ═ Comunicar inmediatamente el asunto al Responsable de Seguridad.

Los correos falsos con adjuntos están siendo la vía más habitual para los ataques.

(179). Nunca deben comunicarse credenciales de usuario, claves bancarias ni de otra índole como respuesta a un correo electrónico. Es muy habitual la suplantación de en�dades bancarias y organismos oficiales en correos donde se solicitan los datos de acceso y/o de cuentas. Estos ataques, denominados “phishing” y con dis�ntas variantes, pueden ser muy sofis�cados y exponer pantallas muy logradas en cuanto a su similitud con las originales.

(180). CODEGEST sca monitoriza y audita los correos electrónicos, registrando todos los datos de tráfico y analizando sus contenidos para detectar posibles amenazas, pudiendo bloquear direcciones de correo y usuarios, acceder a contenidos sospechosos y, en general, auditar los correos electrónicos que sean remi�dos mediante sus dominios corpora�vos así como los correos entrantes a sus dominios corpora�vos.

(181). Queda prohibida la u�lización de otros dominios de correo ajenos a CODEGEST sca para intercambiar información de CODEGEST.

(182). CODEGEST sca podrá habilitar cuentas de correo asociadas a un rol determinado ( p.ej:





[email protected] ). En este caso, los correos electrónicos recibidos en la misma se consideran de interés corpora�vo y se mantendrán con pleno acceso corpora�vo en caso de cambios en la persona �tular de estos roles, por lo que resulta especialmente necesario evitar cualquier uso no directamente relacionado con los mismos.

22.2 USOS ESPECIALMENTE PROHIBIDOS

(183). Las siguientes actuaciones están explícita y especialmente prohibidas:

═ El envío de correos electrónicos cuyo contenido sea inadecuado, ilegal, ofensivo, difamatorio, inapropiado o discriminatorio por razón de sexo, raza, edad, discapacidad, ideología, convicciones religiosas, etc.

═ El envío de correo electrónico que contenga programas informá�cos (so�ware) sin licencia, vulnerando los derechos de propiedad intelectual de los mismos.

═ El envío de correo electrónico conteniendo amenazas o mensajes cuyo contenido fuera catalogable como delitos de odio, discriminatorios por cualquier razón, lenguaje inapropiado o atentatorio a la dignidad de las personas.

═ Difusión de virus reales y código malicioso, o cualquier otro �po de contenidos que puedan perjudicar a los usuarios, iden�dad e imagen corpora�va y a los propios sistemas de información de CODEGEST.

═ El acceso a un buzón de correo electrónico dis�nto del propio y el envío de correos electrónicos con usuarios dis�ntos del propio.

═ La difusión de la cuenta de correo corpora�va del usuario en listas de distribución, foros, servicios de no�cias, etc., que no sean consecuencia de la ac�vidad profesional del usuario.

═ Responder mensajes de los que se tenga sospechas sobre su auten�cidad, confiabilidad y contenido, o mensajes que contengan publicidad no deseada.

═ La u�lización del correo corpora�vo como medio de intercambio de ficheros especialmente voluminosos. El sistema evitará el intercambio de correos de tamaños superiores al límite establecido por el Responsable de Seguridad .

═ La u�lización del correo corpora�vo para recoger correo de buzones que no pertenezcan a CODEGEST sca o el reenvío automá�co del correo corpora�vo a buzones ajenos a la organización. Para ello se necesitará la autorización expresa del Responsable de Seguridad.





mailto:[email protected]

═ Remi�r correos a un conjunto de des�natarios en formato de lista abierta donde cada des�natario pueda ver las direcciones de los demás. Debe u�lizarse para estos casos el campo CCO (con copia oculta).

23 ACCESO A INTERNET Y OTRAS HERRAMIENTAS DE COLABORACIÓN

(184). El acceso corpora�vo a Internet es un recurso centralizado que CODEGEST sca pone a disposición de los usuarios, como herramienta necesaria para el acceso a contenidos y recursos de Internet y como apoyo al desempeño de su ac�vidad profesional.

