Download Uso y Seguridad de la Red Inalámbrica NORMA
Document related concepts
no text concepts found
Transcript
HOSPITAL METROPOLITANO DR. SUSONI DEPARTAMENTO: TITULO: NORMAS Y PROCEDIMIENTOS Política Institucional Uso y Seguridad de la Red Inalámbrica FECHA EFECTIVIDAD: Marzo 2014 FECHA DE REVISION: NORMA: El Hospital Metropolitano Doctor Susoni en Arecibo, en adelante hospital, posee una red inalámbrica en la cual los profesionales de la salud, Facultad Médica, Empleados, Pacientes, Visitantes, y demás miembros de la fuerza laboral pueden utilizar como herramienta para tener acceso al Internet y a los servicios en la red. El acceso a esta red inalámbrica es un privilegio, no un derecho. Por tal razón cada usuario debe cumplir con las normas y políticas establecidas. PROPÓSITO: Con el fin de proveer un uso adecuado de las tecnologías de información, el hospital se asegurará de proveer a los usuarios un acceso relativamente rápido, adecuado, seguro y eficiente. Esta política describe cómo la tecnología inalámbrica será utilizada, administrada, asegurada y apoyada. Describirá además como los usuarios de la red inalámbrica recibirán un servicio de calidad en cuanto a confiabilidad, integridad, disponibilidad y seguridad. Este documento estará en conformidad con la Política Institucional sobre “Uso de Internet, Redes Sociales, Correos Electrónicos (E-mails), Blogs, PodCasts y otros medios de intercambio de información electrónica y uso de equipo tecnológico personal”. ALCANCE: Facultad Médica, profesionales de la salud, Empleados, Pacientes, Visitantes y Estudiantes. Todo aquel que acceda, debe cumplir con esta política. PROCEDIMIENTO: I. Definición de términos – Para efectos de esta política las siguientes definiciones serán aplicadas: Red Inalámbrica: una red de comunicaciones que utiliza las ondas para transmitir y recibir datos “Access Point” (punto de acceso): equipo electrónico que actúa como punto central de conexión para los equipos que van a acceder la red inalámbrica Usuario: toda persona autorizada por el hospital a acceder al servicio a través de la red inalámbrica. Los usuarios están clasificados por grupos a los cuales se les proveerá el acceso de acuerdo a las funciones que realicen y los permisos otorgados para el cumplimiento de las mismas. Existirán dos tipos: internos (médicos, profesionales de la salud, entre otros) y externos (pacientes y visitantes). DSTI: Departamento de Sistemas y Tecnología de información, conocido antes como “Cómputos” HOSPITAL METROPOLITANO DR. SUSONI NORMAS Y PROCEDIMIENTOS Autenticación: el proceso de verificar la identidad del usuario que solicita el acceso Autorización: el proceso de asignar el permiso al usuario para manejar los accesos que solicita Cobertura: área geográfica donde se puede obtener la señal de la red inalámbrica Infraestructura Inalámbrica: todos los componentes involucrados para conformar una red inalámbrica Interferencia: degradación de la señal causada por la radiación electromagnética de otro dispositivo; la cual puede causar que la velocidad de transmisión/recepción de datos se reduzca, ocurran errores y/o pérdida de la señal “MAC Address” (MAC): código único que identifica el equipo Wi-Fi: término en inglés tomado de “wireless fidelity” para las comunicaciones inalámbricas Servicio: Servicio de acceso al Internet y/o red inalámbrica Equipo del Usuario: laptop o cualquier otro dispositivo móvil con soporte Wi-Fi que el usuario utilice para acceder al Internet a través de la red inalámbrica Privacidad: confidencialidad de la información que se transmite por la red inalámbrica Seguridad: medidas para proteger los recursos de comunicación de acceso no autorizado y preservar la disponibilidad e integridad del servicio II. Responsabilidades del DSTI 1. Aprobar toda instalación de equipo inalámbrico que tenga como propósito tener acceso a la red de comunicaciones del hospital. 2. Ofrecer asistencia, orientación y recomendaciones sobre el equipo de comunicaciones inalámbricas y su uso a todo aquel que por la naturaleza de sus funciones así lo requiera. 3. Será responsable además de: a. la creación, mantenimiento y actualización de las políticas, normas y procedimientos sobre el uso y la seguridad de la red inalámbrica b. informar a los usuarios de la red inalámbrica sobre dichas normas c. monitorear el rendimiento y la seguridad de todo el equipo de comunicaciones inalámbricas para prevenir acceso no autorizado a la red d. mantener un registro de todas las tarjetas de comunicación inalámbrica y puntos de acceso (autorizadas) en el hospital e. aprobar la instalación de equipo(s) y aplicativo(s) para la red inalámbrica f. atender y canalizar la solución de problemas en el caso de malfuncionamiento de la red 4. Asegurarse que todo equipo de comunicaciones, y sus respectivas