Programa de seguridad de la información

Procedimiento administrativo 7.106

Resumen

Para ejercer el debido cuidado en la protección de la información confidencial y sensible dentro de Elgin Community College, el Departamento de Tecnología de la Información ha compuesto este Programa de Seguridad de la Información.  

La protección de la información confidencial y sensible es una responsabilidad compartida por todos los representantes de Elgin Community College. Este procedimiento administrativo define las funciones clave dentro de Elgin Community College y las responsabilidades compartidas por todos los representantes de Elgin Community College en la protección de la información confidencial y sensible de la divulgación no autorizada y el robo de identidad. Este procedimiento administrativo presenta las mejores prácticas para el manejo seguro de la información y un plan para cualquier pérdida, divulgación no autorizada u otro Incidente de Seguridad de la Información. También discute los métodos que deben utilizarse para verificar la identidad y autorización de cualquier titular de una cuenta en un sistema de datos propiedad de Elgin Community College. Esto incluye, pero no se limita a, las cuentas relacionadas con Ayuda Financiera, Servicios Estudiantiles, Registro, Tecnología de la Información, Recursos Humanos, Negocios y Finanzas, o cualquier otra área dentro del Colegio.

Como complemento a este documento, también debe revisarse el Procedimiento Administrativo 3.407 titulado "Programa de Prevención de Robo de Identidad de Bandera Roja". Este documento discute comportamientos sospechosos que pueden levantar "banderas rojas" en lo que se refiere al robo de identidad. Identificar y responder a estas "banderas rojas" permite a los representantes de Elgin Community College identificar comportamientos potencialmente maliciosos y, en última instancia, proteger la identidad de una persona u otros datos de Elgin Community College.

Índice

1. Propósito

 3
2. Alcance 3

3. Definiciones

 3
4. Roles y responsabilidades 5

5. Directrices para el manejo de la información

6

6. Planificar la pérdida o el incidente de seguridad de la información

11

7. Verificación de identidad y cuenta

 12

8. Supervisión del proveedor de servicios

 13

9. Software como servicio (SAAS) y otros sistemas en la nube

 13

1. Propósito

La protección de los activos de información confidenciales y sensibles y los recursos que los apoyan es fundamental para el funcionamiento de Elgin Community College. A medida que se manejan los activos de información, dondequiera que residan, en las instalaciones o en la nube, se ponen en riesgo de amenazas potenciales, tales como errores de los empleados, acciones maliciosas o criminales, ataques cibernéticos, robo, fraude y divulgación no autorizada. Tales acontecimientos podrían causar daños a la reputación de Elgin Community College, la divulgación de información confidencial o privada, y posiblemente sufrir daños financieros, multas y sanciones.

El propósito de este procedimiento administrativo es reducir el riesgo de pérdida, incidentes de Seguridad de la Información, o divulgación de información confidencial y sensible a través de controles de seguridad diseñados para detectar, prevenir y mitigar la pérdida debido a errores o comportamiento malicioso. Elgin Community College reconoce que la seguridad absoluta contra todas las amenazas es una expectativa poco realista, pero estos controles de seguridad ayudarán a reducir el riesgo a un nivel aceptable.  

Estas directrices se derivan de una evaluación de riesgos de los métodos existentes en Elgin Community College para el manejo de información confidencial y sensible y la incorporación de las mejores prácticas actuales de la industria. La determinación de las medidas de seguridad adecuadas debe formar parte de todas las operaciones y se someterá a una evaluación periódica.

2. Alcance 

El Procedimiento Administrativo 7.106 se aplica a los empleados de Elgin Community College, incluidos los profesores, el personal de apoyo, el personal administrativo, los trabajadores estudiantiles, los proveedores, los trabajadores autónomos y otros agentes que puedan entrar en contacto con información confidencial y delicada. También se aplica a todas las partes, como contratistas, consultores, trabajadores temporales y personal de terceros afiliados.

3. Definiciones 

Cuenta 

Una cuenta es un conjunto de información o un registro de un individuo, grupo o entidad que mantiene transacciones de forma continua con otro individuo, grupo o entidad. Los términos cuentas y registros se utilizan indistintamente porque comparten funciones y características similares. Ambos contienen información identificable sobre un individuo, grupo o entidad, y cada uno permite el acceso a productos o servicios y mantiene un historial de actividad de transacciones.

