Aventura ISA- 2019 Conciencia en la Seguridad Informática
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Aventura ISA- 2019 Conciencia en la Seguridad Informática
Este curso introducirá los conceptos básicos para la seguridad de las computadoras en UDSA. Los
temas incluidos son: La Importancia de la Seguridad de la Información, Amenazas y
Vulnerabilidades, Códigos Maliciosos y Virus, Roles y Responsabilidades. Aprenderán información
valiosa sobre seguridad de las computadoras, tales como: proteger tu computadora contra virus y
ataques y el manejo de información sensitiva.
Luego de completar este curso, usted recibirá crédito de entrenamiento Conciencia de la Seguridad
(ISA por sus siglas en inglés) de usuario, el cual es legislativamente mandatorio.
Introducción
Bienvenido a la Aventura ISA, curso de entrenamiento Año Fiscal 2019: Conciencia en la Seguridad
Informática y Reglas de Comportamiento.
El Departamento de Agricultura de los Estados Unidos (o USDA por sus siglas en inglés)
requiere por ley que cualquier persona que utilice información tecnológica (IT) y recursos de
los sistemas de información (IS por sus siglas en inglés) esté consciente de sus
responsabilidades, cumpla y reconozca con las mismas según están bosquejadas en este
entrenamiento, las políticas de USDA y las reglas específicas de los sistemas.
¿Qué hay Nuevo para el Año Fiscal 2019?
• Antes de completar el entrenamiento a usted se le dará información sobre las Reglas de
Comportamiento (RoB por sus siglas en ingles).
• Una vez usted haya completado y pasado el curso, usted está reconociendo que entiende a
las Reglas de Comportamiento.
• Encontrará que nuevo contenido sobre la Información No Clasificada Controlada (CUI por sus
siglas en inglés) e Información Personal de Identificación (PII) ha sido añadido junto a nuevas
preguntas relacionadas a estos conceptos.
Sobre las Reglas de Comportamiento
Las siguientes páginas presentan las Reglas de Comportamiento generales para el personal de
USDA con acceso a los sistemas de información.
Una vez usted haya llegado a la última página de la sección de las Reglas de Comportamiento, usted
será transferido para completar examen del entrenamiento del Año Fiscal 2019 (AF2019) Conciencia
en la Seguridad Informática.
Al completar ISA, usted está reconociendo su entendimiento por estas reglas y podrá continuar el
curso.
Reglas de Comportamiento – Comportamiento Aceptable y PenalidadesLas Reglas de Comportamientos establecen los comportamientos esperados y aceptables en la
informática. Debido a que esta guía escrita no puede cubrir cada contingencia, es requerido que los
usuarios también usen su juicio y los altos estándares de ética en el proceso de la toma de
decisiones.
USDA tomará acción correctiva y/o reforzará el uso de penalidades en contra de cualquier usuario
que viole cualquier política del sistema de seguridad de USDA o Federal utilizando cualquiera o
todas las siguientes:
• Acciones Correctivas (tomadas de acuerdo a las reglas existentes, regulaciones y leyes)
incluyen reprimendas escritas, suspensión temporera de los deberes, reasignación o
democión y la terminación del empleo federal.
• Suspensión de los privilegios del sistema.
• Posible enjuiciamiento criminal.
¿Qué usted necesita saber?
Las siguientes actividades No Oficiales están prohibidas en cualquier sistema de información que
sea propiedad u operado de parte de USDA o cualquier teléfono, tabletas y otros dispositivos
gestionados por el gobierno:
• Apuestas.
• Visitar o descargar intencionalmente material pornográfico de sitios web.
• Cabildear en el congreso o cualquier agencia de gobierno.
• Hacer campaña- actividad política.
• Cualquier tipo de transmisión continuada de audio o video comercial, privada, noticias, u
organización financiera, excepto las que están expresamente autorizadas por la
administración.
• Actividades que estén conectadas con cualquier tipo de empleo externo.
• Endorso de productos, servicios u organizaciones no gubernamentales.
• Aplicaciones (Apps) tales como: Confide, Signal, Telegram, WhatsApp y Facebook Messenger
Su Rol en la Ingeniería Social
La Ingeniería Social es una técnica de piratear (hacking) que depende de la naturaleza humana.
Entendiendo los comportamientos de la ingeniería social, lo preparará para reconocerlos y así evitar
que usted provea información importante de seguridad a fuentes no autorizadas.
Previniendo la ingeniería social:
• Verificar la identidad.
• No revelar contraseñas.
• No proveer información de empleado.
• No seguir comandos de fuentes no verificadas.
• No distribuir números telefónicos a ningún sistema de computadoras, excepto los que han
sido validados para usuarios.
• No participe de ninguna encuesta telefónica.
Reaccionando a la ingeniería social:• Use llamada identificada (Caller ID) para documentar números telefónicos.
• Tome notas detalladamente.
• Obtenga el nombre de la persona y ocupación.
• Reporte incidentes.
Reglas de Comportamiento- Acceso
• Los usuarios son responsables y deben rendir cuentas por cualquier acción tomada sobre su
identificación (ID) de usuario.
• Los usuarios están prohibidos de utilizar peer-to-peer (P2P) para la transferencia de archivos
a menos de que hayan sido específicamente aprobados por escrito por la administración.
La Oficina de Manejo y Presupuesto (OMB por sus siglas en inglés) requiere que todas las Agencias
desarrollen guías para el uso de aplicaciones peer-to-peer (transferencia de archivos).
Para más información acerca de las políticas específicas sobre el uso de peer-to-peer, comuníquese
con su punto de contacto de seguridad.
¿Qué usted necesita saber?
Usted debe:
• Seguir los procedimientos establecidos para el acceder la información, incluyendo el uso de la
identificación del usuario, la autenticación de usuario, contraseñas y otras precauciones
físicas y lógicas.
• Seguir los canales establecidos para la solicitud y diseminación de la información.
• Sólo abra los archivos. directorios y aplicaciones para las cuales el acceso a la información ha
sido autorizado por el administrador del sistema.
• Usar el equipo del gobierno sólo para propósitos aprobados.
En adición, los usuarios NO deberán:
• Dar información a otros empleados o individuos de afuera que no tengan acceso autorizado.
