Uso de dispositivos móviles para negocios urbanos

La Ciudad y el Condado de San Francisco (Ciudad) se dedica a desarrollar un programa de gestión de costos eficaz y de ciberseguridad sólido para respaldar, mantener y proteger la infraestructura y los sistemas de datos críticos.

El Capítulo 22I del Código Administrativo de la Ciudad establece la responsabilidad del Director de Seguridad de la Información de la Ciudad de desarrollar y actualizar los requisitos de ciberseguridad a nivel municipal mitigar; reducir los riesgos y cumplir con los requisitos legales y reglamentarios en materia de ciberseguridad. El propósito de estos requisitos es establecer una política para la gestión segura y rentable de los dispositivos móviles, como teléfonos inteligentes y tabletas, utilizados en las actividades de la Ciudad.

Los requisitos identificados en este documento se aplican a la información y tecnología digital operada por o para la Ciudad y el Condado de San Francisco y sus departamentos y comisiones. Los funcionarios electos, empleados, contratistas, organizaciones asociadas, licitadores y proveedores que trabajan en nombre de la Ciudad y el Condado de San Francisco deben cumplir con esta política.

Los oficiales de ciberseguridad, los enlaces, los profesionales de TI y los profesionales de finanzas y presupuesto tienen la responsabilidad conjunta de implementar los siguientes requisitos técnicos y fiscales. Posteriormente, los departamentos deben desarrollar políticas o procesos departamentales que sean equivalentes o superiores a estos requisitos municipales para abarcar las prácticas específicas de cada departamento, promover la rentabilidad y reducir los riesgos potenciales.

Todos los departamentos de la Ciudad deben adoptar los siguientes requisitos mínimos:

Emisión y desmantelamiento de dispositivos móviles propiedad de la ciudad

• Adquisición de nuevos dispositivos: Los operadores de telecomunicaciones suelen ofrecer precios ventajosos para los modelos de dispositivos lanzados entre 12 y 24 meses antes del último modelo. Estos modelos anteriores tienen capacidades técnicas sustancialmente similares a las de los modelos más recientes, y los departamentos deberían considerar seriamente su adquisición para maximizar los posibles beneficios en costos y minimizar los posibles cargos por equipos en caso de una terminación anticipada de los servicios.
• Aprobación de la Emisión: Se debe establecer un proceso y criterios departamentales para solicitar, revisar y aprobar o rechazar la emisión de dispositivos móviles propiedad de la Ciudad. Consulte el Apéndice A para ver un ejemplo de formulario de aprobación.
• Registro de dispositivos: la emisión y aprobación de dispositivos móviles propiedad de la Ciudad debe registrarse con la justificación comercial adecuada y la información sobre el solicitante, el aprobador y el dispositivo.
• Reemplazo de dispositivos perdidos o dañados: los procesos de aprobación y emisión departamentales deben rastrear y gestionar las solicitudes de dispositivos de reemplazo.
• Revisar del inventario de dispositivos: el inventario de dispositivos móviles propiedad de la Ciudad debe revisarse trimestralmente, como mínimo, para confirmar que los dispositivos son necesarios para los negocios de la Ciudad, identificar los dispositivos móviles sin actividad y facilitar la suspensión de los pagos de la Ciudad por los dispositivos móviles que ya no son necesarios para los negocios de la Ciudad.
• Devolución y Desactivación: Los dispositivos móviles propiedad de la Ciudad deben devolverse a la Ciudad cuando ya no se utilicen o no se necesiten para su reemisión o desactivación. Los dispositivos propiedad de la Ciudad deben borrarse y reimprimirse antes de su reemisión o desactivación.
• Separación de la Ciudad: los datos de la Ciudad en los dispositivos móviles propiedad de la Ciudad deben eliminarse cuando el personal se separa del empleo o contrato de la Ciudad.

Configuración de dispositivos móviles propiedad de la ciudad

• Versión y modelo del dispositivo: Los dispositivos móviles propiedad de la Ciudad deben cumplir con las versiones y tipos mínimos de sistema operativo y modelos mínimos que cumplan con las medidas de seguridad técnicas de la Ciudad. Nota: Los modelos mínimos de dispositivo no son necesariamente los más recientes disponibles.
• Configuración de seguridad: los dispositivos móviles propiedad de la Ciudad deben configurarse con medidas de seguridad aprobadas (por ejemplo, aplicaciones móviles aprobadas para datos de la Ciudad) antes de usarse para asuntos de la Ciudad.
• Sistema operativo actualizado: los dispositivos móviles propiedad de la ciudad deben actualizarse al último nivel de parche de un sistema operativo compatible a más tardar 14 días después de que el fabricante del sistema operativo emitido por la actualización.
• Se requiere bloqueo del dispositivo: los dispositivos móviles propiedad de la ciudad deben requerir un código de acceso, como mínimo, para desbloquear el dispositivo.
• Eliminación de datos de la ciudad: los datos de la ciudad en los dispositivos móviles propiedad de la ciudad deben eliminarse automáticamente si se ingresa repetidamente un código de acceso incorrecto, si se detecta una manipulación del sistema operativo del dispositivo (es decir, jailbreak) o si el dispositivo móvil no se conecta con los sistemas de la ciudad durante un período de tiempo designado.