Clasificación de datos  

Todos los datos propiedad de Elgin Community College pueden clasificarse en función de la importancia y el nivel de los controles necesarios para protegerlos. Los niveles adecuados de protección son necesarios tanto si los datos residen en una copia impresa como en formatos electrónicos.

  1. Públicos - Este tipo de datos requiere el nivel más bajo de protección (en realidad, ninguno) y se pueden distribuir libremente. Algunos ejemplos son los elementos que se encuentran en la parte pública del sitio web de la universidad, las nuevas publicaciones (una vez publicadas), los catálogos de cursos, etc.
  2. Interna - Este tipo de datos requiere cierta protección, pero debe considerarse libremente distribuible a todos dentro de Elgin Community College. Entre los ejemplos se incluye cualquier información que pueda estar protegida detrás de los portales de empleados o estudiantes. Aunque nos gustaría distinguir entre los datos internos de los empleados y los datos internos de los estudiantes, por lo que los datos que se consideran datos internos de los empleados serían de libre distribución a todos los empleados, pero no a los estudiantes o al mundo.
  3. Información confidencial y sensible (CSI)

La información confidencial y sensible requiere la máxima protección. Este tipo de datos sólo pueden distribuirse libremente a personas, departamentos u otros grupos restringidos autorizados. Los datos CSI incluyen, entre otros, los siguientes ejemplos:

Información personal Información financiera Información médica Información comercial
  • Número de la Seguridad Social
    ;
  • Fecha de nacimiento;
  • Nombre de soltera de la madre
  • Permiso de conducir
    Información;
  • Información sobre la nómina; y
  • Pasaporte
    Información 
  • Números de tarjeta de crédito;
  • Fechas de caducidad de la tarjeta de crédito
    ;
  • Tarjeta de crédito CCV
    Números;
  • Banco/Unión de crédito
  • Números de cuenta;
  • Informes de crédito;
  • Información de facturación; y
  • Historial de pagos 
  • Historiales médicos;
  • Nombres de médicos y
  • Reclamaciones;
  • Información sobre pólizas de seguro de enfermedad, vida e incapacidad
    ;
    y
  • Información sobre la prescripción 
  • Números de identificación federal;
  • Información de propiedad
    ;
  • Secretos comerciales;
  • Sistemas universitarios;
  • Sistemas de seguridad;
  • Identificadores de empleados;
  • Números de acceso / Contraseñas;
  • Identificadores de clientes;
  • Números de proveedor; y
  • Números de cuenta 

Formato electrónico y en papel

El formato electrónico o de copia electrónica se refiere a cualquier información confidencial y sensible que exista electrónicamente en la nube, CD, DVD, cintas de copia de seguridad, teléfonos móviles, sistemas de buzón de voz, unidades informáticas locales, unidades de red y dispositivos portátiles, incluidos, entre otros, las unidades de memoria USB, las unidades flash y los reproductores de mp3.

Formato impreso

El formato impreso se refiere a cualquier información confidencial y sensible que exista físicamente en papel.

Zona de acceso físico

Una zona de acceso físico es un límite físico o implícito claramente definido establecido por Elgin Community College para controlar y limitar el acceso a áreas que contienen información confidencial y sensible.

Gabinete del Presidente

El colectivo de funcionarios que dependen directamente del Presidente.

Banderas rojas

Las banderas rojas son pautas, prácticas y actividades específicas relacionadas con las cuentas cubiertas que indican un posible riesgo de usurpación de identidad. (Véase el procedimiento administrativo 3.407, Programa de prevención de la usurpación de identidad con banderas rojas).

Proveedor de servicios

Un proveedor de servicios es un individuo, grupo o entidad que presta directamente un servicio a Elgin Community College o en nombre de Elgin Community College para sus clientes.

Palabra hablada

La palabra hablada se refiere a la transferencia de información confidencial y sensible, ya sea de forma verbal o audible a través de medios electrónicos.