• Almacenar información confidencial o sensitiva en un sistema a menos de que los controles
de protección (ejemplo: contraseñas, salones cerrados y las redes de áreas locales (LAN) de
almacenamiento) sean usadas.
• Usar su posición de confianza y derechos de acceso para explotar los sistemas de control o
acceso a la data por cualquier razón que no sea la realización de las tareas oficiales.
• Mirar los archivos de otros usuarios (ejemplo: lo que se pueda tener acceso).
Reglas de Comportamiento - Software General
Los usuarios no deberán instalar software no autorizado, estándar, de dominio público o programa
compartido (shareware) en sus computadoras sin la aprobación adecuada de la administración
oficial. Los usuarios de computadoras deben proteger los softwares y el equipo de USDA adquiridos
de los software maliciosos.
Los usuarios no deberán:• Utilizar software comprado por USDA en su computadora personal o en computadoras que no
sean de USDA a menos de que sea autorizado.
• Alterar la configuración, incluyendo la instalación o desinstalación del software y periféricos en
la computadora del gobierno a menos de que esté autorizado.
• Descargar, instalar o ejecutar programas de seguridad o utilidades que puedan revelar las
debilidades en las medidas de seguridad o el acceso privilegiado a cualquier sistema, a
menos de que sea expresamente autorizado.
En adición, los usuarios deberán:
• Cumplir con todas las licencias y acuerdos de los softwares y las leyes de derechos
reservados federales.
Guías de Ética Básicas del Usuario
Existen ocho generalidades básicas aceptadas en las guías de ética que deben ser ejecutadas con
sus acciones cuando esté utilizando un sistema de computadoras del gobierno.
Directrices Éticas
• No utilice computadoras para hacer daño.
• No interfiera con el trabajo de otros.
• No espíe los archivos de otros.
• No utilice su computadora para cometer crímenes.
• No utilice o copie software sin licencia.
• No robe propiedad intelectual.
• No utilice una computadora para fingir que es otra persona.
• No utilice los recursos para computadoras sin aprobación.
Reglas De Comportamiento- Responsabilidad/ Rendición De Cuentas
En adición a seguir las directrices éticas, todos los usuarios rendirán cuenta por sus acciones
relacionadas con los recursos de información que les han sido confiados.
Los usuarios deberán:
• Comportarse de acuerdo a la ética, de manera informada y confiable cuando esté usando los
sistemas.
• Estar alerta a las amenazas y vulnerabilidades tales como: programas maliciosos y virus.
• Participar en adiestramientos de seguridad en IT y programas de concienciación.
• No instalar o utilizar software no autorizado en equipos de USDA.
• Cumplir con todas los acuerdos de las licencias de los software y no violar las leyes Federales
de derechos reservados.
• Conocer que su sistema puede ser monitoreado y que no hay expectación de privacidad en
los recursos IT de USDA.
¿Qué usted necesita saber?En adición, los usuarios deben prevenir que otros utilicen sus cuentas cuando:
• Se desconecten o bloqueen su pantalla al salir del área de sus terminales o computadoras
personales (PC).
• Programen una contraseña para el protector de pantalla automático.
• Ayuden a remediar las brechas de seguridad sin importar quien tenga la culpa.
• Notifiquen inmediatamente al administrador del sistema cuando haya un cambio en el rol,
tareas o el estatus de un empleado cuando el acceso al sistema ya no sea requerido.
• Estén cumpliendo con las reglas de comportamiento cuando se tiene acceso a sistemas
externos.
• Estén leyendo y entendiendo los avisos (banners) de las páginas y los acuerdos de licencias.
Reglas de Comportamiento- Integridad
Los usuarios deben de proteger la integridad y la calidad de la información. Esto incluye, pero no
está limitado a:
• Revisar la calidad de la información según sea colectada, generada y utilizada para asegurar
de que es precisa, completa y actualizada.
• Tomar los adiestramientos adecuados antes de utilizar el sistema y aprender a como entrar y
cambiar la data correctamente.
• Proteger la información en contra de los virus y códigos maliciosos similares cuando:
o Apliquen las actualizaciones de seguridad requeridas y utilicen un software anti-virus
que esté actualizado, si no es controlado al nivel de la agencia/empresa.
o Eviten el uso de un software que no haya sido aprobado tales como: un software de
programa compartido (shareware) o de dominio público.
o Descontinúen el uso de un sistema cuando muestra la primera señal de una infección
con un virus.
o Nunca entre conscientemente a un sistema no autorizado, desconocido o con
información falsa.
Reglas De Comportamiento: Uso Apropiado De Correo Electrónico
Las siguientes reglas se aplican y están relacionadas a la actividad de correos electrónicos:
• Los filtros automáticos pueden ayudar a prevenir que los mensajes ofensivos e inapropiados
pasen a través del portal de correos electrónicos de USDA.
• Cualquier correo electrónico en el sistema gubernamental es propiedad del gobierno y puede
convertirse en un récord oficial.
• El uso de los recursos de IT constituye en el consentimiento de posible vigilancia y pruebas de
seguridad. El monitoreo y las pruebas de seguridad aseguran que los procedimientos de
seguridad adecuados y el uso apropiado sean observados por los recursos de IT de USDA.
• El monitoreo del correo electrónico y otros recursos de IT por parte de la administración, se
llevarán a cabo únicamente conforme con las políticas y directrices establecidas por USDA.
• Está prohibido que los usuarios usen los recursos de USDA IT, envíen, reciban, retengan o
proliferen cualquier mensaje o material que sea fraudulento, inapropiado, ofensivo, de
hostigamiento o de naturaleza sexual.¿Qué usted necesita saber?
El correo electrónico es sólo para fines oficiales. Puede ser que su organización le permita el uso
casual o incidental del correo electrónico. Las directrices sobre los tipos del uso de correos
electrónicos personales que puedan o no puedan ser autorizados son las siguientes:
• El correo electrónico no debe afectar adversamente le ejecución de las tareas oficiales.
• El uso del correo electrónico no debe reflejar pobremente al gobierno.
• Usted no debe utilizar el correo electrónico del gobierno para enviar pornografía, mensajes
racistas, sexistas, cualquier mensaje ofensivo, enviar correos de cadenas o vender algo.
