Dispositivos de comunicación móvil

710.500 POLÍTICA SOBRE DISPOSITIVOS DE COMUNICACIÓN MÓVILES

Los dispositivos informáticos móviles son parte del equipamiento habitual en los entornos informáticos actuales. Sin embargo, la portabilidad que ofrecen estos dispositivos aumenta el riesgo de que la información almacenada o transmitida a través de ellos quede expuesta. El Wenatchee Valley College (WVC) permite el uso de dispositivos móviles personales con fines laborales, siempre y cuando dichos dispositivos cumplan las directrices que se indican a continuación.

A. OBJETIVO

El objetivo de esta política es establecer las mejores prácticas, los procedimientos y los protocolos para el uso seguro y responsable de los dispositivos móviles en las redes del Wenatchee Valley College. Esta política es necesaria para preservar la integridad, la disponibilidad y la confidencialidad de los datos de Wenatchee Valley College y sus redes de comunicaciones asociadas. Esta política aborda la privacidad, la conservación de registros y la gestión de la información estatal confidencial mediante la mejora de la seguridad y el establecimiento de la responsabilidad y la rendición de cuentas de los empleados en el uso de dispositivos móviles para acceder y transmitir datos de la universidad.

B. GENERAL

Todos los registros de comunicaciones, documentos, datos, fotografías, etc., utilizados para el desarrollo de las actividades de la universidad y generados a través de dispositivos de propiedad personal, están sujetos a los requisitos de conservación de registros y a las solicitudes de divulgación pública. Se podrá exigir al propietario de un dispositivo personal que entregue dicho dispositivo, incluida la información personal y la relacionada con la actividad profesional, si entra dentro del ámbito de aplicación de una solicitud en virtud de la Ley de Libertad de Información (FOIA) o de otros tipos de medidas de retención en el marco de un litigio.

C. ÁMBITO DE APLICACIÓN

Esta política se aplica a todos los dispositivos móviles que se conecten a cualquier red de datos del Wenatchee Valley College y a los servicios relacionados con el fin de llevar a cabo actividades comerciales legítimas.

Propiedad del centro: Esta política se aplica a todo el personal, el profesorado y los estudiantes que utilicen un dispositivo móvil propiedad del Wenatchee Valley College que se conecte a las redes de datos del Wenatchee Valley College, o que descargue o almacene datos procedentes de los sistemas y servicios de almacenamiento de datos del Wenatchee Valley College.
Dispositivos personales: Esta política se aplica al personal, al profesorado, a los estudiantes y a terceros del Wenatchee Valley College que utilicen dispositivos personales en los que se almacenen o transmitan datos del Wenatchee Valley College.

D. EXENCIONES

No hay excepciones a esta política, salvo por motivos comerciales justificados.

Requisitos para la concesión de exenciones:
1. Las aprobaciones de exenciones requieren la autorización del presidente, el vicepresidente, los decanos o la persona designada por el departamento.
2. Las exenciones se documentan y se revisan al menos una vez al año para comprobar su validez y pertinencia.

E. CUMPLIMIENTO

Los empleados que incumplan las normas podrán ser objeto de la inclusión de sus dispositivos personales en una lista negra, la pérdida de privilegios informáticos y medidas disciplinarias que pueden llegar a incluir el despido.

F. DISTRIBUCIÓN

Esta política debe distribuirse y estar fácilmente accesible para todos los empleados, estudiantes, contratistas, voluntarios, etc. del Wenatchee Valley College

Renombrado/revisado y aprobado por el gabinete del rector: 16/09/08, 06/01/09, 05/02/13, 18/10/22
Aprobado por el consejo de administración: 10/10/01, 19/11/08, 18/02/09, 20/02/13, 16/11/22
Última revisión: 16/11/22
Contacto de la política: Tecnología

Políticas, procedimientos y referencias relacionadas
1710.500 Procedimiento sobre dispositivos de comunicación móvil
Ley de Registros Públicos RCW 42.56
Oficina del Estado de Washington – Director de Información

1710.500 PROCEDIMIENTO PARA DISPOSITIVOS DE COMUNICACIÓN MÓVILES

A. GENERAL

Los dispositivos de comunicaciones móviles del Wenatchee Valley College (WVC), así como los contratos y servicios de telecomunicaciones asociados, son gestionados por el departamento de tecnología.

Los dispositivos móviles propiedad del Wenatchee Valley College o de uso personal que accedan a las redes de datos, sistemas, aplicaciones, servicios o repositorios de datos del WVC, alojados en los sistemas del centro o en servicios en la nube gestionados por el centro, o en servicios en la nube de terceros, se rigen por este procedimiento. Las aplicaciones, incluido el software y los servicios de almacenamiento en la nube, utilizadas por el personal en sus propios dispositivos personales también están sujetas a este procedimiento. Los dispositivos móviles adquiridos por Wenatchee Valley College se registrarán automáticamente en los servicios de inscripción de dispositivos móviles del departamento de tecnología de la universidad. Los dispositivos móviles personales que requieran acceso a los datos y redes de la universidad deben cumplir estos procedimientos.

