CCRA continúa invirtiendo en la tecnología más avanzada para asegurar el respeto y la protección de información confidencial y sensible.
Nuestras políticas de seguridad abarcan los sistemas y aplicaciones de redes y computadoras, los procesos y procedimientos operativos y las ubicaciones físicas.
Seguimos los principios rectores recomendados por el centro de recursos del Instituto de Investigación de Seguridad de la Información SANS, a saber:
• Todos los usuarios y entidades deben autenticarse.
• Se aplica correctamente el principio de "acceso mínimo".
• La exposición al riesgo se equilibra con el costo de la mitigación de riesgos.
• Las medidas de seguridad se aplican de forma proactiva.
• Promovemos la clasificación, la conciencia y la buena gestión de la información.
• Utilizamos una exhaustiva planificación arquitectónica para garantizar que todos los elementos del programa de seguridad de la información estén definidos y planificados.
• Vamos a equilibrar cuidadosamente las necesidades comerciales y el rápido ofrecimiento de productos y servicios teniendo en cuenta los riesgos de seguridad que podría suponer para nuestros clientes o el daño a nuestra marca o reputación de la empresa.
• Vamos a invertir en seguridad de la información igualando o superando los parámetros de la industria para nuestro negocio.
• Adoptaremos estándares de la industria de seguridad donde sea necesario.
• Vamos a desarrollar la práctica de la seguridad informática con nuestros clientes externos e internos (mejor uso compartido de estándares, arquitectura de soluciones, tecnología, procesos y políticas)
Nuestros servidores están ubicados en un centro de datos Savvis. Los centros de datos Savvis ofrecen instalaciones de clase mundial para la administración de energía, calefacción, ventilación, aire acondicionado (sistema de climatización), extinción de incendios, ingeniería sísmica, seguridad física, conectividad a internet de primer nivel y acceso a nuestra red IP e IP/MPLS. Los servidores que alimentan sus servicios están protegidos con alimentación redundante, internet, interruptores, enfriamiento, extinción de incendios, dispositivos de seguridad y asistencia remota Gold.
Adicionalmente, todos nuestros servidores y datos están replicados y protegidos en una copia de respaldo en la nube para facilitar una recuperación rápida en el evento de una pérdida del servidor.
Esta seguridad nos permite ahorrar tiempo en cuestiones de infraestructura, y disponer de más tiempo para trabajar en funciones adicionales, automatización e innovación para nuestros clientes.
Protegemos nuestro negocio y sus clientes. Las soluciones de copia de seguridad que utilizamos proporcionan la protección de cualquier tipo de datos sin concesiones.
1. Seguridad e integridad de datos de primerísima categoría, y un sistema de recuperación de frase de paso única basada en los mejores estándares abiertos (AES-256, HMAC-SHA-256, RSA-3072, TLS / SSL, PBKDF2, FIPS 197, NIST 800-38A). Todos los datos de archivo se almacenan en el disco después de cifrarlos, y durante su transmisión están protegidos por un cifrado doble. No podemos acceder a sus claves o datos de cifrado bajo ninguna circunstancia. Tenemos medidas sofisticadas de protección continua y reparación de la corrupción de datos silenciosa.
2. Una solución única para las copias de seguridad remotas y locales, lo que le permite simplificar la configuración y el seguimiento de las mismas y ofrecer una mejor experiencia al cliente. Ahora se puede usar un solo producto para respaldar y restaurar datos instantáneamente de forma local y remota.
3. Motor de copia de seguridad incremental a nivel de bloque, de alta velocidad, totalmente automático, compatibilidad ilimitada con diferentes versiones, compresión, Exchange 2003/2007 & Servidor SQL, archivos abiertos y cerrados, archivos muy grandes ( superiores a 4 GB), dispositivos de red asignados, y edición visual y manual de las políticas arbitrariamente complejas.
4. Funciones centralizadas, de aprovisionamiento, gestión, notificación, y seguimiento de uso sencillo. Notificación de correo electrónico instantáneo de errores / advertencias, falta de copia de seguridad, y los cambios de uso de disco inesperados.