• El correo electrónico no debe sobrecargar el sistema, como ocurre cuando se envían correos
electrónicos en masa.
• Para mantener las redes abiertas y funcionando eficientemente, no reenvíe bromas, fotos o
historias inspiradoras.
• Similarmente, evite el uso de “Responder a todos” a menos de que sea absolutamente
necesario.
• El correo electrónico personal puede ser autorizado si la duración y la frecuencia son
razonables. Preferiblemente, el correo electrónico debe ser utilizado durante el tiempo
personal del empleado como lo es el receso de almuerzo.
• El correo electrónico también puede ser permisible cuando sirve al interés público legítimo, tal
como: permitir a un empleado que busque un empleo en respuesta a los recortes en el
gobierno federal.
Consejos Para Crear Una Contraseña Segura
John piensa que cambiar su contraseña frecuentemente y memorizarla es complicado e
inconveniente. Así que él la escribe y la deja debajo del teclado de su computadora. ¿A caso John
necesitará algunos consejos para crear una contraseña segura que la pueda recordar?
Muchos sistemas de información federal aún identifican y certifican a sus usuarios por medio del uso
de su ID de usuario y contraseña. Ambos determinan los derechos del mismo a tener acceso al
sistema.
Recuerde, es su responsabilidad el asegurar que todas las prácticas realizadas bajo su ID de usuario
sean apropiadas para el uso de los recursos de los sistemas de información federal.
¿Qué usted necesita saber?
Es muy importante crear una contraseña compleja con el fin de proteger que los sistemas de
gobierno federal no sean comprometidos.
• Combine letras, números y caracteres especiales (ejemplo: !,@,#,$)
• Utilice combinaciones alfanuméricas o frases asociadas (ejemplo: P@$$w0rd T1p$)
• Evite palabras o frases que puedan ser encontradas en diccionarios.
• Evite el uso de información personal. (Ejemplo: cumpleaños, dirección residencial o número
telefónico)
• Memorice su contraseña y absténgase de escribirla.
• Cambie su contraseña regularmente.Copias De Respaldo, Almacenaje Y Rotulación
Una gran cantidad de información federal es almacenada en medios removibles tales como: CDs, USB
portátiles o discos duros removibles y usted tiene que tener una precaución adicional para protegerlos
de robos y no perderlos.
Para los archivos importantes se DEBE crear una copia de respaldo (backup) regularmente y
almacenarlos en una localización segura para minimizar la pérdida de data si su disco duro no funciona
o es infectado por un virus.
Almacene todos los medios removibles en contenedores tales como: gabinetes para protegerlos del
fuego y el agua.
Es muy importante que rotule todos los medios removibles, incluyendo las copias de respaldo y los
contenedores para reflejar la clasificación y el nivel de sensibilidad de la información que está
contenida en los medios. Los medios removibles o portátiles deben de estar propiamente marcados y
almacenados de acuerdo a la clasificación de seguridad de la información que contienen. Cuando ya
no se necesite la información, usted no debe borrarla o “limpiarla”. Los medios removibles deben ser
desmagnetizados o destruidos, si no son reusados al mismo tiempo o a un nivel de clasificación mayor
al sistema para el cual fue utilizado inicialmente.
Siga las políticas de su agencia en relación al manejo, almacenamiento, rotulación y destrucción de
medios removibles.
Reglas De Comportamiento- Copias De Respaldo, Almacenaje Y Rotulación
Los sistemas de computadoras y medios removibles deben ser protegidos de ambientes peligrosos
tales como: fuego, agua, calor y derrames de alimentos. Estos deben ser también protegidos de ser
robados, alterados sin autorización y manejo negligente.
¿Qué usted debe saber?
Los usuarios deben:
• Utilizar las siguientes medidas físicas y lógicas para prevenir la pérdida de la disponibilidad de
la información y los sistemas.
• Asegurar que tiene una copia de respaldo para la información que usted es responsable.
• Proteger a los sistemas y medios donde la información es almacenada.
• Guardar los medios removibles con cubiertas protectoras.
• Mantener los medios lejos de otros que puedan producir campos magnéticos (tales como:
teléfonos, radios y magnetos)
• Seguir los planes de contingencia.
Reportar Un Incidente
Cada usuario es responsable de reportar cualquier forma de violación a la seguridad, ya sea una
pérdida, fraude o abuso a través del mecanismo de reportar incidentes de USDA.
¿Qué usted debe saber?
Los usuarios deben:• Reportar los incidentes de seguridad o cualquier incidente sospechoso de fraude, pérdida o
mal uso de los recursos de USDA o la divulgación de información de identificación personal
(PII por sus siglas en inglés) llamando al USDA Help Desk (1-888-926-2373) o PII Hotline (1-
877-PII-2-YOU), o llamando al Administrador designado de IT Información de Seguridad de la
agencia.
• Reportar las vulnerabilidades y violaciones a la seguridad tan pronto como sea posible
llamando al USDA PII Hotline (1-877-PII-2-YOU), o llamando al Administrador designado de IT
Información de Seguridad de la agencia para que acciones correctivas sean tomadas.
• Tomar acciones razonables inmediatamente después de haber descubierto una violación para
prevenir daños adicionales tales como: desconectarse de un terminal o cerrar la propiedad.
• Cooperar deliberadamente con los planes oficiales de acción para lidiar con las violaciones de
seguridad.
Privilegios De Los Usuarios
Guía De Privilegios De Los Usuarios- Deben (Do's)
Como Usuario Privilegiado Debo:
• Seguir las disposiciones de USDA Información Tecnológica / Seguridad de la Información
(IT/IS por sus siglas en inglés) Reglas de Comportamiento Generales para usuarios, excepto
aquellas con variaciones requeridas para realizar actividades privilegiadas del usuario que han
sido autorizadas.
• Limitar la ejecución de actividades privilegiadas del usuario a cuenta(s) privilegiada(s).
• Consentir el monitoreo y la búsqueda de cualquier equipo IT/IS usado mientras el mismo haya
sido traído o removido de las facilidades de USDA que son propiedades, controladas o
rentadas.
