Ir al contenido principal

FAQs - Anexo de entrega de dispositivos

En este artículo te compartimos un ejemplo de un anexo de entrega de dispositivos en el cual puedes basarte para complementar tus contratos con colaboradores, o incluso alguna otra parte externa a la que entregues algún tipo de dispositivo que sea propiedad de la empresa.

El objetivo de este anexo es asegurar que los activos entregados por la empresa sean protegidos y tratados adecuadamente, de manera que puedas prevenir riesgos e incidentes de seguridad.

💡 Recuerda que puedes ajustarlo y complementarlo con base en tus necesidades.

Ejemplo

1. Entrega y devolución de equipos

Todo empleado de (nombre de empresa) que reciba algún equipamiento de parte de la organización, ya sea estación de trabajo o dispositivo móvil, debe velar por su protección y cuidado físico.

Consecuente con lo anterior, el empleado tiene la obligación de adoptar todas las medidas de resguardo que estén a su alcance para evitar pérdidas o robos, así como informar cualquier inconveniente que el equipo pudiese presentar, con el fin de hacer válidas las garantías o realizar las reparaciones requeridas.

El (perfil o área responsable de entregar y recibir dispositivos), mantendrá el control sobre la asignación y retiro de equipos. La reasignación del equipo entregado sólo se realizará a través del área de Tecnología.

Todo empleado que deje de prestar servicios a (nombre de empresa) debe hacer entrega del dispositivo al (perfil o área responsable de entregar y recibir dispositivos). Esta devolución debe quedar en un documento formal firmado por el empleado y por quién recibe.

El empleado será responsable de eliminar cualquier información personal de la que hubiera podido quedar registro en el equipo, lo que se hará bajo supervisión y sin perjuicio de que deberá evitar almacenar dicha información en los equipos asignados para el trabajo.

2. Responsabilidades del empleado

El empleado deberá hacer uso del equipo para las funciones propias de las tareas asignadas y es el responsable de resguardar la información que almacena. Deberá, por ende, asegurar que el equipo no sea utilizado por otras personas, incluso cuando lo utilice en oficinas de (nombre de empresa), en su hogar o algún otro recinto externo.

3. Responsabilidades de configuración y auditoría

El responsable del área de Tecnología será quien administre la configuración. El empleado no podrá alterar su configuración en ningún aspecto, incluida la operación del software antivirus, filtro de correo, navegación por internet, bloqueo de puertos o dispositivos, salvapantallas, capacidad de memoria, etcétera.

Todos los equipos utilizados en las operaciones y servicios de (nombre de empresa) contarán con protección antivirus con actualización automática, además de mecanismos de ubicación y borrado remoto, en los casos que sea factible su habilitación.

El área de Tecnología establecerá mecanismos para realizar respaldos de la información crítica contenida en los equipos asignados a empleados, debiendo mantener los medios de respaldo bajo custodia y disponibles en caso de que sean requeridos.

Cada usuario deberá asegurarse de cumplir con las tareas de transferir la información crítica hacia los contenedores de respaldo, teniendo presente que sólo se respaldará la información que sea vital para la continuidad de las operaciones.

En todos los casos, la empresa se reserva el derecho de auditar las redes y sistemas de manera periódica para asegurar el cumplimiento de lo establecido en su Política de Seguridad de la Información.

4. Uso apropiado de los equipos

El empleado que recibe la computadora o el dispositivo, se obliga a hacer un uso apropiado de él y de los activos asociados a su rol y sus funciones.

Dentro de la Política de Seguridad de la Información implementada por la empresa se definen los lineamientos pertinentes para asegurar el uso apropiado de los equipos y dispositivos, así como las mejores prácticas de trabajo.

4.1 Actividades permitidas

4.1.1 Instalación de software

La instalación de software que no esté previamente autorizada, sólo podrá ser realizada por personal del área de Tecnología, así como la instalación y/o conexión de cualquier dispositivo adicional que se requiera para el equipamiento asignado.

A los usuarios se les permitirá la instalación de software autorizado y versiones de prueba de software que provengan de fuentes reconocidas (por ejemplo: los “store” de cada sistema operativo).

Consecuente con lo anterior, los empleados no podrán instalar cualquier tipo de software, incluso si su licencia es "shareware" (software compartido, normalmente con períodos de prueba) o "freeware" (software distribuido sin cargo) cuando no se cumplan los requisitos mencionados.

El área de Tecnología podrá solicitar el equipo para realizar mantenimiento preventivo o instalaciones de nuevas aplicaciones estándar con previa coordinación con el empleado y su responsable a cargo.

4.1.2 Contraseñas

Los equipos deben contar con credenciales alineadas a lo establecido en la Política de Seguridad de la Información de la empresa en materia de gestión de contraseñas e información de autenticación.

Además, se debe establecer el bloqueo automático por inactividad, con activación no superior a los 3 minutos.

4.1.3 Medios removibles

Los medios removibles que almacenan copias de información del negocio serán utilizados estrictamente con autorización del área responsable y siguiendo los procedimientos establecidos por la empresa.

Además, se definirán medidas de resguardo para evitar que la información sea accedida por terceros ante el extravío o robo del mismo.

4.1.4 Uso de internet y correo

Al utilizar recursos de la empresa para acceder y utilizar el internet, los empleados deben darse cuenta que representan a la empresa, por lo que deben indicar claramente que las opiniones expresadas son suyas y no necesariamente las de la empresa.