5. Mejor infraestructura auxiliar de su clase, capas de almacenamiento redundante con software basado en la corrección de errores adicional (por encima y más allá de almacenamiento redundante), comprobaciones de integridad de datos de extremo a extremo (software y hardware), y proactiva, escaneo automatizado de integridad de archivos para evitar pérdida de datos alguna.
6. Estrategia de respaldo incremental de delta inverso asegura que la última copia de seguridad represente un respaldo completo siempre, mientras que los deltas incrementales transmitidos y almacenados son todavía pequeños. Esto permite restauraciones más rápidas y también significa que una vez que la copia de seguridad completa se carga la primera vez (o se precarga a través de una memoria USB), a continuación sólo se precisan copias de seguridad incrementales (en contraste con otros sistemas de respaldo como el de cinta donde periódicamente se debe realizar un respaldo completo).
Nuestra solución de copia de seguridad basada en la nube tiene el objetivo de reducir el tiempo de recuperación (objetivo de tiempo de recuperación cercano a cero) y proporcionar una granularidad de punto de recuperación de 5 minutos. Es escalable y permite la recuperación de copias de seguridad en cualquier ubicación o máquina virtual, incluso con hardware diferente al de la fuente de la copia de seguridad. También permite la recuperación granular a nivel de objeto para ambos archivos y objetos a nivel de aplicación, tales como mensajes de correo electrónico.
Utilizamos la plena eficiencia y la agilidad de la computación en la nube mediante la virtualización, la agrupación y la automatización de todos los recursos/servidores de centros de datos, almacenamiento, conectarse, la gestión de seguridad, y la disponibilidad y la agrupación de todos estos elementos con el aprovisionamiento basado en políticas y la gestión de operaciones automatizadas. El resultado es un centro de datos definido por software, donde:
· Capacity expands and contracts as needed.
· Applications can be provisioned on-demand.
· Every application is assured of the right levels of performance, cumplimiento y seguridad.
· IT can shift resources and budget away from infrastructure management and maintenance, hacia la creación de innovaciones ventajosas para su empresa.
Propósito
Sentar las bases para la protección de la confidencialidad de datos en CCRA, mediante el establecimiento de un sistema de clasificación de datos. Otras políticas y normas especificarán los requisitos para el manejo de datos en función de su clasificación.
Alcance
Esta norma se aplica a todos los datos o información creados, reunidos, almacenados o procesados por CCRA, en formatos electrónicos o no electrónicos.
Política
En CCRA todos los datos se clasificarán según las categorías siguientes. Las colecciones de información diversa deben clasificarse con el nivel de clasificación más seguro de un componente de información individual con la información agregada.
1. Restringido: Los datos recopilados, desarrollados, mantenidos o gestionados, en cualquier formato, por o en nombre de la universidad, o en el ámbito de las actividades universitarias, que están sujetos a protecciones específicas conforme a leyes o reglamentos federales o estatales o contratos aplicables. Los ejemplos incluyen en forma enunciativa, pero no limitativa las historias clínicas, números de seguro social, números de tarjetas de crédito, licencias de conducir, legajos laborales de empleados y datos técnicos de exportación controlada.
2.Sensible : Datos cuya pérdida o divulgación no autorizada podría menoscabar las funciones de CCRA, causar pérdida financiera o de reputación significativa o conducir a responsabilidad legal probable. Los ejemplos incluyen en forma enunciativa, pero no limitativa a, información confidencial del cliente, informacion financiera, documentos de estrategia e información utilizados para asegurar el entorno físico o información de CCRA.
3. Abierto : Datos que no corresponden a ninguna de las otras clasificaciones de información. Estos datos pueden estar disponibles en general sin la aprobación específica del propietario o delegado asignado. Los ejemplos incluyen en forma enunciativa, pero no limitativa a, anuncios publicitarios, anuncios de ofertas de trabajo, materiales de marketing empresarial, reglamentos y políticas, títulos de publicaciones del personal y comunicados de prensa.
Responsabilidades
1. Los propietarios de los datos son responsables de su clasificación correcta.
2. Los custodios de datos son responsables de etiquetar los mismos con la correspondiente clasificación y aplicar las medidas de protección necesarias y sugeridas.
3.Los usuarios de datos son responsables de cumplir con los requisitos de uso de los datos.
4. Los usuarios de datos son los responsables de enviar de forma inmediata las solicitudes de información restringida o sensible al presidente y al director de tecnología.