• Completar el adiestramiento sobre Conciencia en la Seguridad Informática.
• Completar exitosamente cualquier adiestramiento requerido por USDA que esté relacionado a
operaciones de seguras y competentes de IT e IS para las cuales tiene un estatus de usuario
privilegiado.
• Someter para investigación y monitoreo adicional las actividades privilegiadas de usuario que
son necesarias para garantizar la integridad de las mismas.
• Reportar inmediatamente cualquier incidencia anormal, incluyendo errores y omisiones
relacionadas a las actividades de ‘mi usuario privilegiado’ a la Oficial de Seguridad de Sistema
de Información (ISSO por sus siglas en inglés), Administrador de Seguridad de Sistema de
Información (ISSM por sus siglas en inglés) o al Director de Seguridad (CSO por sus siglas en
inglés) de acuerdo al Plan de Respuesta a Incidentes de USDA.
• Utilizar mi rol privilegiado del usuario para llevar a cabo sólo actividades de usuario
privilegiado aprobadas para el beneficio de USDA.
• Proteger mi cuenta de “origen” o “súper usuario” incluyendo contraseñas y privilegios al nivel
más alto de seguridad de data.
• Cambiar la contraseña de la cuenta de mi usuario privilegiado cada 90 días según sea
requerido por razones de seguridad.
• Proteger todo lo que esté en formato impreso, electrónico u óptico de acuerdo con la política
de USDA.• Llevar a cabo escaneo de virus e integridad a cualquier medio que sea utilizado para la
transferencia de información en un sistema de USDA.
• Notifique al ISSO cuando mi acceso privilegiado del usuario al sistema ya no sea necesario
(por ejemplo: transferencia, terminación, permiso para ausentarse o cualquier periodo de uso
no extendido). Si soy un ISSO, entonces notificaré al CSO cuando mi cuenta de acceso
privilegiado de usuario ya no sea necesaria.
Guía De Privilegios De Los Usuarios- No Deben (Don'ts)
Comportamiento Expresamente Prohibido: A menos de que sea parte de sus tareas oficiales como
Usuario Privilegiado de USDA IT/IS, Yo NO:
• Compartiré mi acceso privilegiado de usuario o privilegios con una persona no autorizada.
• Usaré mi acceso de usuario o privilegio para “hack” o piratear cualquier IT/IS (en o fuera de la
red).
• Intentaré ganar acceso a la data para la cual usted no está específicamente autorizado, para
incluir correos electrónicos o archivos de usuarios en los directorios de sus hogares.
• Utilizaré mi acceso privilegiado de usuario para negocios no gubernamentales.
• Introduciré algún software o hardware que no haya sido aprobado a través de los Procesos de
Cambio en Administración en los sistemas o redes de USDA IT/IS.
• Utilizaré ninguna comunicación, transmisión, procesamiento o componentes de
almacenamiento de USDA para propósitos no autorizados.
• Divulgaré sin autorización, cualquier información personal de identificación (PII) que tenga
acceso o aprenda como resultado de sus deberes y actividades de ser un usuario privilegiado.
• Divulgaré sin autorización, cualquier información sensitiva, clasificada o confidencial o
información fragmentada de USDA a la que tenga acceso o aprenda como resultado de mis
deberes y actividades de ser un usuario privilegiado.
Reconocimiento De Las Reglas De Comportamiento
Yo entiendo que el completar el entrenamiento mandatorio de ISA no me exime de mi
responsabilidad de entender y cumplir con el conocimiento básico de seguridad. También entiendo
que debo seguir las políticas de seguridad y procedimientos de USDA y los procesos de las Reglas
de Comportamiento (RoB) en todo momento y aceptar esas responsabilidades.
Yo confirmo que he leído y entendido las Reglas de Comportamiento identificadas en este
entrenamiento y comprendo que estas puede que no incluyan todas las RoB contenidas en las
políticas, procedimientos y reglas específicas del sistema de la agencia. Además entiendo que el
completar este entrenamiento no me exime de mi responsabilidad de saber y seguir las políticas de
la agencia y USDA y los procedimientos de las RoB en todo momento.
Yo entiendo que el acceso a los sistemas de información de USDA debe ser concedido por medio de
una tarjeta de LincPass o AltLinc y es mi responsabilidad en todo momento de utilizar la tarjeta para
tener acceso a USDA o al sistema y red de la agencia y reportar cualquier problema en el uso de
LincPass o AltLinc con el coordinador designado. También entiendo que debo regresar mi tarjeta de
LincPass a mi coordinador de LincPass o persona designada en la agencia cuando ya no la necesite.Sobre la Misión Principal Bienvenido El adiestramiento básico anual sobre Conciencia en la Seguridad Informática (ISA por sus siglas en inglés) y Reglas de Comportamiento es obligatorio para todos los empleados, contratistas, socios y voluntarios (empleados) del Departamento de Agricultura de los Estados Unidos (o USDA por sus siglas en inglés) que se les haya otorgado acceso a los sistemas de información de USDA. Para los nuevos empleados, contratistas, socios y voluntarios es requerido completar el adiestramiento antes de que estos obtengan acceso al sistema de USDA. Todos los usuarios deben estar al tanto y bien informado sobre las políticas, requisitos y problemas de seguridad. También los usuarios deben hacer un esfuerzo consiente para evitar brechas cumpliendo con las USDA y la oficina de la agencia/personal en las políticas de seguridad, estándares, prácticas y alertas. Como parte del proceso para obtener la aprobación y el acceso a los sistemas de información de USDA, los usuarios son responsables por el cumplimiento de las reglas de comportamiento y de este adiestramiento. El Viaje La Conciencia en la Seguridad Informática (ISA por sus siglas en inglés) es un proceso continuo-- es como un viaje en el que todos navegamos e interactuamos con una variedad de tecnologías en el transcurso de realizar nuestro trabajo. Para reflejar este “viaje”, este curso ha sido diseñado en lo que llamamos siete (7) Destinaciones y aprobar exitosamente la evaluación relacionada al mismo. Su rol al tomar este curso es navegar por cada uno de estos Destinos y aprobar exitosamente la evaluación relacionada a los mismos. Este curso consiste en siete (7) direcciones o destinaciones: • Destino 1: Importancia en la Seguridad de Sistemas Informativos • Destino 2: Control de la Información No Clasificada (CUI) • Destino 3: Información De Identificación Personal • Destino 4: Amenazas en General • Destino 5: Internet y Amenazas a la Red • Destino 6: Dispositivos De Medios De Comunicación Y Seguridad Móvil • Destino 7: Seguridad Física Destino 1: Importancia en la Seguridad de Sistemas Informativos (ISS) Destinos Objetivo(s) El internet ha permitido que el obtener y transferir la información sea rápida y extremadamente fácil. Mientras que la conectividad global es muy conveniente, también incrementa la vulnerabilidad a los
