Política de Seguridad de la Información Empresarial (a Nivel Estatal)

POLÍTICA DTS 5000-0002.1

Tipo de política: Empresa
Sección/Grupo: Seguridad
Autoridad: UCA 63F-1-103; UCA 63F-1-206; Código Administrativo de Utah R895-7 Uso Aceptable de Tecnología de la Información Recursos

Historial del documento

Envío original

Enviado el: NA
Enviado por: Boyd Webb, Director de Seguridad de la Información
Aprobado por: Michael Hussey, CIO
Fecha de emisión: NA
Fecha de entrada en vigor: 15 de mayo de 2015

Revisiones

Fecha de la última revisión: 03/10/2020
Última revisión por: Ben Mehr
Última aprobación por: Stephanie Weteling

Revisiones

Fecha de revisión: Julio de 2021
Última revisión por: Ben Mehr
Próxima revisión: Julio 2022

1.0 Propósito

Esta política proporciona la base para la política de seguridad empresarial de la División de Servicios Tecnológicos del Estado de Utah.

1.1 Antecedentes

Esta política se elaboró en respuesta a una auditoría externa exhaustiva en la que participaron todas las agencias del poder ejecutivo y la red institucional. La auditoría reveló deficiencias de seguridad que no se habían abordado adecuadamente en documentos anteriores de políticas y normas.
La Política de Seguridad de la Información de la Empresa desarrollará y establecerá controles esenciales y adecuados para minimizar los riesgos de seguridad; para cumplir con los requisitos de diligencia debida de conformidad con las regulaciones estatales y federales aplicables; para hacer cumplir las obligaciones contractuales; y para proteger la información electrónica y los activos de tecnología de la información del Estado de Utah.

1.2 Alcance

Esta política se aplica a todas las agencias y subunidades administrativas del gobierno estatal según se define en UCA §63F-1-102(7), y ss.

1.3 Excepciones

El Director de Información, o la persona designada, puede reconocer que, en circunstancias excepcionales, algunos asociados pueden necesitar emplear sistemas que no cumplan con estos objetivos de política. El Director de Información, o la persona designada por él, debe aprobar por escrito todas esas instancias.

1.4 Revisión anual

Para garantizar que esta política esté actualizada y sea efectiva, DTS revisará la política anualmente y hará los cambios que sean necesarios.

2.0 Definiciones

Políticas de la Agencia

Los departamentos y agencias bajo el Estado de Utah tienen la autoridad de establecer políticas internas relacionadas con los objetivos de seguridad de la información específicos del departamento o agencia. Las políticas de la Agencia deben ser compatibles con la Política de Seguridad de la Información de la Empresa, así como con las regulaciones legales federales y estatales.

Disponibilidad

Mantener el acceso de los usuarios a los datos sin interrupciones imprevistas.

Confidencialidad

El concepto de permitir que solo los usuarios y procesos autorizados accedan a los datos necesarios para sus funciones.La confidencialidad de los datos y de la información protegida es uno de los objetivos principales de la tríada de seguridad de la información, incluida la confidencialidad, la integridad y la disponibilidad.

Cifrado

Transformación criptográfica de datos (llamada “texto transparente”) en una forma (llamada “texto cifrado”) que oculta el significado original de los datos para evitar que sean conocidos o utilizados por una persona no autorizada. Si la transformación es reversible, el proceso de reversión correspondiente se denomina “descifrado”, que es una transformación que restaura los datos cifrados a su estado original.

Integridad

El principio de garantizar la integridad y precisión de los datos.

