Tecnologías de la información - Uso aceptable

Procedimiento administrativo 7.101

Visión general

La intención de publicar esta Tecnología de la Información - Procedimiento Administrativo de Uso Aceptable es proteger los valores compartidos establecidos por Elgin Community College dentro de su entorno tecnológico. Para mantener estos valores estamos comprometidos a proteger a nuestros empleados, clientes y estudiantes de acciones ilegales y perjudiciales por parte de individuos, ya sea a sabiendas o sin saberlo. El entorno tecnológico de Elgin Community College (en lo sucesivo denominado "College") es propiedad del College. Asegurar este entorno tecnológico es un esfuerzo de equipo que implica la participación y el apoyo de cada cliente que accede al entorno tecnológico del Colegio. Es responsabilidad de cada usuario de la computadora y / o dispositivo para conocer estas directrices y llevar a cabo sus actividades en consecuencia.

Propósito

El propósito de este Procedimiento Administrativo es delinear el uso aceptable de la tecnología en el Colegio para proteger a sus empleados, sus estudiantes y sus datos. Pretendemos obtener el máximo beneficio de nuestro entorno tecnológico dentro del marco de la misión, objetivos y valores del Colegio. El uso inapropiado expone al Colegio, sus empleados, sus estudiantes y sus datos a actos maliciosos, incluyendo pero no limitado a virus, malware, datos y sistemas comprometidos y problemas legales.  

Alcance

Este procedimiento administrativo se aplica a los empleados, estudiantes trabajadores, y cualquier contratistas, proveedores, trabajadores independientes, u otros agentes que utilizan el Colegio o los ordenadores de propiedad personal o dispositivos para acceder al entorno tecnológico de la universidad. Se aplica a todos los equipos de propiedad o arrendados por el Colegio, así como los dispositivos de propiedad personal que contienen Colegio Confidencial y Sensible Información (CSI) relacionados con el negocio de la universidad.  

Definiciones de los términos mencionados

  1. Clientes: cualquier empleado del Colegio, estudiante trabajador, contratista, vendedor, autónomo u otros agentes que utilicen el dispositivo del Colegio o de propiedad personal para acceder al entorno tecnológico del Colegio.
  2. Zona desmilitarizada (DMZ): Zona de la red de una organización, con acceso limitado a la red interna, que contiene recursos accesibles al público (por ejemplo, el servidor web de una organización, un servidor de correo web).
  3. Información almacenada electrónicamente: (en lo sucesivo, "ESI") se refiere a cualquier tipo de información almacenada electrónicamente en las instalaciones o en la nube.
  4. Internet: la red informática mundial disponible a través de cualquier proveedor de servicios de Internet (ISP) mediante la cual se puede buscar información, enviar correo electrónico (e-mail), etc.
  5. Intranet (my.elgin)/Portal AccessECC/VPN: red de información interna disponible únicamente a través de dispositivos internos del Colegio o con la debida autenticación.
  6. Malware: término general para designar cualquier programa informático malicioso que interfiere en el funcionamiento previsto de un dispositivo recopilando información en secreto sobre el usuario o la organización y enviando los datos personales a partes no autorizadas a través de Internet (es decir, troyanos, programas espía). El malware puede permitir a terceros no autorizados controlar total o parcialmente el funcionamiento de un dispositivo para llevar a cabo actividades maliciosas sin el conocimiento del usuario.
  7. Entorno tecnológico: todo el hardware informático (cables, ordenadores, servidores, medios de almacenamiento, impresoras, puntos de acceso inalámbricos, teléfonos móviles, pantallas digitales, cámaras de vigilancia, etc.), software, recursos dentro de la red interna del Colegio, servidores web externos, servidores de correo web y la red pública (acceso a Internet, cuentas de red, direcciones de correo electrónico) y todos los datos transferidos dentro de estos dispositivos interconectados dentro de las instalaciones del Colegio para almacenar, recuperar y compartir información electrónica.

Uso de recursos de red - Internet, correo electrónico y otras ESI

El acceso y uso del entorno tecnológico del Colegio se proporciona a los empleados, estudiantes y otros clientes del Colegio. Este acceso impone ciertas responsabilidades y obligaciones a los empleados y otros clientes que acceden al entorno tecnológico del Colegio y está sujeto a las políticas del Colegio y las leyes locales, estatales y federales.