(185). CODEGEST sca velará por el buen uso del acceso a Internet, tanto desde el punto de vista de la eficiencia y produc�vidad del personal, como desde los riesgos de seguridad asociados a su uso.

(186). Debe consultarse la norma CODEGEST-NRS-010-Normas de acceso y uso de Internet en su versión vigente, para ampliar información.


(187). El acceso a Internet deberá ser autorizado por el Responsable de Seguridad, siempre que se es�me necesario para el desempeño de la ac�vidad profesional del usuario o solicitante y exista disponibilidad para ello. En otro caso, se podrá acceder a Internet desde un puesto de acceso común habilitado para ese fin.

(188). Las conexiones que se realicen a Internet deben obedecer a fines profesionales, teniendo siempre en cuenta que se están u�lizando recursos informá�cos restringidos y escasos. El acceso a Internet para fines personales debe limitarse y, de ser absolutamente necesario, sólo debe u�lizarse un �empo razonable, que no interfiera en el rendimiento profesional ni en la eficiencia de los recursos informá�cos corpora�vos.

(189). Sólo se podrá acceder a Internet mediante el navegador suministrado y configurado por CODEGEST en los puestos de usuario. No podrá alterarse la configuración del mismo ni u�lizar un navegador alterna�vo, sin la debida autorización del Responsable de Seguridad.

(190). Deberá no�ficarse al Responsable de Seguridad cualquier anomalía detectada en el uso del acceso a Internet, así como la sospecha de posibles problemas o incidentes de seguridad relacionados con dicho acceso.

(191). El acceso y la navegación a través de Internet podrá ser monitorizado y sus registros guardados durante el �empo que la legislación permita. Estos registros podrán ser aportados ante las autoridades en caso de iden�ficarse actuaciones contrarias a las





normas y/o ser requeridos para ello.

(192). CODEGEST sca puede bloquear cualquier acceso a páginas cuyo contenido está incurso en ilícitos civiles y/o penales.

23.2 INTERNET EN ESPACIOS CORPORATIVOS

(193). CODEGEST sca puede habilitar puntos de acceso a Internet en diferentes espacios donde considere, como salas de reuniones, espacios de ocio propios, etc. Estos puntos de acceso pueden ser u�lizados por personas que asistan a ac�vidades en dichas ubicaciones, a través de ordenadores proporcionados por CODEGEST sca o a través de disposi�vos propiedad de aquéllos.

(194). La u�lización de estos puntos de acceso requerirá de unas credenciales que iden�fiquen unívocamente la persona que se conecta. Esta persona deberá solicitar su acceso mediante el formulario correspondiente, el cual contendrá, al menos:

═ Normas de uso de Internet.

═ Aviso sobre de la monitorización que CODEGEST sca llevará a cabo sobre el tráfico de red, respetando la legislación vigente.

═ Aviso sobre la potestad de CODEGEST sca para bloquear accesos a contenidos incursos en ilícitos civiles y/o penales.

═ Aviso sobre la denuncia que CODEGEST sca interpondrá ante las autoridades competentes en caso de detectar ac�vidades que pudieran cons�tuir ilícitos civiles y/o penales.

═ Requerimiento de firma de persona que ostente potestad suficiente sobre el/la menor si la persona solicitante es menor de edad.

(195). Para el cumplimiento de estas medidas, CODEGEST sca deberá dotarse, a nivel global o en los diferentes puntos de acceso, de “portales cau�vos” o medidas equivalentes para el control de acceso a Internet.

(196). CODEGEST sca implementará funciones de cortafuegos en estos puntos de acceso o bien los integrará con los cortafuegos corpora�vos.

23.3 MENSAJERÍA Y REDES SOCIALES.

(197). Queda prohibido compar�r información sensible de CODEGEST sca en sistemas de mensajería (SMS, WhatsApp, Instagram, etc) no autorizados formalmente por el





Responsable de Seguridad de CODEGEST. Los sistemas de mensajería admi�dos serán aquellos creados, mantenidos y administrados por CODEGEST.

(198). Las redes sociales corpora�vas serán las creadas, mantenidas y administradas por CODEGEST sca. Queda prohibido compar�r información sensible de CODEGEST en redes sociales no corpora�vas.

