Uso de dispositivos móviles para negocios urbanos

Propósito y alcance

El Capítulo 22I del Código Administrativo de la Ciudad establece el deber del Director de Seguridad de la Información de la Ciudad de desarrollar y actualizar los requisitos de ciberseguridad de toda la ciudad para mitigar el riesgo de la ciudad y cumplir con los requisitos legales y reglamentarios de ciberseguridad. El propósito de estos requisitos es establecer una política para la gestión segura y rentable de los dispositivos móviles, como teléfonos inteligentes y tabletas, utilizados para las actividades comerciales de la ciudad.

Los requisitos identificados en este documento se aplican a la información y tecnología digitales operadas por o para la Ciudad y el Condado de San Francisco y sus departamentos y comisiones. Los funcionarios electos, empleados, contratistas, socios, licitadores y proveedores que trabajan en nombre de la Ciudad y el Condado de San Francisco deben cumplir con esta política.

Los funcionarios de ciberseguridad, los enlaces, los profesionales de tecnología de la información (TI) y los profesionales de finanzas y presupuesto tienen la responsabilidad conjunta de implementar los siguientes requisitos técnicos y fiscales. Posteriormente, los departamentos deben desarrollar políticas o procesos departamentales que sean equivalentes o superiores a estos requisitos de toda la ciudad para abarcar prácticas específicas del departamento, promover la rentabilidad y reducir los riesgos potenciales.

Requisitos de la política

Todos los departamentos de la Ciudad deben adoptar los siguientes requisitos mínimos:

Emisión y desmantelamiento de dispositivos móviles propiedad de la ciudad

• Adquisición de nuevos dispositivos: los operadores de telecomunicaciones suelen ofrecer precios ventajosos para los modelos de dispositivos lanzados entre 12 y 24 meses antes que el último modelo de dispositivo. Estos modelos anteriores tienen capacidades técnicas sustancialmente similares a las de los modelos más recientes, y los departamentos deberían considerar seriamente la posibilidad de adquirir estos modelos de dispositivos anteriores para maximizar los posibles beneficios de costos y minimizar los posibles cargos por equipos en caso de terminación anticipada de los servicios.
• Aprobación de la emisión: se debe establecer un proceso y criterios departamentales para solicitar, revisar y aprobar o rechazar la emisión de dispositivos móviles propiedad de la ciudad. Consulte el Apéndice A para ver un formulario de aprobación de muestra.
• Registro de dispositivos: la emisión y aprobación de dispositivos móviles propiedad de la Ciudad debe registrarse con la justificación comercial adecuada y la información sobre el solicitante, el aprobador y el dispositivo.
• Reemplazo de dispositivos perdidos o dañados: los procesos de aprobación y emisión departamentales deben rastrear y gestionar las solicitudes de reemplazo de dispositivos.
• Revisión del inventario de dispositivos: el inventario de dispositivos móviles propiedad de la Ciudad debe revisarse trimestralmente, como mínimo, para confirmar que los dispositivos son necesarios para los negocios de la Ciudad, identificar los dispositivos móviles sin actividad y facilitar la suspensión de los pagos de la Ciudad por dispositivos móviles que ya no son necesarios para los negocios de la Ciudad.
• Devolución y desmantelamiento: los dispositivos móviles propiedad de la ciudad deben devolverse a la ciudad cuando ya no se utilicen o no se necesiten para su reutilización o desmantelamiento. Los dispositivos propiedad de la ciudad deben borrarse y volver a crear una imagen antes de volver a entregarlos o desmantelarlos.
• Separación de la Ciudad: los datos de la Ciudad en los dispositivos móviles propiedad de la Ciudad deben eliminarse cuando el personal se separa del empleo o contrato de la Ciudad.

Configuración de dispositivos móviles propiedad de la ciudad

• Versión y modelo del dispositivo: los dispositivos móviles propiedad de la ciudad deben cumplir con las versiones y tipos mínimos de sistema operativo y los modelos mínimos de dispositivo que admitan las medidas de seguridad técnicas de la ciudad. Nota: los modelos mínimos de dispositivo no son necesariamente los modelos más nuevos disponibles.
• Configuración de seguridad: los dispositivos móviles propiedad de la Ciudad deben configurarse con medidas de seguridad aprobadas (por ejemplo, aplicaciones móviles aprobadas para datos de la Ciudad) antes de usarse para negocios de la Ciudad.
• Sistema operativo actualizado: los dispositivos móviles propiedad de la ciudad deben actualizarse al último nivel de parche de un sistema operativo compatible a más tardar 14 días después de que el fabricante del sistema operativo emita la actualización.
• Se requiere bloqueo del dispositivo: los dispositivos móviles propiedad de la ciudad deben requerir un código de acceso, como mínimo, para desbloquear el dispositivo.
• Eliminación de datos de la ciudad: los datos de la ciudad en los dispositivos móviles propiedad de la ciudad deben eliminarse automáticamente si se ingresa repetidamente un código de acceso incorrecto, si se detecta manipulación del sistema operativo del dispositivo (es decir, jailbreak) o si el dispositivo móvil no se conecta con los sistemas de la ciudad durante un período de tiempo designado.

Protección de datos y legal

• Almacenamiento de datos y documentos de la ciudad: los datos y documentos de la ciudad deben almacenarse y accederse mediante aplicaciones móviles aprobadas y protegidas.
• Leyes de registros públicos: los datos y documentos de la ciudad están sujetos a las leyes de registros públicos.
• Registros de seguridad de la información: los registros de seguridad de la información, como los datos generados por aplicaciones de autenticación móvil o los códigos de seguridad y contraseñas enviados a dispositivos móviles, generalmente están exentos de la divulgación de registros públicos según las exenciones de la Ley de Registros Públicos de California.

Protección de seguridad física

• Protección contra robo o pérdida: los dispositivos móviles propiedad de la Ciudad deben protegerse contra pérdidas debido a robo o vandalismo y deben permanecer en posesión de la persona a quien se le entregó el dispositivo, a menos que hayan sido depositados en un lugar seguro, como una oficina municipal cerrada con llave, un lugar cerrado con llave en casa, el maletero de un automóvil o la caja fuerte de un hotel.
• Notificación inmediata de dispositivos perdidos: los dispositivos móviles que sean propiedad de la ciudad que hayan sido perdidos o robados deben notificarse de inmediato. Los datos de la ciudad deben eliminarse de estos dispositivos y los dispositivos móviles que sean propiedad de la ciudad deben desactivarse. 

Aprobado el 21 de septiembre de 2023