Almacenamiento en la nube

El almacenamiento en la nube se refiere a cualquier servicio externo no autorizado, alojado, utilizado para almacenar datos. Este servicio puede proporcionar sincronización automática de datos. Ejemplos de estos servicios son Dropbox, Google Drive, Microsoft OneDrive.

Sistemas basados en la nube

Sistemas que funcionan en la nube. Algunos ejemplos son eTime, D2L y Salesforce.

4. Roles y responsabilidades

Gabinete del Presidente

El Gabinete del Presidente es responsable del diseño, implementación y supervisión del Programa de Seguridad de la Información. Dado que no es factible que el Gabinete se implique directamente en estas responsabilidades, La Dirección de Operaciones de Seguridad de la Red y de la Información, bajo la dirección del Director de Información (CIO), asumirá esta responsabilidad. La Dirección General de Operaciones de Seguridad de las Redes y de la Información designada deberá informar al menos una vez al año al Gabinete del Presidente sobre el estado del Programa de Seguridad de la Información.

La Dirección de Operaciones de Seguridad de Redes e Información

La Dirección de Operaciones de Seguridad de la Red y de la Información es responsable de realizar evaluaciones periódicas de los riesgos de los métodos de tratamiento de la información confidencial y sensible; diseñar procedimientos y directrices administrativos más específicos o nuevos, según sea necesario; coordinar la formación de todos los empleados de forma periódica y continua; evaluar los procedimientos y procesos administrativos; colaborar con los supervisores para adoptar medidas disciplinarias con los empleados, y crear un plan de respuesta a los incidentes de seguridad de la información. El Managing La Dirección of Network & Information Security Operations dependerá del Chief Information Officer. La Dirección de Operaciones de Seguridad de la Red y de la Información asumirá el liderazgo en cualquier incidente de seguridad de la información (incluida la bandera roja). Será responsable de revisar todos los informes relativos a la detección de incidentes de seguridad de la información, los pasos para mitigar el suceso y los pasos necesarios para prevenir futuros incidentes y para revisar y mejorar el programa general de seguridad de la información.

Empleados

Todo el personal es responsable de adherirse a estas directrices y de informar inmediatamente de cualquier incidente de seguridad de la información a La Dirección de Operaciones de Seguridad de la Red y de la Información (véase la sección 2 titulada "Ámbito de aplicación").

Proveedores de servicios

Por razones de seguridad, el nivel de responsabilidad atribuido a los proveedores de servicios depende del alcance de su oferta de servicios. Cada uno será responsable en función de su acceso directo o indirecto a la información. En cualquier caso, los proveedores de servicios serán responsables de su conducta, y los acuerdos deben delimitar dónde termina la responsabilidad de Elgin Community College y dónde comienza la responsabilidad del proveedor de servicios.

  • Acceso directo a la información: Se considera que un proveedor de servicios tiene acceso directo a la información cuando realiza una actividad con información confidencial y sensible (CSI) en nombre de Elgin Community College. Si se comparte información, el proveedor de servicios debe tener una Política de Seguridad de la Información que cumpla o supere la nuestra y/o debe firmar el Acuerdo de No Divulgación de ECC.
  • Acceso indirecto a la información: Un proveedor de servicios recibe un trato diferente cuando tiene acceso indirecto a la información. Se trata de proveedores de servicios que trabajan en la proximidad de información confidencial y sensible de la institución, pero su función no implica compartir información. En este tipo de relación, el proveedor de servicios debe cumplir con este Procedimiento de Seguridad de la Información.

5. Directrices para el manejo de la información

Las siguientes directrices de tratamiento de la información cubren cuestiones relacionadas con la recogida, conservación, transferencia y destrucción de información confidencial y sensible de datos propiedad de Elgin Community College.

A. Zonas de acceso físico

Elgin Community College establecerá, mantendrá y hará cumplir zonas de acceso físico en todas sus instalaciones para controlar y limitar el acceso a áreas que contengan información confidencial y sensible. Hay tres tipos de zonas, cada una con diferentes requisitos de acceso como sigue:

Zonas públicas: Las zonas públicas son áreas públicas de baja prioridad a las que todo el mundo tiene acceso. Solo los datos con una clasificación de público deben estar disponibles dentro de esta zona.