conexiones cumplan con lo estipulado por las regulaciones aplicables tales como, pero sin limitarse a las leyes, sean estas federales, estatales o locales, así como las políticas, normas y procedimientos del hospital 5. Asegurarse que el servicio se ofrezca a través de una infraestructura que incluya puntos de acceso, garantizando así una amplia cobertura en el hospital HOSPITAL METROPOLITANO DR. SUSONI NORMAS Y PROCEDIMIENTOS III. Responsabilidades del Usuario 1. Todo usuario debe cumplir con todas las condiciones de uso dentro de la red inalámbrica e incluyendo pero sin limitarse a aquellos usuarios a los que les aplique el Manual del Asociado 2. Tomará todas las precauciones necesarias para que las comunicaciones que lleve a cabo no estén disponibles a terceros 3. Las comunicaciones inalámbricas no proveen necesariamente encriptación en los datos transmitidos, por lo que la protección de los datos es responsabilidad del usuario y de la aplicación que utilice para transmitir los mismos 4. No se permitirá, ni fomentará el uso no autorizado de la red inalámbrica para utilizar los sistemas administrativos de la Institución donde se transmiten o reciben datos confidenciales 5. Se protegerá el equipo con medidas de seguridad para prevenir el hurto o acceso no autorizado 6. Todo equipo está sujeto a monitoreo, pruebas de penetración y auditorías de seguridad 7. Se restringirá el uso o la cantidad de equipos por usuario, según disponga o entienda pertinente el DSTI luego de haber realizado un análisis de necesidad 8. Todo usuario es responsable de utilizar los equipos del hospital o los personales de manera correcta, de forma que los mismos estén protegidos de acceso no autorizado, accidentes, daños o hurtos. No deberá dejar ningún equipo sin supervisión en ninguna área del hospital IV. Seguridad Administrativa El mantenimiento de la seguridad e integridad de la red inalámbrica del hospital requiere de métodos que aseguren que sólo los usuarios autorizados puedan tener acceso al mismo. Para ello se estableció que: 1. Los usuarios deberán solicitar el privilegio para tener acceso a la red inalámbrica al DSTI 2. Dicha solicitud deberá ser por escrito completando un formulario dispuesto para estos fines para los sistemas de información del hospital 3. Entre los requisitos del formulario se encuentran: a. Nombre del Usuario b. Departamento al cual pertenece c. Acceso solicitado o modificación al mismo d. Justificación e. Firmas (solicitante y supervisor o persona que confiere la autorización) 4. En relación al acceso para los pacientes o visitantes, el acceso será mediante condiciones de uso al entrar en la red del hospital 5. En el momento que el paciente ya no esté activo en la Institución, se le cancelará el acceso a la red inalámbrica y a los visitantes se les restringirá el uso por tiempo, cada 30 minutos 6. La entrada será a través de los puntos de acceso que estén registrados y aprobados en el cumplimiento de las especificaciones requeridas HOSPITAL METROPOLITANO DR. SUSONI NORMAS Y PROCEDIMIENTOS 7. De igual manera, la instalación, manejo y uso del equipo de comunicaciones inalámbricas debe ser conforme a las leyes y regulaciones aplicables 8. Todo equipo será instalado y configurado por personal técnico cualificado 9. Se asegurará que ningún equipo interfiera con otro por el uso del ancho de banda 10. Al momento de configurar un equipo, se asegurará que ningún individuo tenga acceso a los mismos, sin la debida autorización 11. Ningún individuo puede conectar y/o instalar ningún equipo de comunicación a la red sin previa autorización 12. El orden de prioridad para resolver asuntos relacionados al equipo de comunicaciones inalámbricas será el siguiente: a. Tratamiento al paciente b. Áreas de Registro c. Áreas clericales d. Finanzas e. Facturación f. Manejo de Información g. Administración 13. En caso de identificar un uso indebido en la red, se llevará a cabo el siguiente procedimiento: a. Se referirá la situación al DSTI b. DSTI evaluará la situación identificada para determinar la acción a tomar c. Como medida preventiva se podría determinar desactivar la cuenta del usuario o desconectar el equipo de la red inalámbrica, si cualquiera de ellos representa un riesgo a la seguridad de la red d. De identificarse desviaciones a los procesos establecidos se le orientará al usuario, y dependiendo de los hallazgos identificados se podrá referir al Departamento de Recursos Humanos para la aplicación de la medida disciplinaria que corresponda 14. En el caso de los pacientes, sus acompañantes y visitantes leerán detenidamente las políticas de uso y aceptaran las mismas y firmarán un acuse de recibo 15. Se prohíbe toda transmisión y/o distribución de cualquier material en violación de cualquier ley o regulación aplicable. Esto incluye, pero no se limita