23.4 REPOSITORIOS EN LA NUBE (CLOUD).

(199). La u�lización de repositorios “en la nube” sólo está permi�do cuando dichos repositorios han sido contratados por CODEGEST sca en base al cumplimiento de los mismos de la legislación vigente y las consideraciones de seguridad apropiadas. Por tanto, queda prohibida la u�lización de repositorios en la nube que no hayan sido aprobados por CODEGEST. En caso de duda, consultar con el Responsable de Seguridad.

(200). Los repositorios en la nube donde se almacenen datos personales son, desde el prisma RGPD, encargados de tratamiento y, por ello, deben ofrecer las garan�as suficientes en los tratamientos de datos sensibles, especialmente el tratamiento de datos personales.

(201). Los repositorios gratuitos no ofrecen estas garan�as, por lo que no deben ser u�lizados para almacenar e/o intercambiar datos sensibles. Es habitual que los repositorios de pago cumplan RGPD, pero no los gratuitos.

(202). Los servidores de los repositorios “en la nube” deben estar ubicados en países de la Unión Europea (UE) o donde existan acuerdos con la UE.

23.5 USOS ESPECÍFICAMENTE PROHIBIDOS

(203). Quedan prohibidas las siguientes actuaciones:

═ La descarga de archivos voluminosos, especialmente en horarios coincidentes con la atención al público, salvo autorización expresa.

═ La descarga de aplicaciones informá�cas sin la autorización previa del Responsable de Seguridad o ficheros con contenido dañino que supongan una fuente de riesgos para la organización. En todo caso debe asegurarse que el si�o Web visitado es confiable.

═ El acceso a recursos y páginas-web, o la descarga de programas o contenidos que vulneren la legislación en materia de Propiedad Intelectual.

═ La u�lización de aplicaciones o herramientas (especialmente, el uso de programas de intercambio de información, P2P) para la descarga masiva de archivos,





programas u otro �po de contenido (música, películas, etc.) que no esté previa y expresamente autorizada por el Responsable de Seguridad.

═ La u�lización de repositorios web (la nube) para depositar en ellos documentos del, o relacionados con, CODEGEST sca sin una autorización formal previa del Responsable de Seguridad.

24 INCIDENCIAS DE SEGURIDAD

(204). Cuando un usuario detecte cualquier anomalía o incidencia de seguridad que pueda comprometer el buen uso y funcionamiento de los Sistemas de Información de CODEGEST sca, su cumplimiento con los marcos norma�vos vigentes y/o su imagen, deberá informar inmediatamente al Responsable de Seguridad, que lo registrará debidamente y elevará, en su caso.

(205). Esta comunicación inmediata es fundamental para una reacción apropiada, y debe efectuarse tanto si se trata de un evento real o sospechado.

25 COMPROMISOS DE LOS USUARIOS

25.1 RESPONSABILIDADES DIRECTAS

(206). Son responsabilidades directas de los usuarios:

a) Custodiar las credenciales que se le proporcionen y seguir todas las recomendaciones de seguridad que elabore el Responsable de Seguridad , para garan�zar que aquellas no puedan ser u�lizadas por terceros. Deberá cerrar su cuenta al terminar la sesión y bloquear el equipo cuando lo deje desatendido.

b) En el caso de que su equipo contenga información sensible, esta deberá cumplir todos los requisitos legales aplicables y las medidas de protección que la norma�va de CODEGEST sca establezca al respecto.

c) Garan�zar la disponibilidad de toda la información de CODEGEST sca, lo cual incluye la obligación de alojar en los servidores corpora�vos todos los documentos u�lizados en su trabajo., quedando prohibido u�lizar los discos locales del ordenador de usuario para guardar documentos conteniendo información de CODEGEST sca.

d) U�lizar los recursos de CODEGEST sca de forma cuidadosa y diligente, devolviéndolos en perfecto estado, cuando sean requeridos, y siempre en caso de sus�tución de los mismos o baja de la persona en CODEGEST sca.





e) Facilitar las tareas de mantenimiento sobre los equipos que le han sido entregados, priorizando siempre las tareas relacionadas con su mantenimiento y seguridad ante las del desempeño profesional.

f) Comprender que ningún conjunto de medidas de seguridad puede evitar completamente los incidentes, evitando suposiciones sobre la efec�vidad de las mismas que pudieran relajar las propias medidas de seguridad en su desempeño.