Zonas no públicas: Las zonas no públicas son áreas operativas o de procesamiento de información de prioridad moderada. Todos los empleados están autorizados en estas zonas. Los proveedores de servicios, clientes y visitantes deben ir acompañados de un empleado. Esta zona puede incluir información clasificada como interna o pública. Por ejemplo, la Oficina Comercial y Financiera, las oficinas de asesoramiento, etc. En general, cualquier zona a la que no queramos que el público o los estudiantes tengan libre acceso.

Zonas restringidas: Las zonas restringidas son áreas de alta prioridad que contienen información privilegiada, almacenamiento de registros o bases de datos. El acceso está limitado a los empleados autorizados que tengan una necesidad inmediata de esta información. Todos los demás deben estar identificados, verificados y acompañados en todo momento. Esta zona puede contener datos de cualquier tipo de clasificación. Por ejemplo, Centros de Datos, Cuentas de Estudiantes, Oficina de Nóminas, etc.

B. Auditorías de seguridad de la información

Con la aprobación del Director de Información (CIO), La Dirección de Operaciones de Seguridad de Redes e Información está autorizada a realizar y/o coordinar auditorías de seguridad de cualquier área que contenga cualquier clasificación de datos. Estas auditorías pueden ocurrir en cualquier momento en coordinación con el jefe de departamento para garantizar la seguridad de la información de Elgin Community College.

C. Almacenamiento de información

El almacenamiento de información confidencial y sensible es una función normal de la realización de operaciones en Elgin Community College. Los representantes del Colegio sólo almacenarán esta información para necesidades legítimas del Colegio y cuando esté relacionada con sus responsabilidades laborales. Si la información es más adecuado para ser almacenados en otro departamento, el individuo debe comprobar para asegurarse de que los datos duplicados no se está almacenando.

Almacenamiento in situ de copias impresas

El almacenamiento in situ se refiere directamente a la información confidencial y sensible almacenada dentro de cualquier instalación de Elgin Community College.

  • Pertenencias personales de los empleados: Se recomienda que el personal de Elgin Community College asegure sus pertenencias personales. Los empleados son responsables de mantener seguros sus artículos personales durante las horas de trabajo.
  • Almacenamiento en el espacio de trabajo: La información confidencial y sensible almacenada en una oficina, cubículo, área de recepción, caja registradora u otros espacios de trabajo debe guardarse en escritorios, gabinetes, armarios o casilleros cerrados con llave cuando no estén en uso.
  • Archivos y cuartos de almacenamiento: Las puertas de los archivos y cuartos de almacenamiento deben estar cerradas con llave cuando no estén atendidas por personal autorizado.
  • Almacenamiento de registros: Los registros solo se almacenarán cuando exista una necesidad comercial legítima. Cualquier registro almacenado más allá del plazo de prescripción legal será eliminado adecuadamente por los empleados designados. Consulte el Procedimiento administrativo 3.102 titulado, “Retención y eliminación de registros”.

Almacenamiento externo

Por almacenamiento fuera de las instalaciones se entiende cualquier lugar en el que se almacene información confidencial y delicada fuera de las instalaciones designadas de Elgin Community College.

  • Instalaciones de almacenamiento autorizadas: La Dirección información confidencial y sensible sólo podrá almacenarse en instalaciones autorizadas por La Dirección de Operaciones de Seguridad de Redes e Información.
  • Proveedores de servicios de almacenamiento: Todos los proveedores de servicios de almacenamiento deben cumplir las políticas de supervisión de proveedores de servicios de este Procedimiento Administrativo.

Almacenamiento de copias en papel

Representantes de la universidad sólo almacenará información confidencial y sensible en Elgin Community College autorizado ordenadores, telecomunicaciones, u otros dispositivos electrónicos. Una lista de equipos aprobados será mantenida por el Colegio de Gestión de La Dirección de Operaciones de Seguridad de la Red y de la Información.