ataques externos. Los objetivos de la Seguridad de los Sistemas De Información ISS (por sus siglas en inglés) y las Reglas de Comportamiento son el proteger nuestra información y sistemas de información. ISS y las Reglas de Comportamiento protegen a la información de la modificación y del acceso no autorizado y aseguran que los sistemas de información estén disponibles para sus usuarios. Esto significa que un sistema seguro mantiene su confidencialidad, integridad y disponibilidad. Objetivo(s) de Aprendizaje Luego de completar esta lección, usted podrá: • Identificar qué es la seguridad en los sistemas de información y por qué esto es importante. Esta lección incluye los siguientes tópicos: • Historia de ISS • Infraestructura Crítica Importancia de la Seguridad De Los Sistemas De Información (ISS) Historia de ISS Cincuenta años atrás, los sistemas de computadoras presentaban retos de seguridad relativamente simples. Estos sistemas eran costosos, entendidos sólo por unos pocos y se encontraban aislados en facilidades controladas. La protección de estos sistemas de computadoras consistía en controlar el acceso al salón de computadoras y la autorización de un pequeño grupo de especialistas que necesitaban permiso para entrar en el área. Como los sistemas de computadoras evolucionaron, se expandió la conectividad, primero por los terminales remotos y eventualmente por áreas locales y amplias en las redes (o LANs o WANs respectivamente por sus siglas en inglés). Por otro lado, mientras el tamaño y el precio de las computadoras disminuían, los microprocesadores comenzaron aparecer en el área de trabajo y en hogares alrededor del mundo. Lo que una vez fue una colección de sistemas separados, ahora es mejor entendido como un sólo sistema global conectado a la red. ISS ahora incluye infraestructuras que no son propiedades o controladas por el gobierno federal. Debido a que la conectividad global es un riesgo para uno y es también un riesgo para todos. Infraestructura Crítica La Protección Crítica a la Infraestructura (o CIP por sus siglas en inglés) es un programa nacional establecido para proteger a la infraestructura crítica de nuestra nación. La Infraestructura Crítica se refiere a los sistemas físicos y cibernéticos esenciales para las operaciones mínimas de la economía y el gobierno.
Los sectores que son considerados parte de la infraestructura crítica de nuestra nación incluyen pero no están limitados a: • Información tecnológica y telecomunicaciones. • Energía. • Banca y finanzas. • Transportación y seguridad fronteriza. • Agua y servicios de emergencia. Muchas de las infraestructuras críticas de la nación han sido históricamente sistemas separados (físicamente y lógicamente) que tenían poca interdependencia. Sin embargo, estas infraestructuras se han convertido cada vez más automatizadas e interconectadas. El aumento en la conectividad crea nuevas vulnerabilidades. Infraestructura Crítica- Amenazas Fallas en el equipo, un error humano, el clima, al igual que los ataques físicos y cibernéticos que impactan a un sector, también pueden potencialmente impactar la infraestructura crítica de nuestra nación . Por ejemplo: si el suministro de gas natural es interrumpido por un virus en las computadoras y la luz eléctrica se ha ido, las computadoras y las comunicaciones estarían fuera de servicio. Las calles, el tráfico aéreo y la transportación en los trenes también se podrían ver impactados. Los servicios de emergencias también pudieran estar obstaculizados. Una región completa puede ser debilitada porque un elemento crítico de nuestra infraestructura ha sido atacado. CIP fue establecido para definir e implementar medidas proactivas para la protección de nuestra infraestructura crítica y responder ante cualquier ataque que ocurra. Infraestructura Pública Clave Los sistemas de información federal identifica y autentifica cada usuario, ya sea a través de un sistema de ingreso con una tarjeta inteligente, de identificación (ID) de usuario o contraseña. El método preferido de acceso a los sistemas de información es a través del uso de una infraestructura pública clave (o PKI por sus siglas en inglés), la cual le permite a su agencia a gestionar claves electrónicas llamadas certificados digitales para los usuarios autorizados. PKI le permite a los usuarios a cifrar (encrypt) y digitalmente firmar correos electrónicos y documentos. Destino 2: Información No Clasificada Controlada Destino Objetivo(s) Este tutorial es para crear conciencia sobre el programa de Información No Clasificada Controlada (CUI por sus siglas en inglés). El 4 de noviembre de 2010, el Presidente firmó la Orden Ejecutiva 13556, “Información No Clasificada Controlada” (la orden). Esta Orden implementó un programa que estandariza la forma en que la rama Ejecutiva maneja la información no clasificada que requiere protección en acuerdo con la ley, la regulación y/o políticas del gobierno. La Orden designada por la Administración de Registro y Archivos Nacionales (NARA por sus siglas en inglés), mientras que el
Agente Ejecutivo de CUI implementa el programa. NARA designa al Director de la Oficina que
Supervisa la Seguridad de la Información (ISOO por las siglas en inglés), un componente de NARA,
para ejercer las responsabilidades de su parte.
La Regla Federal conocida como el Código de Regulaciones Federales (32 CFR Parte 2002)
Información No Clasificada Controlada, entró en efecto el 14 de noviembre de 2016. La misma
establece las políticas del gobierno para las agencias en la designación, protección, diseminación,
calificación y eliminando el control (decontrolling) de CUI.
Objetivo(s) de Aprendizaje:
Luego de completar esta lección usted debe:
• Definir CUI y su propósito.
• Ganar entendimiento sobre los Registros de CUI, las categorías y sub-categorías de CUI.