NIST

Instituto Nacional de Normas y Tecnologías

Evaluación de riesgos

Proceso mediante el cual se identifican los riesgos y se determina su impacto. Además, un proceso mediante el cual se puedan seleccionar medidas de seguridad y control eficaces en función de los costos equilibrando los costos de las diversas medidas de seguridad y control con las pérdidas que cabría esperar si no se aplicaran esas medidas.Política

3.0

3.1 Protección de medios

Resumen: Los sistemas de información capturan, procesan y almacenan información utilizando una amplia variedad de medios. Esta información se encuentra no solo en los medios de almacenamiento previstos, sino también en los dispositivos utilizados para crear, procesar o transmitir esta información. Estos medios de comunicación pueden requerir una disposición especial para mitigar el riesgo de divulgación no autorizada de información y garantizar su confidencialidad. La gestión eficiente y eficaz de la información creada, procesada y almacenada por un sistema de información a lo largo de su vida útil (desde su creación hasta su eliminación) es una de las principales preocupaciones de una estrategia de protección de los medios de comunicación.

Propósito: El Estado de Utah está obligado por la ley regulatoria federal y estatal a proporcionar una garantía razonable, en proporción a la confidencialidad de los datos, de que todos los medios digitales, impresos y otros no electrónicos (como microfilmes y cintas magnéticas) que contengan activos de información deben estar protegidos en todo momento del acceso no autorizado.

Objetivos de la política: El Estado de Utah, los Departamentos y Agencias deben: proteger los medios del sistema de información, tanto impresos como digitales; limitar el acceso a la información en los medios del sistema de información a los usuarios autorizados; y desinfecte o destruya los medios del sistema de información antes de desecharlos o liberarlos para reutilizarlos, de conformidad con el Instituto Nacional de Normas y Tecnología, Publicaciones Especiales 800-53 Rev4 MP1-6 (Apéndice F-MP, Página F-119), 800-88.

Los empleados solo deben usar medios cifrados de propiedad estatal al descargar datos estatales que contengan Información de Identificación Personal, Información de Salud Protegida, Información de Impuestos Federales o Servicios de Información de Justicia Penal, o cualquier otro dato confidencial a un dispositivo de medios extraíbles, como, entre otros, unidades USB, cintas, CD y DVD.

3.2 Control de acceso

Resumen: La mayoría de las organizaciones consideran que el control de acceso, de una forma u otra, es la piedra angular de sus programas de seguridad. Las diversas características de los mecanismos de control de acceso físico, técnico y administrativo trabajan en conjunto para construir la arquitectura de seguridad tan importante en la protección de los activos de información crítica y confidencial de una organización.

Propósito: La administración del acceso de los usuarios a la información electrónica es necesaria para aplicar los principios de privilegio mínimo y “necesidad de saber”, y debe administrarse para garantizar que se aplique el nivel adecuado de control de acceso para proteger el activo de información en cada aplicación o sistema.

Objetivos políticos: Los Departamentos y Agencias del Estado de Utah deben limitar el acceso al sistema de información a usuarios autorizados, procesos que actúan en nombre de usuarios autorizados o dispositivos (incluidos otros sistemas de información) y a los tipos de transacciones y funciones que los usuarios autorizados pueden ejercer, de acuerdo con el Instituto Nacional de Estándares y Tecnología, Publicaciones Especiales 800-53 Rev4 MP1-6 (Apéndice F-MP,Página F-119), 800-88. Además, solo los usuarios autorizados tendrán acceso administrativo a las estaciones de trabajo para descargar, instalar y ejecutar nuevas aplicaciones.

4.0 Cumplimiento de la política

Se espera que el Estado de Utah, los Departamentos y Agencias, los empleados y los contratistas cumplan con esta política de seguridad empresarial. Las políticas y normas adicionales elaboradas e implementadas por los Departamentos y Agencias estatales pueden incluir objetivos o detalles adicionales, pero deben ser compatibles con los objetivos de seguridad descritos en este documento de política.

5.0 Cumplimiento

Las personas que trabajan en cualquier Departamento o Agencia del Estado de Utah que se determine que han violado esta política pueden estar sujetas a sanciones legales según lo prescrito por el estatuto, la regla y/o la regulación estatal y/o federal.