  • Respaldo de datos: El departamento de tecnología de la información actualmente realiza copias de seguridad de los datos que se encuentran en los servidores, en las carpetas de archivos compartidos de la red y dentro de las carpetas "Mis documentos" de los usuarios. Actualmente, no se realiza copia de seguridad de los datos almacenados en unidades locales (c:, d: u otros medios extraíbles), así como en el escritorio de los usuarios. Los archivos en estas ubicaciones no se pueden recuperar si hay un incidente.
  • Cifrado: Toda la información confidencial y delicada almacenada en dispositivos electrónicos portátiles, o transmitida electrónicamente, debe estar cifrada.
  • Dispositivos electrónicos portátiles: Los dispositivos electrónicos portátiles aprobados por La Dirección de Operaciones de Seguridad de la Red y de la Información deben ser autorizados por el supervisor del individuo y asegurados cuando no estén en uso. La seguridad física de estos dispositivos es responsabilidad del usuario autorizado. De acuerdo con el Formulario de Solicitud de Dispositivo Móvil Personal y Declaración del Empleado, Elgin Community College se reserva el derecho de borrar remotamente el dispositivo en caso de pérdida o robo.
  • Almacenamiento en la nube: Está prohibido guardar información confidencial y sensible en los servicios de almacenamiento en la nube a menos que el sistema haya sido aprobado por el Departamento de TI.

D. Destrucción de información

Toda la información confidencial y sensible que ya no necesite ser almacenada será destruida. Véase el Procedimiento Administrativo 3.102 titulado "Conservación y eliminación de documentos".

Destrucción de copias impresas

  • Destrucción interna: El material en papel que se va a destruir se mantendrá en cajas cerradas y seguras etiquetadas como “Material Confidencial para Triturar.”
  • Proveedores de servicios de destrucción: Todos los proveedores de servicios de destrucción deben cumplir con las políticas de supervisión de proveedores de servicios en este Procedimiento Administrativo. Todos los proveedores de servicios de destrucción deben estar certificados por la Asociación Nacional de Destrucción de Información, Inc. (NAID, Inc.) y deben proporcionar a Elgin Community College un certificado de destrucción cada vez que se les entregue material para su destrucción.

Destrucción de copias en papel

Todos los ordenadores, equipos de telecomunicaciones o dispositivos electrónicos que ya no sean de utilidad para el Colegio y que contengan o hayan contenido información confidencial y sensible, deben ser limpiados de datos antes de su venta, donación o eliminación. Sólo los miembros del departamento de Tecnologías de la Información están designados para esta función.

E. Transferibilidad de información confidencial y sensible

  • Transferencia verbal: Los representantes del Colegio deben identificar y verificar a las personas que llaman como agentes autorizados antes de divulgar cualquier información confidencial y sensible por teléfono. Los representantes de la universidad no pueden divulgar ninguna información confidencial y sensible a un tercero a menos que el tercero haya sido previamente autorizado por escrito por el propietario de la información. Los representantes del Colegio sólo podrán discutir información confidencial y sensible con personas autorizadas por Elgin Community College, que necesiten conocerla, para un propósito legítimo. Bajo ninguna circunstancia se permite a un representante del Colegio dejar información confidencial y sensible en un contestador automático o sistema de buzón de voz.
  • Traslado de copias impresas: Los representantes del Colegio deberán mantener los escritorios y espacios de trabajo libres de información confidencial y sensible cuando no estén en uso. Los representantes del colegio no deben imprimir, fijar o dar a conocer ninguna información confidencial y sensible en ningún tablero de borrado en seco, pizarra o tablón de anuncios en áreas públicas o de operaciones. Las pizarras de borrado en seco y las pizarras de tiza deben limpiarse después de cada uso. Cuando sea necesaria una transferencia externa, la información confidencial y sensible se transportará de un lugar externo a otro de forma segura (por ejemplo, en el maletero cerrado de un vehículo). Cuando sea necesario un traslado externo de información confidencial y sensible, se informará a La Dirección de Operaciones de Seguridad de Redes e Información y se llevará un inventario de la información confidencial y sensible que se traslada.
  • Facsímiles (FAX): Es posible que las máquinas de fax no estén ubicadas físicamente en un área pública. Cada fax saliente debe contener una carátula con los nombres del remitente y del destinatario. Cada carátula contendrá la Declaración de Información Confidencial y Sensible de Elgin Community College. Los representantes del College que envíen un FAX que contenga información confidencial y sensible notificarán al destinatario que se está enviando el FAX. Cualquier información confidencial y sensible innecesaria debe enmascararse o eliminarse antes de enviar el fax.
  • Transferencia de copias electrónicas: Es posible que la información del Colegio considerada confidencial o sensible pueda residir en formato de copia blanda (electrónica) en dispositivos personales como unidades de memoria USB. Cualquier dispositivo personal que se pierda o sea robado debe ser comunicado inmediatamente a La Dirección de Operaciones de Seguridad de la Red y de la Información.
  • Transferencia electrónica: Todos los datos de ECC transferidos a entidades externas deben utilizar un protocolo encriptado como SSH, SFTP o TLS.
  • Transferencia por correo electrónico: Cualquier correo electrónico saliente que contenga información confidencial y delicada debe estar encriptado. Los representantes de la universidad no responderán a los correos electrónicos que soliciten información confidencial y delicada a menos que primero se pongan en contacto con el remitente y verifiquen que el remitente está autorizado a tener la información solicitada.
  • Traslado de dispositivos electrónicos portátiles: Los dispositivos electrónicos portátiles deben estar protegidos cuando se transporten de un lugar a otro. La seguridad física de estos dispositivos es responsabilidad del usuario autorizado y, en caso de pérdida, debe comunicarse inmediatamente a La Dirección de Operaciones de Seguridad de Redes e Información.