a, todo material protegido por los derechos de autor, marcas, “trademarks”, secretos comerciales, y/u otros derechos de propiedad intelectual usados sin la debida autorización 16. El usuario no usara la red para bajar, subir, copiar o transmitir programas o aplicativos de ninguna índole 17. El transmitir y/o distribuir archivos de multimedia está prohibido 18. Se prohíbe además la transmisión y/o distribución de cualquier material discriminatorio, hostil, degradante, o intimidatorio para cualquier persona o grupo de personas 19. Se prohíbe el uso ilegal, cuestionable o abusivo de alguna otra forma, incluyendo, pero sin limitarse a cualquier transmisión que constituya o anime a una conducta penal, delictiva u ocasione una responsabilidad civil según cualquier legislación vigente 20. Se prohíbe transmitir mensajes que revelen cuestiones personales o privadas relativas a cualquier persona invadiendo así su privacidad 21. Está prohibido hacer mensajería en masa a cualquier destinatario HOSPITAL METROPOLITANO DR. SUSONI NORMAS Y PROCEDIMIENTOS 22. Está prohibido utilizar la identidad o acceso de otro usuario 23. No se permite el acceder o utilizar los datos, sistemas o redes, incluyendo cualquier intento de probar, explorar o verificar la vulnerabilidad de un sistema o de la red o de violar las medidas de seguridad o de autenticación 24. No se debe utilizar la red inalámbrica para fines comerciales, excepto que los mismos estén aprobados por el hospital 25. Esta prohibido transmitir y/o distribuir cualquier material que contenga aplicaciones de virus, troyanos, espías, etcétera, cualquier otro archivo, programa, o código informático diseñado o concebido para perturbar, dañar, limitar o cargar el funcionamiento de cualquier aplicativo o equipo de telecomunicaciones o para obtener datos y/o información no autorizados 26. No está permitido utilizar cualquier programa que tenga como fin: a. Hacer un rastreo de puertos en la red (“portscanning”) b. Recolectar información que está siendo transmitida c. Monitorear las comunicaciones d. Buscar vulnerabilidades en la red, servidores, computadoras, equipo de comunicación, equipo electrónico conectado a la red e. Falsificar la identidad de algún usuario f. Enviar mensajes en masa (“spamming”) IV. Seguridad Técnica 1. Para proveer un servicio adecuado de acuerdo a los intereses, necesidades y accesos designados para cada usuario el DSTI administrará los Grupos de Puntos de Accesos (GPA). 2. Cada uno de estos grupos tendrán sus normas, procedimientos, niveles de acceso. 3. Los grupos de acceso son los siguientes: a. Visitantes – son todos aquellos que llegan al hospital que no pertenecen al grupo denominado como empleados, o pacientes. Se incluyen pero sin limitarse a acompañantes, representantes de compañías que proveen servicios al hospital, capellanes, voluntarios, entre otros. b. Paciente – persona que acude a recibir un servicio de salud ya sea como hospitalizado, sala de emergencia o ambulatorio. c. Empleado – estudiantes practicantes, voluntarios, capellanes, personas por contrato y toda aquella persona que desempeñe sus funciones en el Hospital Metropolitano Dr. Susoni, y basados en su relación con dicho sistema hospitalario se le provea el acceso bajo dicho grupo. d. Facultad Médica – todos los miembros con privilegios de la facultad médica del Hospital. 4. Para que un usuario tenga acceso a la red inalámbrica, el equipo debe estar registrado en el servidor que autoriza la conexión de ese equipo a la red. 5. De acuerdo al grupo que pertenezca el usuario será el mecanismo por el cual tendrá que pasar para tener acceso. a. Todo dispositivo de paciente o visitante que desee conectarse al Internet deberá aceptar la política de uso. HOSPITAL METROPOLITANO DR. SUSONI NORMAS Y PROCEDIMIENTOS b. Todo dispositivo a utilizarse para acceder a la red interna por parte de los empleados, Facultad Médica y profesionales de la salud se registrará utilizando la seguridad por restricción de direccionamiento (MAC) en el DSTI 6. Será responsabilidad de cada individuo que realice funciones de supervisión notificar los nombres de los usuarios que requieran acceso, modificaciones o terminaciones de acuerdo a la necesidad. Para ello se utilizará el formulario dispuesto para estos fines. El DSTI evaluará los mismos y determinara acción a tomar. 7. Se mantendrá un registro de la creación, modificación y cancelación de los accesos otorgados. V. Condiciones de Uso 1. Es un requisito el que el usuario acepte las condiciones de uso para poder conectarse a la red. 2. En esta el usuario acepta las normas a partir del momento en que acceda el servicio. 3. Dicho usuario se autenticará con su nombre de usuario y contraseña, la cuál no debe compartir con ningún otro individuo. 