25.2 DISPOSITIVOS PROPIEDAD DEL USUARIO

(207). En caso de instalación de aplicaciones corpora�vos en disposi�vos propiedad del usuario (escenario conocido por su acrónimo inglés BYOD – Bring Your Own Device ).

a) El usuario se compromete a implementar en su disposi�vo todas las medidas de seguridad determinadas por CODEGEST.

b) El usuario no podrá vender, prestar ni cambiar el disposi�vo antes de que CODEGEST sca proceda a la eliminación de aplicaciones y datos corpora�vos.

c) El usuario no podrá ceder el disposi�vo a terceros a menos que se haya procedido a la eliminación de aplicaciones y datos corpora�vos, a menos que la zona corpora�va esté completamente separada y securizada, lo cual deberá acreditarse mediante una autorización del Responsable de Seguridad .

25.3 TELETRABAJO

(208). Los trabajos desarrollados fuera de las instalaciones corpora�vas deben realizarse adoptando las medidas de seguridad apropiadas para mi�gar sus riesgos inherentes.

a) No deben u�lizarse conexiones públicas (aeropuertos, restaurantes, hoteles, etc.) a menos que se realicen mediante plataformas de securización apropiadas (p.e. VPN, SSL con IPs limitadas).

b) Las conexiones desde los domicilios par�culares deben ser realizadas también a través de plataformas de securización.

c) Los trabajos realizados en los domicilios deben mantener en todo momento las medidas de seguridad apropiadas, evitando el uso de disposi�vos compar�dos con otras personas residentes en el domicilio dado que pueden contener malware que podría ser trasladado a CODEGEST sca.

d) Los trabajos realizados en domicilios par�culares deben evitar la impresión de documentos en papel, así como trasladar documentos en papel a dicho





domicilio.

e) En caso de ser inevitables los tratamientos de documentos en papel, es obligatorio habilitar ubicaciones seguras en el domicilio, controladas mediante llave debidamente custodiada.

25.4 FACTORES HUMANOS – INGENIERÍA SOCIAL

(209). No deben mantenerse conversaciones sobre temas relacionados con CODEGEST sca fuera del ámbito del equipo de trabajo. Estas situaciones deben evitarse, especialmente, en reuniones familiares, entre amistades y en espacios públicos (restaurantes, hoteles, aeropuertos, eventos, etc).

(210). Nunca deben comunicarse las credenciales de acceso a los sistemas, ni dar acceso a ningún �po de información, a personas cuya legi�mación genere dudas, sin importar que se presenten como superiores jerárquicos, auditores u otros roles. En estos casos, debe solicitarse una autorización formal antes de permi�r dichos accesos.

(211). En las reuniones, no deben comunicarse más datos de los estrictamente necesarios para los temas y cues�ones a tratar.

(212). El usuario debe respetar y cumplir en todo momento las indicaciones sobre seguridad que las personas competentes u Órganos responsables de CODEGEST le indiquen, en par�cular las que emanen de quienes ostentes roles como Responsable de Seguridad o Delegado de Protección de Datos.

(213). Debe asis�r a los ciclos forma�vos a los que sea convocado/a, así como leer de forma inmediata los correos que le sean remi�dos en materia de seguridad, y cumplir sus instrucciones.

(214). Debe cumplir todas las reglas de seguridad específicas de su puesto de trabajo o ac�vidad, si exis�eran.

25.5 FORMALIZACIÓN Y AUDITORÍA DE LAS SOLICITUDES DE INFORMACIÓN.

(215). No deben admi�rse por vía telefónica solicitudes que afecten a la comunicación de datos sensibles, a menos que pueda grabar las conversaciones. En este úl�mo caso, debe procederse al aviso de la grabación y de los ejercicios de derechos asociados.