Los siguientes procedimientos y protocolos generales se aplican al uso de todos los dispositivos móviles:

Todos los dispositivos móviles deben estar protegidos con una contraseña, un código PIN o un método biométrico (reconocimiento facial, huella dactilar) en el momento de su inscripción en los servicios de inscripción de dispositivos móviles de WVC y deben seguir estándolo mientras el dispositivo tenga acceso a los datos de WVC.
Las contraseñas y los códigos PIN de los dispositivos móviles deben cumplir los requisitos establecidos en la Política de control de acceso y contraseñas del Wenatchee Valley College.
Todos los datos de la universidad almacenados en dispositivos móviles deberán estar encriptados.
Todos los dispositivos móviles utilizarán los estándares de cifrado inalámbrico más seguros; se aplicarán protocolos de seguridad y de acceso en todas las conexiones a redes inalámbricas.
Todos los usuarios de dispositivos móviles deberán abstenerse de utilizar conexiones de red públicas o no seguras para transmitir o recibir datos de la universidad. Todos los dispositivos móviles utilizados para conectarse a las redes de la universidad deberán estar registrados con la función de gestión de dispositivos móviles (MDM) correspondiente, aprobada por el Departamento de Tecnología de WVC.
Todos los dispositivos informáticos móviles que accedan a las redes de WVC deberán tener instalado un software de protección antivirus y antimalware, así como un cortafuegos, que estén activos y actualizados.
Todos los dispositivos móviles deberán tener activados los servicios de localización. Todos los dispositivos móviles perdidos, robados, destruidos o comprometidos, así como aquellos que hayan sido identificados como una amenaza para las redes o los datos de WVC, perderán el acceso a los datos y las redes de la universidad.
1. Pérdida temporal: el dispositivo debe repararse y cumplir los requisitos básicos de estado.
2. Pérdida definitiva: cese de un empleado, evaluación de la gestión de riesgos u otras circunstancias.
El Departamento de Tecnología de WVC se reserva el derecho de bloquear el acceso a cualquier dispositivo sin previo aviso al propietario del dispositivo.
Todos los dispositivos móviles y aplicaciones deberán mantenerse actualizados.
Las actualizaciones del sistema operativo y de las aplicaciones deberán instalarse en un plazo de 30 días a partir de su lanzamiento.

B. RESPONSABILIDADES DEL DISPOSITIVO DEL USUARIO

Todos los usuarios de dispositivos móviles deberán cumplir los siguientes procedimientos y requisitos: :

Los empleados del WVC deberán comunicar inmediatamente cualquier dispositivo perdido, robado, destruido o cuya seguridad se haya visto comprometida de cualquier manera o forma al servicio de asistencia de Tecnología de la Información (TI) del Wenatchee Valley College.
Envíe un correo electrónico al servicio de asistencia informática a helpdesk@wvc.edu o llame al 509-682-6550 si necesita ayuda
Cualquier acceso no autorizado a un dispositivo móvil propiedad de la universidad o de uso personal, o cualquier acceso no autorizado a los datos de la universidad, debe comunicarse inmediatamente al servicio de asistencia técnica de TI de WVC.
Los dispositivos móviles personales no deberán estar «rooteados» ni «liberados», ni tener instalado ningún software o firmware que pueda suponer un riesgo para los datos de la universidad almacenados en el dispositivo.
Los usuarios no deberán descargar contenidos ilegales ni software pirateado en ningún dispositivo móvil que acceda a las redes o los datos de la universidad.
En los dispositivos móviles propiedad de la universidad solo se permiten las aplicaciones aprobadas por el departamento de TI de WVC.
Las aplicaciones proporcionadas o aprobadas por la universidad se actualizarán periódicamente de acuerdo con las políticas y normas de TI de WVC.
Se aplicarán los parámetros de referencia de seguridad de los dispositivos a todos los dispositivos.
Los usuarios deberán utilizar los sistemas o servicios de intercambio de datos aprobados por WVC al enviar o recibir datos de WVC.
Los usuarios son responsables de asegurarse de que todos los archivos importantes almacenados en los dispositivos móviles se copien de seguridad periódicamente.
Los usuarios no deberán modificar ni intentar modificar las configuraciones sin la autorización expresa por escrito del personal de WVC Technology.