Procedimiento de monitorización de recursos de TI
CCRA puede monitorizar los recursos de TI y recuperar comunicaciones y otros registros de usuarios específicos de recursos de TI de CCRA, incluso la sesión de inicio individual y el contenido de las comunicaciones individuales, sin previo aviso. Los criterios y pasos necesarios para la aprobación de este seguimiento o recuperación sin previo aviso se exponen en esta política.
La solicitud de dicho control o recuperación de los registros y documentos debe ser proporcionada al director de tecnología (o de la persona designada) con las aprobaciones necesarias. Las aprobaciones deben obtenerse del presidente y del director ejecutivo (o de la persona designada) que supervisa la unidad que solicita dicho acceso. Si los registros están siendo monitoreados o recuperados a efectos de la revisión o investigación de conducta de los empleados, También se requiere la aprobación de Recursos Humanos.
La aprobación previa no es necesaria para controlar los recursos de TI de CCRA o recuperar las comunicaciones y otros documentos en las siguientes situaciones:
Las comunicaciones y/o registros se han puesto a disposición del público, como mediante la publicación en una página web.
Cese de la autorización de una persona para acceder o utilizar recursos TI de CCRA, por ejemplo, al terminar su empleo o nombramiento.
El seguimiento o recuperación es en respuesta a una emergencia. Una emergencia se produce cuando hay una amenaza inminente para la vida o la propiedad y se carece de tiempo suficiente para obtener la autorización pertinente. En dicha situación, la monitorización o recuperación se puede realizar sin autorización previa, con notificación al director respectivo tan pronto como sea posible. El alcance del acceso debe ser razonable en relación a la situación de emergencia respectiva.
La autorización podrá concederse para monitorizar comunicaciones o recuperar registros cuando concurra una o más de las siguientes situaciones:
Parece razonablemente necesario o pertinente para proteger la integridad, seguridad o funcionalidad de CCRA o de otros recursos informáticos.
Parece razonablemente necesario o pertinente para cumplir con los requisitos legales o contractuales o para proteger a CCRA de responsabilidad o alteración. Ejemplos de situaciones en las que el acceso y la recuperación están autorizados conforme a este párrafo incluyen en forma enunciativa pero no limitativa las respuestas a las solicitudes de registros públicos, citaciones, órdenes judiciales, y solicitudes de divulgación.
Existe causa razonable para suponer que el usuario ha violado o viola la política de uso aceptable o que el usuario ha violado, o viola, cualquier otra norma, disposición, política, o acuerdo de negociación colectiva de CCRA, o cualquier otra ley o disposición, y el acceso es razonable en relación con la violación supuesta.
Si es parte de una investigación o revisión de una demanda o reclamo ya interpuesta, o con carácter amenazante o potencial o de una acusación verosímil de incumplimiento de la ley, que incluye a titulo meramente enunciativo las leyes locales, estatales o federales, o leyes extranjeras según corresponda, o norma, reglamento o política de CCRA, o está sujeto a reconsideración o investigación de las autoridades policiales, y la extensión de la accesibilidad a la cuenta o la actividad sea razonable con respecto a la demanda, el reclamo o la acusación.
Si hay sospecha de actividad inusitada o inusualmente excesiva de una cuenta.
Legítima necesidad de CCRA a de acceder a una cuenta o actividad y el acceso sea razonable con respecto a la necesidad.
Los resultados de todo seguimiento general o individual, incluye en forma enunciativa pero limitativa el contenido y los registros de comunicaciones individuales, y pueden divulgarse en virtud de una solicitud de registros públicos. Adicionalmente, CCRA, a su discreción,, puede dar a conocer los resultados de todo seguimiento general o individual, con cualquier propósito legítimo, al personal de CCRA pertinente a los organismos de seguridad y puede utilizar esos resultados en procedimientos disciplinarios y otros, tanto externos como internos.
Uso Aceptable de los Recursos de Tecnología de la Información
Este es un resumen de la Política de Uso Aceptable de CCRA. Los usuarios están obligados a cumplir con la política completa. Los requisitos de autorización se detallan en la política completa.