(216). Deben u�lizarse en todo momento medios auditables (videoconferencia, escrito, correo, mensaje, etc.) y cortar toda comunicación donde exista sospecha de suplantación de iden�dad o par�cipación de personas no legi�madas ni autorizadas.





25.6 ACTUACIONES INAPROPIADAS

(217). Además de lo anterior, no se podrá acceder a los recursos informá�cos y telemá�cos de CODEGEST sca para desarrollar ac�vidades que persigan o tengan como consecuencia:

− El uso intensivo de equipos, recursos de proceso, memoria, almacenamiento o comunicaciones, para usos no profesionales.

− Actuaciones que pueden provocar degradación de los servicios.

− La destrucción o modificación no autorizada de la información, de manera premeditada.

− La violación de la in�midad, del secreto de las comunicaciones y del derecho a la protección de los datos personales.

− El deterioro intencionado del trabajo de otras personas.

− El uso de los sistemas de información para fines ajenos a los de CODEGEST sca, salvo aquellas excepciones que contempla la presente Norma�va.

− Dañar intencionadamente los recursos informá�cos de CODEGEST sca o de otras ins�tuciones.

− Incurrir en cualquier otra ac�vidad ilícita, del �po que sea.

26 CONTROL DE ACTUACIONES SOBRE LOS RECURSOS DE CODEGEST sca

(218). CODEGEST sca podrá habilitar Sistemas de Información cuyo acceso y/o modificación de la información contenida quedarán registrados, lo que permi�rá su ulterior auditoría.

(219). Las modificaciones de los datos deben realizarse sólo por parte de los usuarios autorizados y deberán estar siempre respaldadas por una mo�vación suficiente que jus�fique los cambios o la carga de ficheros de información suministrados y debidamente registrados en los registros de entrada/salida, de acuerdo con los procedimientos establecidos.

(220). Se prohíbe realizar cualquier �po de actualización en Bases de Datos corpora�vas, masiva o puntual, sin la autorización previa del Responsable de Seguridad.

(221). CODEGEST sca informa que monitorizará el uso que los usuarios, internos y externos a la





organización, hagan de los recursos que CODEGEST sca ponga a disposición de dichos usuarios. En caso de observarse actuaciones ilícitas, abusivas o prohibidas, CODEGEST sca tomará las medidas disciplinarias y/o sancionadoras per�nentes, sin perjuicio de las denuncias ante las autoridades judiciales y/o policiales en caso de actuaciones que puedan resultar de su competencia. Esta monitorización tendrá en cuenta la legislación vigente sobre estas cues�ones.

27 USO ABUSIVO DE LOS SISTEMAS DE INFORMACIÓN.

(222). El uso de Internet, del correo electrónico y el acceso al resto de los servicios y sistemas de CODEGEST sca estará debidamente controlado para todos los usuarios. Si se hiciese un uso abusivo o inapropiado de estos servicios, CODEGEST sca podrá adoptar las medidas disciplinarias que considere oportunas, sin perjuicio de las acciones civiles o penales a las que hubiere lugar.

(223). Como uso abusivo o inapropiado se calificará el incumplimiento de las directrices de esta norma�va y del resto de polí�cas, norma�vas, procedimientos e instrucciones vigentes en CODEGEST sca.

28 MONITORIZACIÓN Y APLICACIÓN DE ESTA NORMATIVA

(224). CODEGEST sca, por mo�vos legales, de seguridad y de calidad del servicio, y cumpliendo en todo momento los requisitos que al efecto establece la legislación vigente.

a) Revisará periódicamente y a su criterio el estado de los equipos, el so�ware instalado, los disposi�vos y redes de comunicaciones de su responsabilidad.

b) Monitorizará los accesos a la información contenida en sus sistemas.

c) Auditará la seguridad de las credenciales y aplicaciones.

d) Monitorizará los servicios de internet, correo electrónico y otras herramientas de colaboración.

e) Registrará y auditará todas las ac�vidades de los usuarios, en todos los sistemas de información donde desarrollen su trabajo.