• Obtener conocimiento en cómo marcar los documentos y correos electrónicos de CUI.
• Entender cómo proteger, almacenar, diseminar, eliminar el control y destruir la CUI.
• Definir Dispersión De Información (Spillage) con respecto al ISA.
Esta lección incluye los siguientes tópicos:
• Calificación de CUI
• Protección y almacenamiento de CUI
• Diseminación y descontrol de CUI
• Destrucción de CUI
• Dispersión De Información (Spillage)
• Políticas
Entendiendo CUI
¿Qué es CUI?
• Información No Clasificada Controlada (o CUI por sus siglas en inglés)- es información que
requiere que sea protegida o diseminada por los controles conformes y consistentes con la
ley, las regulaciones y las políticas del gobierno.
• CUI reemplaza: “Para Uso Oficial Solamente” (For Official Use Only o (FOUO) por sus siglas
en inglés), Información de Seguridad Sensitiva (SSI por sus siglas en inglés), Sensitiva Pero
No Clasificada (SBU por sus siglas en inglés), etc.
• El Registro de CUI- es un repositorio de toda la información, guía, política y requisitos para el
manejo de CUI.
• El Registro de CUI:
o identifica todas las categorías y sub-categorías aprobadas de CUI
o provee una descripción breve para cada una de ellas
o identifica los controles para las bases, calificación establecida
o incluye las guías y manejos de los procedimientos.
Calificación CUI
El mensaje o titular (banner) de la Calificación de CUI puede incluir tres elementos:• La Calificación de Control CUI (mandatorio) puede consistir de cualquiera de estas palabras
“CONTROLADA” o el acrónimo “CUI”.
• Calificación de la Categoría y Sub-categoría de CUI (mandatorios específicamente para
CUI). La Calificación de Control de CUI y la Calificación de la Categoría son separadas por
dos barras delanteras (//). Cuando incluyen múltiples categorías o sub-categorías en una
Bandera de Calificación están separadas por una sola barra delantera (/).
• Diseminación de Control de Calificación Limitado. La Calificación de Control de CUI y la
Calificación de la categoría están separadas por Diseminación de los Controles de Calificación
Limitados con dos barras delanteras (//).
Protección y Almacenamiento
CUI debe ser almacenado y manejado en ambientes controlados para prevenir o detector accesos
no autorizados.
• Sobres sellados
• Áreas equipadas con cerraduras electrónicas
• Asegurado(a)s:
o Puertas
o Compartimientos superiores
o Gavetas
• Gabinete de Archivos
Diseminación y Descontrol
Diseminación
• La diseminación ocurre cuando los titulares autorizados proveen acceso, transmiten o
transfieren CUI a otros titulares autorizados a través de cualquier medio, ya sea interno
o externo.
• Sólo el Director de la Seguridad Nacional (OHS por sus siglas en inglés) es el Oficial Mayor de
la Agencia designado para aprobar la diseminación de los controles limitados de CUI.
Eliminación del Control (Decontrolling)
• Ocurre cuando un titular autorizado, consistente con 32 CFR 2002 y los Registros de
CUI, remueve las protecciones o los controles de diseminación de CUI que ya no
requiera dichos controles. La eliminación del control puede ocurrir automáticamente o a
través de la acción de la agencia.
Destrucción
• CUI debe ser destruido a tal grado que la información sea ilegible, indescifrable e
irrecuperable.
• Para destruir CUI, utilice trituradoras cruzadas que produzcan partículas que sean 1mm
por 5 mm.
• Nunca utilice el bote de la basura o reciclaje para disponer CUI.
Dispersión De Información (Spillage)Spillage, también se refiere a contaminación, es cuando la información de alta clasificación es
introducida a una de menor nivel de clasificación. Esto se debe al almacenaje inadecuado, la
transmisión o el procesamiento de información clasificada a un sistema no clasificado.
Un ejemplo puede ser cuando la información clasificada como Secreta es introducida a una red no
clasificada. Cualquier usuario que identifique o sospeche que ha ocurrido una dispersión de la
información, inmediatamente tiene que notificarlo a su punto de contacto de seguridad.
Una vez se remedia la contaminación es un proceso de recursos intensivos. Puede tomar
aproximadamente hasta tres semanas para contener y limpiar la información afectada en el sistema.
Esté consciente que la dispersión de información puede crear un gran impacto en la seguridad de la
información federal.
Recomendaciones de gran ayuda:
• Verifique los correos electrónicos con posible información clasificada.
• Marque y almacene propiamente todos los medios removibles.
• Asegure que todos los nombres de los encabezados de los archivos revelen la sensibilidad de
la información.
Políticas Nacionales y de la Agencia sobre CUI
• Executive Order (EO) 13556, Controlled Unclassified Information, Executive Order (EO)
13556
• 32 CFR Part 2002, Controlled Unclassified Information, 32 CFR Part 2002
• DM3440-001 USDA Classified National Security and Controlled Unclassified Information
Program Manual, DM3440-001
• DR3440-001 USDA Classified National Security and Controlled Unclassified Information
Program Regulation, DR3440-001
Su Responsabilidad
La información es un activo crítico para el gobierno de los Estados Unidos. Es su responsabilidad el
proteger la información sensitiva y clasificada del gobierno que le haya sido confiada.
Por favor contacte a su punto de seguridad para más información acerca del manejo o clasificación
de la información.
Destino 3: Información Personal De Identificación (PII)
Destino Objetivo(s)
Información Personal de Identificación (PII) es una comodidad valiosa y negociable. Asegúrese que
siempre esté bajo su control. De lo contrario asegure que esté contenida y asegurada.