Los recursos de Tecnología de la Información de CCRA (TI) que se utilizarán para fines comerciales relacionados con CCRA. Algunos ejemplos de los recursos de TI son computadoras, software, redes, y dispositivos. Esta política se aplica a todos los usuarios de los recursos de TI de CCRA, ya sea afiliado a CCRA o no, y para todos los usuarios de esos recursos, ya sea en la sede o desde ubicaciones remotas. Es la responsabilidad de los usuarios cumplir la Política de Uso Aceptable de CCRA.
Reglas generales
1. Los usuarios de los recursos de TI de CCRA deben cumplir con todos los requisitos legales aplicables.
2. Los usuarios son responsables de cualquier actividad originada desde sus cuentas. Los usuarios no deben compartir sus cuentas y contraseñas.
3. Los usuarios no deben utilizar los recursos de TI para obtener accesos no autorizados.
4. No se permite el uso de los recursos de TI de CCRA con fines perjudiciales.
5. Se permite a los empleados el uso personal de los recursos de TI de CCRA de manera ocasional, cuando dicho uso no consuma una cantidad significativa de esos recursos, respeta las disposiciones de esta política, y cuenta con la aprobación del supervisor.
6. CCRA puede monitorear la actividad y las cuentas de los usuarios de los recursos de TI de CCRA.
7. Las comunicaciones relacionadas con la actividad comercial de CCRA están en general sujetas a los requisitos de las leyes estatales de registros públicos y de retención.
8. Los usuarios no deben aumentar la infraestructura de la red de CCRA sin aprobación previa.
Requisitos adicionales se aplican a la recolección, uso, almacenamiento, y mantenimiento de datos confidenciales.
Consecuencias de infracciones
Los usuarios que violen esta política pueden estar sujetos a sanciones y medidas disciplinarias, como expulsión, despido, o revocación de acceso de usuario.
Gestión de autenticación
Los mecanismos de autenticación tales como contraseñas son el medio de protección principal del acceso a los sistemas y datos informáticos. Es esencial que estos autenticadores tengan una construcción fuerte y se utilicen de forma de evitar que puedan ser comprometidas.
Alcance:
Esta política se aplica a todas las contraseñas y otros métodos de autenticación utilizados en CCRA.
Política:
1. El acceso a todos los datos y sistemas CCRA no destinados al acceso público irrestricto requiere autenticación.
2. Las contraseñas y otros autentificadores deben estar construidos para resistir ataques de forma proporcional al nivel de sistema o de acceso a datos concedido a la cuenta.
3. Los sistemas deben ser diseñados y configurados para proteger las contraseñas durante el almacenamiento y transmisión.
4. Nadie puede solicitar a otra persona compartir la contraseña de una cuenta CCRA asignada individualmente, por ejemplo, como una condición de empleo o con el fin de proporcionar asistencia técnica.
Responsabilidades:
1. Todos los empleados de CCRA son responsables de cualquier actividad que resulte del uso de métodos de autenticación emitidos en su favor.
2. Todos los empleados de CCRA son responsables de proteger la contraseña o método de autenticación asociado a una cuenta CCRA asignada de forma individual. Las contraseñas no se pueden compartir o ceder a ninguna otra persona.
3. Todos los empleados de CCRA son responsables de informar cualquier uso sospechoso de los mecanismos de autenticación asignados. Cualquier persona que tenga una sospecha razonable de que su contraseña es conocida por alguien más debe cambiarla inmediatamente. Se debe informar inmediatamente de la pérdida o robo de cualqueir dispositivo de autenticación.
4. Los gerentes de seguridad de la información son los responsables de verificar que los sistemas de información bajo su control, y los destinados a la adquisición o desarrollo de su unidad, cumplan con esta política.
5. El Director de Tecnología es responsable de la implementación de sistemas y especificaciones para facilitar el cumplimiento de la unidad con esta política.
Marketing responsable
CCRA se ajusta atodas las leyes aplicables cuando se trata de marketing y su privacidad. No compartimos su información con terceros y siempre respetamos su opción de no recibir comunicaciones.
Igualdad de oportunidades
Aseguramos la igualdad de oportunidades de empleo para todos los postulantes y empleados de CCRA sin distinción de raza, color, religión, procedencia, género, discapacidad, edad, estado civil o preferencia sexual.