F. Accesibilidad de la información

Accesibilidad de las copias impresas

  • Entradas y salidas: Todas las entradas y salidas de las instalaciones que se determine que no son para uso público permanecerán cerradas con llave en todo momento, de acuerdo con el código de incendios.
  • Accesibilidad al correo: El correo debe guardarse en un área segura hasta que lo solicite el cartero o lo reciba internamente el destinatario previsto.
  • Equipo de Vigilancia: Elgin Community College se reserva el derecho de utilizar cámaras y otros equipos de vigilancia para monitorear todas las áreas públicas, de operaciones y restringidas.
  • Autorización del empleado: Cada representante de la universidad pasará por una verificación de antecedentes y un proceso de selección realizado por Recursos Humanos antes de ser autorizado a manejar información confidencial y delicada. Los representantes de la universidad solo manejarán información confidencial y delicada para las operaciones legítimas de la universidad cuando se requiera el conocimiento y sea una función directa de la descripción de su puesto. Póngase en contacto con Recursos Humanos para obtener más información sobre este proceso.
  • Accesibilidad de los proveedores de servicios: Los proveedores de servicios sólo manejarán información confidencial y sensible para un propósito comercial legítimo cuando sea una función directa de sus responsabilidades laborales según lo establecido en sus acuerdos de proveedor de servicios. Si durante un encargo se encuentra accidentalmente información confidencial y sensible, el proveedor de servicios deberá ponerse en contacto con La Dirección de Operaciones de Seguridad de la Red y de la Información del Colegio, y el incidente deberá quedar registrado.

Accesibilidad de la copia electrónica

  • Auditorías del sistema tecnológico: Elgin Community College llevará a cabo auditorías periódicas del sistema de tecnología para probar la integridad y seguridad de los sistemas de tecnología de la información, según sea necesario, pero al menos una vez al año.
  • Inicio y cierre de sesión: Solo las personas autorizadas pueden iniciar sesión en las redes y equipos de Elgin Community College. Se requiere que todas las personas cierren sesión o bloqueen sus dispositivos cuando no estén en uso.
  • Contraseñas: Los empleados deberán usar contraseñas seguras que contengan una combinación de números, letras y caracteres. Las contraseñas deben cambiarse al menos una vez cada ciento ochenta (180) días. Consulte el Procedimiento Administrativo 7.102 titulado, “Política de contraseñas” para obtener más detalles".
  • Acceso remoto: El acceso remoto a las redes de Elgin Community College debe ser aprobado por escrito por la administración y realizarse con recursos autorizados. Consulte el Procedimiento administrativo 7.105 titulado “Acceso remoto” para obtener más detalles.