Si usted tiene un archivo compartido o algún SharePoint y los está enviándolos vía email, asegúrese
de que este cifrado (encrypted) y de que sea enviado a otros que tienen una razón específica de
trabajo para tenerlo. Envíe la contraseña en otro correo electrónico. USDA cuenta con usted para
que sea un protector de PII y refuerce los buenos hábitos de privacidad.Objetivos de Aprendizaje Luego de completar esta lección, usted debe: • Identificar Información Personal De Identificación (PII). • Entender la responsabilidad relacionada al PII. • Saber cómo responder a un “Incidente” y a una “Brecha” Esta lección incluye los siguientes tópicos: • Definición de PII • Responsabilidades de PII • Estándares de PII • Como manejar un “Incidente” y a una “Brecha” Sobre PII ¿Qué es la Información Personal De Identificación (PII)? De acuerdo con la publicación especial del Instituto Nacional de Estándares y Tecnología, NIST SP 800-122, PII es: ‘Cualquier información sobre un individuo mantenida por una agencia, incluyendo (1) cualquier información que pueda ser utilizada para distinguir o rastrear la identidad de un individuo, tales como: nombre, número de seguro social, fecha y lugar de nacimiento, apellido de soltera de la madre o archivos biomédicos; y (2) cualquier otra información que esté asociada o que se pueda asociar a un individuo, tales como: médica, educacional, financiera e información de empleo. Debido a que hay diferentes tipos de información que puede ser utilizada para distinguir o rastrear la identidad de un individuo, el término PII es necesariamente amplio.’ • PII viene en varias formas: copia impresa o electrónica Ejemplos de PII que también son percibidos como información que se puede asociar de PII (esta lista no es toda inclusiva): • Nombre • Número de Seguro Social/ Número de identificación de Impuestos (Tax) • Dirección Residencial Personal • Correo Electrónico Personal • Número De Teléfono Personal • Fecha Y Lugar De Nacimiento • Número De Licencia De Conducir • Imagen Fotográfica • Huellas Digitales • Firma De Voz • Escaneo De Retina
Si usted no está seguro sobre lo qué es PII, por favor verifique con su Oficial de Privacidad/Analista/
Administrador del Programa de Seguridad de Sistemas de Información (o ISSPM por sus siglas en inglés) de
su agencia.
En USDA cada uno es responsable por PII
¿Qué doctrinas hacen que sea necesario para las agencias federales proteger la información privada
de un individuo?
• The Privacy Act of 1974 as amended, 5 U.S.C. § 552a
• Office of Management and Budget (OMB) Circular A-130
• OMB M 03-22
• OMB M 06-16
• OMB M 17-12
• E-Government Act of 2002
• Fair Information Practice Principles
• Children's Online Privacy Protection Act of 1998
• National Institute Standards and Technology Special Publication 800-122.
Estándares y las mejores prácticas de la industria
Las siguientes son algunas de las mejores prácticas cuando esté manejando PII:
• Minimice de la Data- control de privacidad- “necesita saber” y no use el número de Seguro
Social (SSN) estrictamente como único identificador.
• Encriptar la data que está disponible y la que está en transmisión.
• Proteja la información como si fuera suya- previniendo el robo de identidad.
• Asegure PII- físicamente y lógicamente
• Encriptar los dispositivos de medios.
• Proteja los documentos con el uso de contraseñas y separe las contraseñas con una
transmisión por separado.
• Cubriendo (Mask) PII
• No deje PII desatendido
• Utilice líneas telefónicas que sean seguras
• Utilice doble envoltura en los paquetes
Acta de Privacidad de 1974, según enmendada:
Establece un código de información de prácticas justas que gobierna la colección, el mantenimiento,
el uso y la diseminación de la información sobre individuos que ha sido mantenida por las agencia
gubernamentales en los archivos de los sistemas. Esta acta no aplica a los archivos mantenidos por
el estado, gobierno local, compañías privadas u organizaciones. Bajo esta acta, sólo se conceden los
derechos a ciudadanos estadounidenses (U.S.) e inmigrantes admitidos legalmente.
• Protegen la información del individuo
• Minimiza la colección
• Mantiene precisión
• Identifica el uso para los archivos
• Excepciones específicas (12) para la revelación• Excepcionas específicas (10)
• Individuos pueden solicitar acceso a sus archivos
• Los individuos pueden enmendar sus records o archivos.
• Las agencias federales tienen que tener seguridad física y administrativa para prevenir la
publicación no autorizada de records personales.
¿Sabía Usted?
Penalidades Criminales
• “Cualquier oficial o empleado de una agencia que por virtud de su empleo o posición oficial
tiene posesión o acceso a los archivos de las agencias que contienen información de
identificación individual para a revelación, la cual está prohibida en esta sección o por las
reglas o regulaciones establecidas debajo y sabiendo que la revelación de este material en
específico está prohibido y deliberadamente lo revela de alguna manera a cualquier persona o
agencia no permitida y que no esté autorizada para recibirla, debe ser culpable de la violación
y ser multado no más de $5,000.” 5 U.S.C. § 552a (i)(1).
• “Cualquier oficial o empleado de una agencia que deliberadamente mantiene un sistema de
archivos sin cumplir con los requerimientos de notificación de la sub-sección (e)(4) de esta
sección, debe ser culpable de una violación y multado a no más de $5,000.” 5 U.S.C. § 552ª
(i)(2).”
• “Cualquier persona o individuo que conscientemente y deliberadamente solicita y obtiene
cualquier archivo (record) relacionado a un individuo de una agencia bajo falsas premisas,
debe de ser culpable de violación y ser multado no más $5,000.” 5 U.S.C. § 552a (i)(3).”
¿Sabía Usted?
Memorando 17-22 de la Oficina de Manejo y Presupuesto (OMB por sus siglas en inglés),
“Preparándose y Respondiendo a PII”:
• Definición de un Incidente:
Una situación que:
1) realmente o inmediatamente expone sin ninguna autoridad legal, integridad,
confidencialidad o disponibilidad la información en un Sistema de información;
O
2) constituye una violación o amenaza inminente a la violación de la ley, las
políticas de seguridad, procedimientos de seguridad o uso aceptable de las
políticas.
• Definición de Brecha:
La pérdida de control, cooperación, publicación no autorizada, adquisición no
autorizada o alguna situación similar donde:1) Una persona que no sea un usuario con acceso autorizado o que
potencialmente tenga acceso a la información de identificación personal
O
2) Un usuario autorizado accede o potencialmente puede tener acceso a la
información de identificación personal que no sea con un propósito autorizado.
¿Qué usted haría si encuentra un incidente de PII o una brecha?