(225). La monitorización puede incluir videovigilancia, geolocalización y el uso de plataformas automa�zadas de análisis de ac�vidades en los equipos informá�cos y de comunicaciones propiedad de CODEGEST, y todas las evidencias recogidas por estos medios pueden ser u�lizadas en posibles procesos disciplinarios y/o legales que pudieran entablarse





(226). Los sistemas en los que se detecte un uso inadecuado o en los que no se cumplan los requisitos mínimos de seguridad, podrán ser bloqueados o suspendidos temporalmente. El servicio se restablecerá cuando la causa de su inseguridad o degradación desaparezca. El Responsable del Sistema , con la colaboración de las restantes unidades de CODEGEST sca, velará por el cumplimiento de la presente Norma�va General e informará al Responsable de Seguridad sobre los incumplimientos o deficiencias de seguridad observados, al objeto de que se tomen las medidas oportunas.

(227). El sistema que proporciona el servicio de correo electrónico podrá, de forma automa�zada, rechazar, bloquear o eliminar parte del contenido de los mensajes enviados o recibidos en los que se detecte algún problema de seguridad o de incumplimiento de la presente Norma�va. Se podrá insertar contenido adicional en los mensajes enviados con objeto de adver�r a los receptores de los mismos de los requisitos legales y de seguridad que deberán cumplir en relación con dichos correos.

(228). El sistema que proporciona el servicio de navegación podrá contar con filtros de acceso que bloqueen el acceso a páginas web con contenidos inadecuados, programas lúdicos de descarga masiva o páginas potencialmente inseguras o que contengan virus o código dañino. Igualmente, el sistema podrá registrar y dejar traza de las páginas a las que se ha accedido, así como del �empo de acceso, volumen y tamaño de los archivos descargados. El sistema permi�rá el establecimiento de controles que posibiliten detectar y no�ficar al Responsable de Seguridad sobre usos prolongados e indebidos del servicio.

29 ACTUALIZACIÓN DE LA NORMATIVA.

(229). Esta norma�va puede ser actualizada a criterio de CODEGEST sca cuando lo considere necesario, estando obligadas todas las personas que desarrollan su trabajo o interactúan con CODEGEST sca a cumplir las medidas vigentes en cada momento, sea cual sea su relación con la organización.

30 EXCEPCIONES A LA NORMATIVA.

(230). Las excepciones a la norma�va deberán solicitarse formalmente al Responsable de Seguridad, quien, tras su evaluación, otorgará su permiso o lo denegará mo�vadamente, habiendo realizado, si procede, consulta sobre viabilidad técnica al Responsable de Sistema.

(231). Sólo tras el permiso formal del Responsable de Seguridad podrán exceptuarse estas normas y las que se recogen en el resto de las norma�vas, procedimientos e instrucciones técnicas vigentes en CODEGEST sca.





(232). Las excepciones a la norma�va no pueden ser indefinidas. Su vigencia máxima es anual y, tras ese periodo, se revisarán por el Responsable de Seguridad para determinar su posible renovación o revocación, documentando su decisión.

31 INCUMPLIMIENTO DE LA NORMATIVA

(233). Todos los usuarios de CODEGEST sca están obligados a cumplir lo prescrito en la presente Norma�va General de U�lización de los Recursos y Sistemas de Información.

(234). En el supuesto de que un usuario no observe alguna de los preceptos señalados en la presente Norma�va General, sin perjuicio de las acciones disciplinarias y administra�vas que procedan y, en su caso, las responsabilidades legales correspondientes, se podrá acordar la suspensión temporal o defini�va del uso de los recursos informá�cos asignados a tal usuario.

(235). El incumplimiento de los requerimientos de esta Norma�va es considerado por CODEGEST sca como infracción MUY GRAVE.

32 ACEPTACIÓN Y OBLIGACIÓN DE CUMPLIMIENTO

(236). Todos los usuarios, internos y externos, de los recursos de CODEGEST sca deberán tener acceso permanente, durante el �empo de desempeño de sus funciones, a la presente Norma�va General de U�lización de los Recursos y Sistemas de Información, la cual están obligados a acatar en todos sus términos.





CODEGEST-NRS-GLB-001-Normativa general de uso de recursos ...

Documents

Transcript of CODEGEST-NRS-GLB-001-Normativa general de uso de recursos ...