Todo el personal de la Mutua que de manera permanente o eventual tenga asignado un DCI, ya sea en su lugar de trabajo o complementario a éste, independientemente de que haga uso de él dentro de las dependencias de ASEPEYO o fuera de ellas.

Finalidad

Los DCI tienen como finalidad proporcionar acceso a servicios y recursos corporativos (correo, agenda, contactos, escritorio remoto, intranet, repositorio de archivos, portales web, internet, aplicaciones ofimáticas, herramientas colaborativas, impresión, digitalización, etc.), para el desempeño de las funciones de los trabajadores de la Mutua, facilitando el acceso a la información en situaciones de movilidad, como por ejemplo: desplazamientos y asistencia a reuniones.

Los dispositivos corporativos no deben ser usados para fines particulares y en cualquier caso estarán estrictamente sujetos a la Normativa de Seguridad descrita en el manual M-1329.

Normativa

Los DCI pueden contener información corporativa y acceder, en algunos casos, a los Sistemas de Información corporativos, por tanto, estarán sujetos a estrictos controles de seguridad y contarán con las medidas de protección descritas en esta normativa.

Los siguientes dispositivos estarán sujetos a dicha normativa, siendo de aplicación aquellos aspectos que en función de sus características y tipología de dispositivo sean de aplicación:

• Smartphones
• Portátiles
• Tablets
• Tokens físicos (llaveros)

Sin perjuicio de las medidas establecidas en la Normativa de Seguridad frente a código dañino y medidas de seguridad física y lógica, se adoptarán las siguientes medidas:

• La DTIC y con la aprobación de la Subdirección General pertinente establecerá los requisitos y las condiciones específicas a cumplir por la persona a la cual se le asigne un DCI.
• Es responsabilidad del usuario mantener y conservar adecuadamente todos los accesorios y embalaje original del DCI.
• En todos los casos, la propiedad de los DCI es de ASEPEYO y podrán ser retirados si se verifica un uso inadecuado.
• Se establecerá un sistema de protección perimetral (firewall, antimalware, filtrado de contenidos y MDM) en el equipo que minimice la visibilidad exterior.
• El usuario es responsable de mantener los elementos de seguridad operativos, las aplicaciones instaladas en el equipo y el estado y uso del mismo.
• Queda prohibido instalar software ilegal o que no se disponga de una licencia original del fabricante.
• No está permitida la manipulación de los DCI con objeto de sustituir, reemplazar, manipular o instalar cualquier componente.
• En los DCI-Portátiles queda prohibido instalar software que no sea con finalidades laborales. En cualquiera de los casos, se debe comunicar a ASEPEYO SEGURIDAD DTIC el software que se quiere instalar y la finalidad del mismo.
• El uso individual de los DCI-Smartphones y Tablets requiere del uso de unas credenciales (ID Apple o Gmail) que deben ser recordadas y custodiadas por el usuario hasta el día de su devolución.
• Asepeyo se reserva el derecho de monitorizar y revisar el uso y contenido de los DCI con objeto de identificar un mal uso de los mismos y/o una posible vulneración de la normativa corporativa.
• Aquellos DCI que tecnológicamente lo permita, se efectuará un cifrado de la unidad de almacenamiento de datos.
• Se controlará el acceso a la red de ASEPEYO cuando el equipo se conecte desde fuera de las instalaciones de la Mutua mediante una Red Privada Virtual (VPN).
• Se evitará que el equipo contenga claves de acceso remoto a ASEPEYO capaces de habilitar un acceso a otros equipos de la Mutua u otros de naturaleza análoga.
• Los usuarios son responsables de proteger adecuadamente los accesos (usuario y contraseña) de los servicios corporativos a los que tienen acceso desde el DCI.
• La salvaguarda y confidencialidad de los datos del DCI corporativo son responsabilidad del usuario.
• Queda prohibida la cesión de DCI entre usuarios.
• Finalizado el plazo de asignación del DCI, cuando se produzca un cambio de función del usuario, destino, baja definitiva o jubilación, el usuario o en su defecto su manager realizará la devolución del mismo (con todos su accesorios) a la DTIC.
• Los DCI devueltos a la DTIC pasarán por un proceso de borrado y eliminación de toda la información que pueda contener.
• Para los equipos obsoletos se procederá a su baja y retirada o reciclaje de acuerdo al procedimiento de retirada de equipos informáticos vigente (M-1288).