Todos los datos, correo electrónico, archivos adjuntos de correo electrónico, documentos y otra información almacenada electrónicamente (ESI) dentro de la red / sistema de correo electrónico o en la nube son propiedad del Colegio. Mientras que el personal de Tecnología de la Información del Colegio desea proporcionar un nivel razonable de privacidad, los usuarios deben ser conscientes de que no podemos garantizar la confidencialidad de la información almacenada en cualquier dispositivo de red pertenecientes al Colegio. El Colegio, actuando a través de Tecnología de la Información, gerentes y supervisores, tiene la capacidad y el derecho de ver los datos y el correo electrónico en cualquier momento cuando se considere necesario para fines comerciales. Este procedimiento administrativo no sustituye a ninguna ley estatal o federal en materia de privacidad, confidencialidad y uso apropiado. Actualmente, Tecnología de la Información realiza copias de seguridad de los datos ubicados en servidores, archivos compartidos en red y en las carpetas "Mis documentos" y "Escritorio" de los usuarios. Actualmente no se realizan copias de seguridad de los datos almacenados en unidades locales (c:, d: u otros soportes extraíbles). Los archivos en estas ubicaciones no son recuperables en caso de incidente. El uso aceptable se define como aquel que es legal, ético y refleja honestidad y respeto por los demás. Los clientes pueden estar sujetos a limitaciones en el uso del entorno tecnológico según determine la autoridad supervisora correspondiente. Además, pueden existir copias de seguridad y de archivo de la información almacenada electrónicamente a pesar de que el usuario final la haya borrado. Los objetivos de estos procedimientos de copia de seguridad y archivo son garantizar la fiabilidad del sistema, evitar la pérdida de datos empresariales, satisfacer las necesidades normativas y judiciales, y proporcionar inteligencia empresarial. Las copias de seguridad existen principalmente para restaurar el servicio en caso de fallo. Las copias de archivo están diseñadas para un acceso rápido y preciso por parte de los delegados de la empresa para diversas necesidades legales y de gestión. Véase el Procedimiento Administrativo 3.102 titulado "Conservación y eliminación de documentos".

Protección de la información almacenada electrónicamente

  1. Mantenga las contraseñas seguras y no comparta cuentas. Los usuarios autorizados son responsables de la seguridad de sus contraseñas y cuentas. Las contraseñas a nivel de usuario deben cambiarse cada 180 días y deben cumplir el Procedimiento Administrativo 7.102 titulado "Política de contraseñas".

  2. Todas las aplicaciones, ordenadores de sobremesa, portátiles y estaciones de trabajo deben protegerse con un salvapantallas protegido por contraseña, con la función de activación automática ajustada a 15 minutos y bloqueando el dispositivo o cerrando la sesión cuando el dispositivo vaya a estar desatendido.

  3. Antes de la instalación de cualquier software, el personal de Tecnología de la Información de ECC debe dar su aprobación expresa por escrito. Una vez que se haya dado la aprobación escrita, la instalación debe ser conducida por el personal de la tecnología de información de ECC y un boleto del Helpdesk debe ser registrado. 

  4. La información contenida en ordenadores portátiles es especialmente vulnerable, por lo que debe tenerse especial cuidado. 

  5. Todos los dispositivos utilizados por el empleado o estudiante que estén conectados a los recursos del Colegio deberán ejecutar continuamente software antivirus aprobado con una base de datos de virus actualizada.

  6. Los empleados deben extremar las precauciones al abrir archivos adjuntos de correo electrónico recibidos de remitentes desconocidos, que pueden contener virus, código ransomware, bombas de correo electrónico o código troyano.

  7. Los servidores, sistemas críticos y aplicaciones críticas requerirán el uso de autenticación multifactor (MFA) para el acceso dentro o fuera del campus. El Director de Información decidirá o delegará en el Director General de Operaciones de Seguridad de la Red y de la Información la autoridad para determinar qué sistemas deben utilizar MFA.