4. El equipo del usuario externo tendrá soporte de conexión inalámbrica Wi-Fi para poder conectarse a la red. 5. El usuario es completamente responsable de mantener la confidencialidad de su contraseña. El hospital no será responsable de los contenidos transmitidos a través de la red, ya sean enviados o recibidos por los usuarios bajo su conocimiento o no. 6. El hospital supervisará el tráfico de la red y el uso del servicio de todos los usuarios con el propósito de verificar su uso apropiado, operación correcta del sistema, distribución justa de los recursos de red y para fines legales, entre otros, y según sea requerido. 7. El servicio podría ser interrumpido sin previo aviso; por razones de seguridad, mantenimiento correctivo o alguna causa externa como fallas energéticas o interrupción del servicio de Internet. Podría también interrumpirse debido a actualizaciones o reemplazo de equipos, las cuales podrían serán notificadas con anticipación. 8. El uso del servicio debe realizarse respetando los reglamentos y las leyes, así como los contenidos protegidos por derecho de autor y copyright, y en base al sentido común razonable. 9. El servicio no se utilizará para mostrar, transmitir o recibir contenidos considerados inapropiados y que atenten en contra de las buenas costumbres. 10. El uso inapropiado del servicio al incumplir con alguna de estas políticas, podría tener como consecuencia suspensión del servicio, acciones disciplinarias, o hasta acción legal. 11. El hospital no será responsable por daños de ningún tipo ocurridos en los equipos de los usuarios conectados a la red, ya sea que se deriven u ocurran al usar el servicio o como resultado de instrucciones de soporte técnico provistas por personal autorizado. 12. El hospital se reserva el derecho de aplicar filtros de contenido y otros sistemas de protección y/o supervisión del uso de la red sin previa notificación a los usuarios, con el objetivo de reforzar el cumplimiento de estas políticas y de mantener la red sana y segura. HOSPITAL METROPOLITANO DR. SUSONI NORMAS Y PROCEDIMIENTOS 13. Es responsabilidad de cada usuario mantener la seguridad de sus propios equipos al acceder a la red. Mantendrá un sistema operativo actualizado, y utilizará antivirus, en adición a las recomendaciones existentes o que surjan para cumplir con estándares de “Buenas Prácticas”. 14. Debido a que la red es un recurso compartido, se espera un uso razonable del tiempo de conexión y tráfico de red generado o recibido. Por ello se prohíbe realizar actividades, o usar programas, que hagan un uso intensivo del ancho de banda, como subir o descargar datos a altas tasas de transferencia. Como por ejemplo, el uso de la conexión para juegos en línea de alto consumo, como “Warcraft”, aplicaciones para bajar archivos de tipo “Torrent”, acceder videos de alta definición, entre otros. Esto podría tener como consecuencia el detrimento de la calidad general del servicio. 15. No se permite conocer, acceder, apoderarse, dañar, interferir, alterar o distribuir informaciones que se encuentran en los sistemas de información del hospital. 16. Cualquiera que viole alguna de las condiciones mencionadas o expuestas, contenidas en esta política esta sujeto a las medidas disciplinarias, o la aplicación de alguna medida legal. Todos los usuarios son responsables de notificar a la Oficina de Sistemas de Tecnologías de Información cualquier acción descubierta en relación a la violación de cualquiera de los procedimientos aquí dispuestos. ACUSE DE RECIBO USO Y SEGURIDAD DE LA RED INALAMBRICA Nombre: Posición: __ Empleado __ Practicante __ Facultad Médica __ Paciente __ Estudiante __ Voluntario __ Visitante __ Capellanes __ Otros: ____________ Departamento: Entiendo que si en el desempeño de mis funciones fuere requerido el acceso a la red inalámbrica tengo la responsabilidad de cumplir con la norma sobre el uso y seguridad de la red. No obstante, no fuere necesario dicho acceso, el mismo no implica el no cumplimiento con esta norma. Garantizaré la privacidad, confidencialidad, integridad, seguridad y disponibilidad de la información, la cual está protegida por las leyes estatales, federales, las políticas y normas del Hospital. Reconozco mis obligaciones como: según la posición seleccionada inicialmente en el recuadro arriba, las cuales están establecidas en la política, así como en las reglas y condiciones que rigen el uso de los sistemas de información en el Hospital. Acepto mi compromiso en el cumplimiento de esta norma y entiendo que la violación a la misma podría resultar en sanciones según establecidas en el Reglamento Disciplinario, que pueden conllevar hasta el despido y/o acciones legales que correspondan. _____________________________ Firma del empleado _____________________________ Fecha _____________________________ Firma del empleado _____________________________ Fecha