Protección de datos y legal

• Almacenamiento de datos y documentos de la ciudad: los datos y documentos de la ciudad deben almacenarse y accederse mediante aplicaciones móviles aprobadas y protegidas.
• Leyes de registros públicos: los datos y documentos de la ciudad están sujetos a las leyes de registros públicos.
• Registros de seguridad de la información: los registros de seguridad de la información, como los datos generados por aplicaciones de autenticación móvil o los códigos de seguridad y contraseñas enviados a dispositivos móviles, generalmente están exentos de la divulgación de registros públicos según las exenciones de la Ley de Registros Públicos de California.

Protección de seguridad física

• Protección contra robo o pérdida: los dispositivos móviles propiedad de la Ciudad deben estar protegidos contra pérdidas debido a robo o vandalismo y deben permanecer en posesión de una persona a quien se le entregó el dispositivo, a menos que hayan sido depositados en un lugar seguro, como una oficina de la Ciudad cerrada con llave, un lugar cerrado con llave en casa, el maletero de un automóvil o la caja fuerte de un hotel.
• Reporte inmediato de dispositivos perdidos: Los dispositivos móviles municipales perdidos o robados deben reportarse de inmediato. Se deben eliminar los datos municipales de estos dispositivos y desactivarlos.

El Director de Seguridad de la Información de la Ciudad (CCISO) deberá:

• Apoyar la implementación de estos requisitos por parte de los departamentos, lo que incluye proporcionar capacidades de ciberseguridad centralizadas y un conjunto de herramientas de ciberseguridad para toda la ciudad que los departamentos puedan aprovechar.
• Revisar los requisitos de ciberseguridad de toda la ciudad ante cambios en el perfil de riesgo, la regulación o la legislación de la ciudad.

Los líderes de TI departamentales/directores de seguridad de la información (CISO)/oficiales de seguridad de la información (DISO) deberán:

• Adoptar e implementar los requisitos de esta norma. Las políticas y requisitos específicos del departamento deben ser equivalentes o superiores a los requisitos de toda la ciudad.
• Implementar los requisitos utilizando el conjunto de herramientas de ciberseguridad de toda la ciudad y los recursos del Departamentos .

Los contactos autorizados (TAC) del Departamentos de Telecomunicaciones y el personal de adquisiciones deberán:

• Asegúrese de que las solicitudes del dispositivo (consulte el Apéndice A para ver un ejemplo) incluyan:
  • Solicitando nombre del empleado y clase de trabajo,
  • Justificación del uso de dispositivos móviles propiedad de la Ciudad,
  • Nombre y clase de trabajo del aprobador departamental,
  • tipo/modelo de los dispositivos solicitados, y
  • el costo estimado.
• Apoyar la administración y el cumplimiento de las políticas o procesos de gestión de dispositivos móviles específicos del departamento.

Los directores financieros (CFO) del Departamentos , directores de finanzas o presupuesto y líderes departamentales deberán:

• Desarrollar un proceso específico del departamento para revisar las necesidades comerciales de dispositivos móviles y gestionar solicitudes de dispositivos nuevos o de reemplazo.
• Considere los costos y beneficios de proporcionar dispositivos móviles propiedad de la Ciudad para optimizar el uso de los fondos generales de la Ciudad.
• Evaluar el plan de tarifas y el uso de cada dispositivo móvil para garantizar la relación costo-beneficio óptima para todos los casos de uso cuando se actualicen las tarifas o al menos anualmente.
• Informar al TAC del Departamentos , según sea necesario, para desconectar o desactivar los dispositivos móviles subutilizados, o proporcionar una justificación por escrito al Departamentos de Tecnología para mantener las líneas y dispositivos existentes.

Los requisitos de esta política del COIT entrarán en vigor 90 días después de su publicación. Los departamentos deben prepararse para la implementación de los requisitos analizando las plataformas tecnológicas existentes del CCSF y desarrollando un plan de implementación basado en riesgos.

Los departamentos deberían considerar utilizar una plataforma a nivel de toda la ciudad para apoyar la implementación de esta política.

Las plataformas tecnológicas CCSF adquiridas o implementadas deben cumplir con los requisitos de esta política.

Las excepciones a las normas, ya sea relacionadas con requisitos de seguridad o fiscales, serán aprobadas caso por caso por cada CISO/ISO departamental, quien registrará todas esas expectativas con el CISO de la ciudad y Revisar dichas excepciones al menos una vez al año.

Los requisitos fiscales y de ciberseguridad de toda la ciudad no reemplazarán los requisitos estatales o federal que puedan aplicarse a ciertos departamentos específicos de la ciudad.