1. Si el incidente de PII ocurre- Llame al Centro de Información de Seguridad (ISC por sus siglas
en inglés)- equipo de Respuesta a Incidente de Computadoras vía número de la línea directa
(hotline) mostrado en la parte de abajo
2. ISC conduce la Evaluación de Riesgo y asigna el nivel del incidente.
3a. Si el Nivel del Incidente es Bajo:
• El incidente es manejado por ISC y su proceso incluye la colaboración y la
comunicación de la agencia y el nivel inicial termina.
3b. Si el Nivel de Incidente es Alto:
• La notificación incluye el Jefe Oficial de Privacidad y el personal
• El Proceso de Incidente de PII incluye la colaboración y comunicación de la agencia e
ISC.
Número de la Línea Directa (Hotline) para incidentes De PII I: 1-877 PII 2YOU (1-877-744-2968)
Destino 4: Amenazas en General
Destino Objetivos
Es importante entender la diferencia entre las amenazas y vulnerabilidades y cómo estas pueden
afectar su sistema.
Una amenaza es cualquier circunstancia o evento que potencialmente puede afectar a un sistema de
información, ya sea destruyéndolo, divulgando la información almacenada en el sistema, modificando
la data adversamente o haciendo que el sistema no esté disponible.
Una vulnerabilidad es una debilidad en los sistemas de información o en sus componentes y la
misma pueda ser aprovechada. Las vulnerabilidades existen cuando hay una falla o debilidad en un
software o hardware y puede ser aprovechada por los hackers (piratas cibernéticos). También estas
son frecuentemente el resultado de una falla en la codificación del software. Para corregir una
vulnerabilidad, el proveedor debe emitir una solución en forma de un parcho para el software.
Objetivo de AprendizajeLuego de completar esta lección, usted podrá:
• Diferenciar entre una amenaza y vulnerabilidad e identificar los riesgos asociados a cada una
de ellas.
• Entender las diferencias entre una Amenaza Humana Interna vs. Externa
Esta lección incluye los siguientes tópicos:
• Categorías de Amenazas
• Amenazas Ambientales
• Amenazas Humanas Internas vs Externas
Categorías De Amenazas
Amenazas Ambientales
Los eventos naturales ambientales--incluyendo los rayos, incendios, huracanes, tornados o
inundaciones-- representan amenazas a los sistemas de información.
El sistema del ambiente-- incluyendo el pobre alambrado del edificio o la insuficiencia en la
refrigeración de los sistemas--también puede causar daño a los sistemas de información.
¿Cómo puede protegerse contra de las amenazas ambientales?
Reglas de Comportamiento- Hardware/ Amenazas Ambientales
Los usuarios deberán hacer lo mejor posible para proteger a su equipo de computadora de daños,
abuso, robo y uso sin autorización
Los usuarios deberán proteger sus equipos de amenazas tales como:
• Temperaturas Extremas
• Tormentas Eléctricas
• Agua y Fuego
• Electricidad estática
• Derrames de Comida y Bebida
• Objetos Caídos
• Ambientes con Exceso de Polvo
• Materiales Combustible
Amenazas Humanas Internas Vs. Externas
Una amenaza interna puede ser un usuario malicioso o disgustado, un usuario al servicio de grupos
terroristas o países extranjeros o un daño auto-infligido no intencional, tal como un accidente o un
mal hábito.
Miremos de cerca las amenazas humanas al sistema de información federal. Las grandes
amenazas a este sistema son internas-- de personas que tienen el conocimiento y el acceso a los
recursos computadorizados de su organización.
Una amenaza interna o una persona dentro una organización, es cualquiera que tenga acceso
legítimamente físico o administrativo a una computadora y puede hacer un mal uso o aprovecharse
de la debilidad del sistema.Otros, debido a la falta de entrenamiento o conocimiento también pueden hacer daño. Aunque hay
programas de seguridad para prevenir el acceso no autorizado a los sistemas de información y
empleados que son sujetos a una investigación de trasfondo, ciertas experiencias en la vida pueden
alterar el comportamiento normal de las personas y esto ocasiona que ellos actúen ilegalmente. El
estrés, divorcio, problemas financieros o frustraciones con los compañeros de trabajos o alguna
organización son algunos ejemplos que pueden transformar a un usuario de confianza en una
amenaza interna.
¿Cómo usted puede proteger en contra las amenazas internas humanas?
• Manteniendo un inventario de todos los equipos que le hayan sido asignados.
• Solamente utilice equipos a los cuales se les ha concedido autorización.
• No deje su computadora en un vehículo estacionado o en una localización que no sea segura
y su equipo pueda ser robado.
• Siga los procedimientos establecidos cuando esté removiendo equipo de las facilidades de
USDA. Esto usualmente requiere un pase de la propiedad.
• No instale o utilice un software o hardware no autorizado en la red, incluyendo computadoras
personales portátiles, computadoras de bolsillo, asistentes personales digitales y teléfonos
celulares habilitados en la red; excepto los que han sido expresamente autorizados.
• No altere la configuración, incluyendo la instalación de software y periféricos en equipos del
gobierno a menos de que esté autorizado.
• Notifique a la administración antes de relocalizar los recursos informáticos.
• Cuando sea posible, utilice dispositivos de bloqueo físico para computadoras portátiles y
tenga cuidado adicional para otros equipos portátiles.
Amenazas Humanas Internas VS. Externas
Las amenazas humanas pueden ser internas o externas.
Una amenaza externa puede ser: hackers, grupos terroristas, países extranjeros o manifestantes.
Las amenazas externas o intrusos son principalmente los hackers. Un intruso es un individuo que no
tiene acceso autorizado a un sistema informático de una organización.
¿Qué usted debe saber?
• Hoy día los hackers pueden incluir representantes de países extranjeros, grupos terroristas u
organizaciones criminales.
• Los hackers están muy avanzados en las destrezas de computadoras y tienen acceso a
piratear (hacking) el software que provee la capacidad de rápida y fácilmente identificar una
debilidad en el sistema de seguridad.
• Utilizando herramientas disponibles en el internet, un hacker es capaz de poner a funcionar
aplicaciones automatizadas en contra de miles de computadoras al mismo tiempo. Debido a
esto, los piratas cibernéticos o hackers representan un riesgo muy serio para la seguridad del
sistema de información federal.También puede leer