6. Planificar la pérdida o el incidente de seguridad de la información

A. Descubrimiento de un Incidente de Seguridad de la Información/Incidente de Bandera Roja en la Escuela Superior

Si se descubre un Incidente de Seguridad de la Información/Incidente de Bandera Roja que involucre información confidencial y sensible, abandone el área tal como la encontró y notifique inmediatamente a su supervisor o a La Dirección de Operaciones de Seguridad de Redes e Información. El incidente debe documentarse utilizando un Informe de Actividad Sospechosa (SAR) y debe ser conservado por la La Dirección de Operaciones de Seguridad de la Red y de la Información. La información que debe recopilarse incluye los registros de visitas, las hojas de asistencia de los empleados y los nombres de todas las personas que tuvieron acceso antes, durante y después del incidente. Queda a discreción de La Dirección de Operaciones de Seguridad de Redes e Información determinar si ha habido o no pérdida de datos y, en caso afirmativo, identificar el impacto potencial del incidente. En este punto, se contactará con los Departamentos Jurídico, de Marketing/Comunicaciones y de Policía, además de con las posibles víctimas, de acuerdo con los estatutos legales.

B. Descubrimiento de un incidente de seguridad de la información mediante acusación

Si se descubre un incidente de seguridad de la información confidencial y sensible a través de una acusación, sea comprensivo con la posible víctima mientras documenta el posible incidente utilizando un Informe de Actividad Sospechosa (SAR). No confirme ni niegue sus acusaciones y asegúrese de documentar la información de contacto del acusador. Infórmeles de que La Dirección de Operaciones de Seguridad de la Red y de la Información o el jefe de departamento se pondrán en contacto con ellos después de revisar la información documentada.

En este punto, La Dirección de Operaciones de Seguridad de la Red y de la Información puede entrevistar a cualquier testigo, revisar el Informe de Actividad Sospechosa (SAR) y/o ponerse en contacto con la víctima potencial para verificar su historia y asegurarle que se investigará. Si se confirma la existencia de un incidente de seguridad de la información, se determinará el alcance del impacto. En este punto, se contactará con los Departamentos Jurídico, de Marketing/Comunicaciones y de Policía, además de con las posibles víctimas, de acuerdo con los estatutos legales.

7. Verificación de identidad y cuenta

A. Identificación y verificación de transacciones financieras

Elgin Community College requiere que los representantes de la universidad verifiquen los medios adecuados de identificación de una persona antes de que puedan realizar transacciones comerciales con un cheque, tarjeta de crédito o tarjeta de débito en nombre de sí mismos, un grupo o una entidad.

Transacciones con cheques personales o de empresa: Los representantes del colegio no deben aceptar un cheque como pago sin verificar adecuadamente las siguientes formas de identificación vigentes y no vencidas.

  1. Un documento de identidad con fotografía, como un permiso de conducir estatal, un documento de identidad estatal con fotografía, un pasaporte estadounidense, un documento de identidad militar estadounidense o un documento de identidad federal estadounidense;
  2. Una dirección física que coincida con la dirección que figura en el cheque o, si se ha trasladado recientemente, una factura de servicios públicos a nombre de la persona y una dirección postal actualizada; y
  3. Una firma que coincida con la del documento de identidad con fotografía.

Transacciones con tarjeta de crédito o débito: Los representantes de la universidad no deben aceptar pagos con tarjeta de crédito o débito sin verificar adecuadamente las siguientes formas de identificación actuales y no vencidas.

  1. Una firma que coincida con la de la tarjeta de crédito o débito; o
  2. Un documento de identidad con fotografía, como un permiso de conducir estatal, un documento de identidad estatal con fotografía, un pasaporte estadounidense, un documento de identidad militar estadounidense o un documento de identidad federal estadounidense.

B. Identificación y verificación de cuentas nuevas y existentes

Los representantes del colegio harán un esfuerzo razonable para identificar y verificar la identidad de cada cliente al abrir nuevas cuentas y acceder a cuentas existentes.