Uso inaceptable del entorno tecnológico de la universidad

Las siguientes actividades están, en general, prohibidas. Los empleados de Tecnología de la Información pueden estar exentos de estas restricciones durante el curso de sus responsabilidades legítimas de trabajo (por ejemplo, el personal de administración de sistemas puede necesitar ejecutar herramientas de monitoreo de red para garantizar el buen funcionamiento de la red y escáneres de seguridad para garantizar que las vulnerabilidades sean remediadas). Bajo ninguna circunstancia un empleado debe participar en ninguna actividad que sea ilegal bajo la ley local, estatal, federal o internacional mientras utiliza los recursos propiedad del Colegio.  

La lista que figura a continuación no es exhaustiva, pero trata de ofrecer un marco para las actividades que entran en la categoría de uso inaceptable.  

Están prohibidas las siguientes actividades:

  1. Violaciones de los derechos de cualquier persona o empresa protegidos por derechos de autor, secretos comerciales, patentes u otra propiedad intelectual, o leyes o reglamentos similares, incluyendo, pero no limitado a, la instalación o distribución de "piratas" u otros productos de software que no están debidamente autorizados para su uso en el entorno tecnológico del Colegio.
  2. Queda estrictamente prohibida la copia o descarga no autorizada de material protegido por derechos de autor, incluyendo, entre otros, la digitalización y distribución de fotografías de revistas, libros u otras fuentes protegidas por derechos de autor, música protegida por derechos de autor y la instalación de cualquier software protegido por derechos de autor para el que el Colegio o el usuario final no disponga de una licencia activa. 
  3. Introducción de programas maliciosos en la red o el servidor, a sabiendas o sin saberlo (por ejemplo, virus, gusanos, troyanos, bombas de correo electrónico, etc.).
  4. Revelar la contraseña de su cuenta a otras personas o permitir que otras personas utilicen su cuenta. Esto incluye a familiares y otros miembros del hogar.
  5. Uso del entorno tecnológico del Colegio para participar activamente en la obtención o transmisión de material que infrinja las leyes de acoso sexual o de lugar de trabajo hostil en la jurisdicción local del usuario.
  6. Efectuar violaciones de seguridad o interrupciones de la comunicación en red. Las violaciones de la seguridad incluyen, entre otras, el acceso a datos de los que el empleado no es el destinatario previsto o el inicio de sesión en un servidor o cuenta a los que el empleado no está expresamente autorizado a acceder, a menos que estas tareas estén dentro del ámbito de las tareas habituales. A efectos de esta sección, el término "perturbación" incluye, entre otros, el esnifado de redes, las inundaciones de ping, la suplantación de paquetes, la denegación de servicio y la falsificación de información de enrutamiento con fines malintencionados.
  7. El escaneo de puertos y el escaneo de seguridad están expresamente prohibidos, a menos que estas tareas formen parte de las tareas habituales. Dichas funciones sólo pueden ser desempeñadas por miembros del departamento de Tecnologías de la Información del Colegio.
  8. Ejecutar cualquier forma de supervisión de la red que intercepte datos no destinados al host del empleado, a menos que esta actividad forme parte de las responsabilidades normales del empleado. Estos deberes son poseídos sólo por los miembros del departamento de Tecnología de la Información del Colegio.
  9. Eludir la autenticación de usuario o la seguridad de cualquier host, red o cuenta.  
  10. Crear nuevas cuentas de usuario o modificar los derechos concedidos a cualquier cuenta de usuario. 
  11. Interferir o denegar el servicio a cualquier usuario que no sea el host del empleado (por ejemplo, ataque de denegación de servicio).
  12. Utilizar cualquier programa, script o comando, o enviar mensajes de cualquier tipo, con la intención de interferir o inutilizar la sesión de terminal de un usuario, a través de cualquier medio, localmente o a través de Internet o Intranet.
  13. Enviar o recibir comunicaciones acosadoras, amenazadoras, abusivas o molestas en relación con la edad, el sexo, la orientación sexual, la raza, la religión, la orientación política, el origen nacional o la discapacidad.
  14. Utilización de recursos tecnológicos para profanar y/o acceder a contenidos pornográficos.
  15. Proporcionar acceso a la red a cualquier persona o sistema no autorizado.
  16. Utilización de los recursos tecnológicos del Colegio para actividades no autorizadas de otra organización.

Esta política se revisó por última vez el 31/08/2023.

Imprimir página