Evitar el envío de correo electrónico no deseado, incluyendo el envío de "correo basura" u otro material publicitario a personas que no hayan solicitado específicamente dicho material.

4.2 Actividades prohibidas

4.2.1 Legislación aplicable

(Nombre empresa) prohíbe las violaciones a los derechos de cualquier persona o empresa protegida por derechos de autor, secretos de marca, patentes u otra propiedad intelectual, o violaciones a leyes o reglamentos similares, incluyendo pero no limitando a la instalación o distribución de software "pirata" u otros productos que no tengan licencia apropiada para su uso en la empresa.

La copia no autorizada de materiales con derechos de autor, incluyendo pero no limitando a la digitalización y distribución de fotografías de revistas, libros u otras fuentes, música o instalación de software con derechos de autor para el cual la empresa o el usuario final no cuenta con una licencia activa, está estrictamente prohibido.

4.2.2 Usos inadecuados

(Nombre empresa) establece las siguientes acciones como uso inadecuado de los activos, por lo que se están prohibidas para todos los colaboradores:

  • El acceso a datos, servidores o cuentas para cualquier propósito que no sea para la realización de actividades del negocio, incluso si cuenta con acceso autorizado.

  • La exportación de software, información técnica o tecnología de cifrado, en violación de las leyes internacionales o regionales de control de exportaciones, ya que es ilegal.

  • El manejo adecuado debe ser consultado antes de la exportación de cualquier material de esta índole.

  • Introducción de programas maliciosos en la red o en servidores (por ejemplo, virus, gusanos, troyanos, spam masivo, etcétera).

  • El compartir las credenciales de acceso a los diferentes sistemas, plataformas y aplicativos, así como escribir las contraseñas en lugares donde otras personas puedan visualizarlas, incluyendo a amigos y familiares.

  • El uso de un activo de la empresa para participar, reclutar o transmitir materiales que están en violación de las leyes locales de acoso sexual u hostilidad en el lugar de trabajo.

  • Hacer ofertas fraudulentas de productos, artículos o servicios procedentes de cualquier cuenta propiedad de la empresa.

  • Efectuar brechas de seguridad o interrupciones de la comunicación en red. Las violaciones de seguridad incluyen, pero no se limitan a:

    • Acceder a datos para los que no se es destinatario.

    • Conectarse a un servidor o cuenta a la cual el empleado no está expresamente autorizado a acceder.

Para los propósitos de esta sección, "interrupción" incluye pero no se limita a:

  • Espionaje en la red.

  • Suplantación de paquetes.

  • Denegación de servicios, etcétera, con fines maliciosos.

  • El barrido de puertos y escaneos de seguridad están expresamente prohibidos a menos que se realice una notificación y autorización previa.

  • La ejecución de cualquier forma de análisis de red que intercepte datos no destinados a la máquina del empleado, a menos que esta actividad sea parte del trabajo normal del empleado.

  • Eludir la autenticación de usuarios y la seguridad de cualquier equipo de cómputo, de red o cuenta.

  • La introducción de sistemas honeypots, honeynets o tecnología similar en la red empresarial.

  • Interferir o negar servicios a cualquier usuario diferente a él mismo (por ejemplo, ataque de denegación de servicio).

  • El uso de cualquier programa / script / comando o el envío de mensajes de cualquier tipo, con la intención de interferir o deshabilitar las sesiones de terminal de algún usuario, a través de cualquier medio, de forma local o a través de Internet / Intranet / Extranet.

  • Proporcionar información sobre empleados o listas de empleados de la empresa a externos.

  • El uso de cualquier dispositivo de almacenamiento masivo como memorias USB, discos duros, etcétera.

  • Para su uso se debe solicitar una autorización previa con el responsable a cargo.

  • La extracción de información propiedad de la empresa utilizando cualquier medio que no esté relacionada con sus labores normales de trabajo.

  • El acceso a sitios web de dudosa reputación o potencialmente peligrosos, tales como de pornografía, malware, piratería, proxy, etcétera.

5. Procedimiento ante incidentes de seguridad

En caso de pérdida o robo de un equipo y/o divulgación no autorizada, el empleado debe:

  • Informar cuanto antes a su superior inmediato de lo ocurrido y proporcionar la información interna, restringida o confidencial que contenía el equipo.

  • Proceder a cambiar la contraseña en forma inmediata cuando sospeche que se encuentra comprometida.

  • Realizar las denuncias y/o constancias pertinentes durante las primeras 48 horas de ocurrido el hecho, y presentar la copia de la constancia policial, en el caso que corresponda.

6. Sanciones

Al empleado que se descubra que ha violado los lineamientos de la Política de Seguridad de la Información y los establecidos en este anexo podrá ser sujeto a medidas disciplinarias, incluyendo la terminación del contrato laboral, acciones administrativas o legales.

7. Información del equipo de trabajo proporcionado

  • Número de serial del equipo: (ingresar datos)

  • Modelo del equipo: (ingresar datos)

  • Nombre del receptor / colaborador: (ingresar datos)

___________________________

Firma del receptor

Artículos relacionados
Comunicación: Una tarea clave para el éxito de tu programa de seguridad
FAQs - 5. Política de Seguridad de la Información
FAQs - 22. Política de BYOD
Relación entre las actividades del plan de acción
FAQs - Anexo de Confidencialidad
¿Ha quedado contestada tu pregunta?