C. RESPONSABILIDADES ADMINISTRATIVAS

El personal del Departamento de Tecnología del Wenatchee Valley College y/o los Servicios de Gestión de Dispositivos Móviles, o la persona que estos designen, son responsables de lo siguiente:

Asegúrese de que los datos personales de los empleados y alumnos estén protegidos en todo momento.
Se reserva el derecho a bloquear los dispositivos personales que se considere que suponen una amenaza para las redes, los servicios y los datos de la universidad, hasta que el propietario del dispositivo subsane la situación, o que incumplan los requisitos relativos a los dispositivos móviles.
Se reserva el derecho a bloquear de forma permanente un dispositivo personal si las medidas correctivas adoptadas por el propietario no son satisfactorias o no se aplican a tiempo, o si el personal técnico determina que el dispositivo sigue representando una amenaza para la seguridad de las redes y los datos de la universidad.
Se utilizará software de movilidad empresarial para la gestión de dispositivos móviles (MDM) con el fin de aplicar normas y configuraciones de seguridad comunes en dispositivos tales como:
1. Bloqueo automático con obligación de introducir un PIN o una contraseña.
2. Aplicación de requisitos de complejidad para los códigos PIN y las contraseñas.
3. Se ha activado el borrado remoto para bloquear o borrar un dispositivo perdido o robado.
4. Borrado completo de los dispositivos propiedad de la universidad cuando un empleado deja la empresa.
5. Borrado parcial en dispositivos personales (datos de la universidad, es decir, correo electrónico, chats de Teams, etc.).
6. Exigir el uso de protocolos de comunicación seguros.
7. Asegúrate de que las aplicaciones propiedad de la universidad se mantengan y estén actualizadas.
8. Aislamiento de aplicaciones.
9. Geovallas.
10. Pautas básicas sobre el estado y la seguridad de los dispositivos.
Se definirán ajustes de configuración específicos para el software de protección contra malware con el fin de garantizar que dicho software no pueda ser modificado por los usuarios de dispositivos móviles y/o de propiedad de los empleados .
Se imparte formación anual en materia de seguridad a los usuarios de dispositivos móviles. El contenido y la forma de dicha formación serán determinados por el Wenatchee Valley College o la entidad que este designe. Se enviarán recordatorios periódicos sobre seguridad para reforzar los procedimientos de seguridad de los dispositivos móviles y otras buenas prácticas.
El software de gestión de dispositivos móviles se utiliza para gestionar riesgos, limitar los problemas de seguridad y reducir los costes y los riesgos empresariales relacionados con los dispositivos móviles. El software deberá incluir la capacidad de realizar inventarios, supervisar (por ejemplo, la instalación de aplicaciones), emitir alertas (por ejemplo, contraseñas desactivadas, categorizar sistemas operativos y software del sistema, dispositivos rooteados), y generar diversos informes (por ejemplo, aplicaciones instaladas, operadores).
El software de gestión de dispositivos móviles deberá incluir la capacidad de distribuir aplicaciones, datos y ajustes de configuración globales a grupos y categorías de dispositivos.
Realizar revisiones anuales, como mínimo, y actualizaciones de las normas y procedimientos de seguridad que se aplican a los dispositivos informáticos móviles.
Establecer procedimientos, flujos de trabajo y memorandos de entendimiento para gestionar y documentar las solicitudes de exenciones y excepciones a estos procedimientos.
El software de gestión de dispositivos móviles deberá bloquear el acceso al dispositivo cuando un empleado cese en su cargo y borrar todos los datos del dispositivo o dispositivos.
Implementar procesos y medidas técnicas para limitar y controlar estrictamente el acceso a los datos confidenciales que se transfieren desde y hacia los dispositivos informáticos móviles.

D. CONTROLES DE AUDITORÍA Y GESTIÓN

Los procedimientos documentados y las pruebas de las prácticas estarán disponibles previa solicitud para este procedimiento y se podrán consultar en la página web de políticas y procedimientos de WVC. Entre los ejemplos satisfactorios de pruebas y cumplimiento se incluyen:
1. Comprobaciones puntuales trimestrales documentadas de los usuarios para verificar el cumplimiento de las políticas de uso de dispositivos móviles.
2. Procedimientos y normas fácilmente accesibles para el uso de dispositivos móviles por parte del personal.
3. Directrices y procedimientos de configuración y asistencia técnica para dispositivos móviles.
4. Los registros de comunicación y de los dispositivos de las unidades conectadas demuestran que se han establecido los protocolos adecuados de gestión, cumplimiento y supervisión.
5. Documentos anecdóticos y de archivo que demuestran la aplicación habitual del procedimiento.

Aprobado por el gabinete del presidente: 16/9/08, 6/1/09, 5/2/13, 25/4/23
Última revisión: 25/4/23
Contacto para el procedimiento: Tecnología

Políticas y procedimientos relacionados

710.500 Política sobre dispositivos de comunicación móvil
Política de acceso y contraseñas