  • Identificación primaria: Una identificación con foto, como una licencia de conducir estatal, una identificación con foto estatal, un pasaporte estadounidense, una identificación militar estadounidense o una identificación federal estadounidense; Tarjeta de registro de extranjero; o la respuesta correcta a la pregunta de conocimiento personal.
  • Identificación secundaria: Tarjeta de la Seguridad Social; tarjeta de votante en el Estado de residencia; certificado de nacimiento; tarjeta de crédito o bancaria; tarjetas de seguro; identificación policial; o certificación notarial y firma del solicitante de la cuenta.
  • Identificación y verificación de la cuenta en persona: Al abrir nuevas cuentas o acceder a cuentas existentes en persona, los representantes del College deben solicitar dos fuentes de identificación, una primaria y otra secundaria. Al acceder a cuentas existentes en persona, los representantes del College deben solicitar una fuente de identificación primaria.
  • Identificación y verificación de la cuenta en línea: Al abrir nuevas cuentas en línea, el sistema debe autorizar dos fuentes de identificación, una primaria y otra secundaria. Al acceder a cuentas existentes, solo se requiere una identificación primaria. Para cambiar una contraseña olvidada, se requiere un nombre de usuario y la respuesta correcta a la pregunta de conocimiento personal.
  • Identificación y verificación de la cuenta por teléfono: Al abrir nuevas cuentas por teléfono, se deben utilizar dos fuentes de identificación, una primaria y otra secundaria, para verificar la identidad. Al acceder a cuentas existentes, solo se requiere una identificación primaria.
  • Identificación y verificación de cuentas por correo: Al abrir nuevas cuentas por correo, se deben utilizar dos fuentes de identificación, una primaria y otra secundaria, para la verificación de la identidad. Al acceder a las cuentas existentes, solo se requiere la identificación primaria.

8. Supervisión del proveedor de servicios

En el caso de que el Colegio contrate a un proveedor de servicios para realizar una actividad en relación con una o más cuentas cubiertas, el Colegio tomará las siguientes medidas para garantizar que el proveedor de servicios realiza su actividad de acuerdo con políticas y procedimientos razonables diseñados para detectar, prevenir y mitigar el riesgo de divulgación no autorizada de datos.

  • Elgin Community College revisará periódicamente todos los acuerdos y actividades de los proveedores de servicios con carácter anual.
  • Un proveedor de servicios con acceso directo a información confidencial y sensible debe proporcionar pruebas y mantener su propio Programa de Seguridad de la Información que sea coherente con el programa de Elgin Community College o lo supere.
  • Exigir por contrato que los proveedores de servicios con acceso directo o indirecto a información confidencial y sensible revisen y acepten este Procedimiento Administrativo 3.407 e informen de cualquier señal de alarma a La Dirección de Operaciones de Seguridad de la Red y de la Información o al empleado del Colegio con supervisión primaria de la relación con el proveedor de servicios.

9. Software como servicio (SAAS) y otros sistemas en la nube

El software como servicio (SaaS) es un modelo de concesión de licencias de software en el que el acceso al software se proporciona mediante suscripción, y el software se encuentra en servidores externos en lugar de en servidores internos. Normalmente, se accede al software como servicio a través de un navegador web, y los usuarios inician sesión en el sistema con un nombre de usuario y una contraseña. En lugar de que cada usuario tenga que instalar el software en su ordenador, puede acceder al programa a través de Internet.

  • Aprobación de SaaS y sistemas en la nube
    Todos los sistemas SaaS y en la nube deben ser aprobados por el Director de Información.
  • Administración de SaaS y sistemas en la nube
    El departamento de tecnología de la información tendrá al menos una cuenta de administrador al nivel más alto disponible para cada sistema SaaS o basado en la nube que utilice ECC. Esto ayudará a garantizar la continuidad y la disponibilidad de dichos sistemas para ECC. La administración diaria puede ser realizada por el área comercial que administra el sistema.
  • Infraestructura de autenticación
    El protocolo de autenticación estándar para los nuevos sistemas de tecnología de ECC será la autenticación directa a Active Directory (AD) o a través de Active Directory Federated Services (ADFS). Si esto no es compatible con el nuevo sistema, la Tecnología de la Información elegirá una solución adecuada para garantizar que la administración del ciclo de vida del usuario sea aplicable y compatible con otros procesos de ECC.

Esta política se revisó por última vez el 01/10/2024.

Imprimir página