Debido a que los DCI tienen un riesgo manifiesto de pérdida o robo, se tomarán las siguientes medidas de precaución cuando se utilicen fuera de las dependencias de la Mutua:

• Cifrado: Los equipos DCI-Portátiles deben estar cifrados para evitar o minimizar el impacto que pudiera ocasionar una brecha de seguridad en caso de pérdida, robo o compromiso de la información contenida en el dispositivo. En caso de los portátiles que se están distribuyendo actualmente ya cuentan con este cifrado de disco, mientras que en los equipos MacBook este proceso de cifrado deberá realizarlo el usuario. Se añade a continuación el manual a seguir:

  

• Vigilancia permanente: Los equipos DCI deben estar vigilados y bajo control para evitar extravíos o hurtos que comprometan la información almacenada en ellos o que pueda extraerse de ellos. En los desplazamientos en medios de transporte, tales como avión, ferrocarril, autobús, barco, etc., este tipo de equipamiento no debe facturarse y deberá viajar siempre con el usuario. En caso de pérdida o hurto de cualquier DCI propiedad de ASEPEYO, se debe abrir inmediatamente una incidencia al Centro de Atención a Usuarios (CAU).
• Acceso seguro: El uso de los DCI en lugares públicos debe realizarse con la mayor cautela y precaución, evitando conexiones WiFi abiertas o en general conexiones inalámbricas, de forma que personas no autorizadas vean o escuchen información.
• Transporte seguro: Los DCI que salgan de las dependencias de ASEPEYO se deben transportar de manera segura, evitando proporcionar información sobre el contenido de los mismos y utilizando, en su caso, maletines o fundas que eviten rozaduras y golpes.
• Mantenimiento: Los equipos DCI se mantendrán de acuerdo a las especificaciones técnicas de uso, almacenamiento, transporte, etc., proporcionadas por el fabricante. En particular, se evitará su uso en condiciones de temperatura o humedad inadecuadas, o en entornos que lo desaconsejen (mesas con alimentos y líquidos, entornos sucios, etc.). Se deberá mantener el sistema operativo del DCI actualizado a la versión más reciente.
• Cuidado: Hay que tener especial cuidado con los DCI que dispongan de una pantalla táctil y por lo tanto sensibles a golpes y arañazos. Mantenerla limpia y en perfectas condiciones de uso. En los dispositivos móviles y tablets se recomienda colocar una funda protectora. En los dispositivos portátiles, especial atención a las bisagras que permiten la rotación de 360º de la pantalla y a los objetos (lápices o bolígrafos) que puedan quedar al cerrar la tapa y romper la bisagra.

Todos los usuarios son responsables de cumplir con las directrices de protección de DCI, dispuestas a través de esta normativa y del resto de normativas referenciadas.

Cualquier persona que administre o use un DCI propiedad de ASEPEYO, es responsable de mantener correctamente instalados y actualizados los sistemas de protección del equipo como requisito para el acceso a la Red Informática de la Mutua, ya sea desde la propia red de ASEPEYO o accediendo desde redes externas (WiFi, 3G/4G).

Es responsabilidad del usuario salvaguardar las credenciales de acceso, de los DCI que lo requieran (especialmente smartphones y tablets), permitiendo el desbloqueo, desvinculación y devolución de los mismos a la DTIC.

Cualquier contingencia (incidencia o mal funcionamiento) con el DCI, debe ser notificada inmediatamente abriendo una incidencia al Centro de Atención a Usuarios (CAU), ya sea creando un ticket por la Intranet o bien llamando al 900 670 070.

La pérdida por robo o extravío de un DCI, así como la rotura accidental del mismo, no representará una sustitución inmediata del mismo. Tras un informe de la causa, recurrencia, costes y análisis del impacto en materia de seguridad y privacidad, se escalará a la Subdirección General pertinente, para que valore si autoriza o deniega la nueva dotación de un DCI de características similares.

Juan Luis Pagés Lara
Director Tecnologías de la Información y Comunicación