Seguridad de la información

El Stanislaus State La Política de seguridad de la información comprende políticas, estándares, directrices y procedimientos relacionados con la seguridad de la información. La información contenida en estos documentos se desarrolla e implementa en gran medida a nivel del CSU, aunque algunos se aplican solo a Stanislaus State o un departamento específico.

Políticas, procedimientos y estándares

Para acceder a los detalles de una política específica, haga clic en el tema de la política correspondiente en la tabla a continuación. También puede navegar a las Políticas, Estándares y Directrices y Procedimientos Suplementarios relevantes haciendo clic en el ► apropiado en la tabla; donde más de un documento de un tipo en particular está asociado con un tema en particular, al hacer clic en ► se abrirá una página web separada con enlaces a documentos relevantes.

Tenga en cuenta que, para acceder a los documentos vinculados desde las columnas Pautas y Procedimientos a continuación, necesitará una cuenta activa Warrior ID y contraseña

Para obtener más información, consulte la sección de Stanislaus State Control de cambios Marzo 2024 Actualizado.pdf

Para obtener más información, consulte la sección de Stanislaus State Estándar de dispositivos móviles de marzo de 2024.pdf

Para obtener más información, consulte la sección de Stanislaus State Plan de Seguridad de la Información 10-16.pdf

Obtenga más información sobre la iniciativa de seguridad del correo electrónico en Stanislaus State Resumen del plan de implementación de CoFense, mayo de 2018.pdf
 

802.11 Onda de aire.pdf

Control de acceso.pdf 

Requisitos de seguridad del proveedor de servicios de aplicaciones.pdf 

Leyes de Privacidad y Delitos Informáticos.pdf 

Hoja de referencia sobre delitos informáticos y leyes de privacidad.pdf

Seguridad del centro de datos.pdf

Estándares de cableado de redes de datos.pdf

Disposición electrónica de datos.pdf 

Correo Electrónico y Comunicación Campus.pdf 

Retención de correo electrónico.pdf 

Resumen FERPA.pdf 

Resumen HIPAA.pdf 

Clasificación y Manejo de la Información.pdf 

Hoja de referencia de clasificación de información.pdf 

Capacitación de concientización sobre seguridad de la información.pdf 

Gestión de incidentes de seguridad de la información.pdf 

Programa de Seguridad de la Información.pdf 

Seguridad de red.pdf 

Contraseña Estándar.pdf

Gestión de parches y código malicioso.pdf

Estándar de seguridad de datos de la industria de tarjetas de pago PCI_DSS Summary.pdf 

Seguridad física.pdf 

Procedimiento RRHH Off-Boarding.pdf 

Procedimiento HR On-Boarding.pdf

Programa de Evaluación de Riesgos.pdf 

Cuestionario de evaluación de riesgos.xls 

Servidor de inventario de evaluación de riesgos.xls 

Programador de evaluación de riesgos.xls 

Hojas de trabajo de evaluación de riesgos.xls 

Supervisión de eventos estándar.pdf 

Espacios de Telecomunicaciones.pdf 

Reglas y políticas de telefonía.pdf 

Gestión y evaluación de vulnerabilidades.pdf 

Desarrollo de Aplicaciones Web.pdf 

Hoja de referencia para el desarrollo de aplicaciones web.pdf 

Directrices de clasificación de datos

Este documento describe los tres niveles de clasificación de datos que la Universidad ha adoptado con respecto al nivel de seguridad colocado en los tipos particulares de activos de información. Los niveles que se describen a continuación tienen el propósito de ser ilustrativos y la lista de ejemplos de los tipos de datos que se incluyen a continuación no es exhaustiva. Tenga en cuenta que este estándar de clasificación no está destinado a ser utilizado para determinar la elegibilidad de las solicitudes de información bajo la Ley de Registros Públicos de California o HEERA. Estas solicitudes deben ser analizadas por el asesor legal o administrador correspondiente.

El acceso, el almacenamiento y las transmisiones de información confidencial de nivel 1 están sujetos a las restricciones que se describen en los Estándares de administración de activos de la CSU.

La información puede clasificarse como confidencial según criterios que incluyen, entre otros:

  1. Exenciones de divulgación: información mantenida por la Universidad que está exenta de divulgación según las disposiciones de la Ley de Registros Públicos de California u otras leyes estatales o federales aplicables.
  2. Riesgo grave: información cuyo uso, acceso, divulgación, adquisición, modificación, pérdida o eliminación no autorizados podría resultar en un daño grave para la CSU, sus estudiantes, empleados o clientes. Podrían producirse pérdidas financieras, daños a la reputación de la CSU y acciones legales.
  3. Uso limitado: información destinada únicamente para uso dentro de la CSU y limitada a aquellos con una "necesidad empresarial de saber".
  4. Obligaciones legales: información cuya divulgación a personas ajenas a la Universidad se rige por normas y controles específicos diseñados para proteger la información.

Ejemplos de Nivel 1 - Información confidencial incluyen pero no se limitan a:

  • Contraseñas o credenciales que otorgan acceso a datos de nivel 1 y nivel 2
  • PIN (Números de identificación personal)
  • Fecha de nacimiento combinada con los últimos cuatro dígitos del SSN y nombre
  • Números de tarjetas de crédito con el nombre del titular de la tarjeta
  • Identificación fiscal con nombre
  • Número de licencia de conducir, tarjeta de identificación estatal y otras formas de identificación nacional o internacional (como pasaportes, visas, etc.) en combinación con el nombre
  • Número de Seguro Social y nombre
  • Información de seguro médico
  • Registros médicos relacionados con un individuo
  • Registros de asesoramiento psicológico relacionados con un individuo
  • Información de cuenta bancaria o tarjeta de débito en combinación con cualquier código de seguridad requerido, código de acceso o contraseña que permitiría el acceso a la cuenta financiera de una persona
  • Información biométrica
  • Firmas electrónicas o digitalizadas
  • Clave privada (certificado digital)
  • Registros del personal encargado de hacer cumplir la ley
  • Resultados de la verificación de antecedentes penales

El acceso, el almacenamiento y las transmisiones de información de Nivel 2 - Uso interno están sujetos a las restricciones que se describen en el Estándar de gestión de activos de CSU.

La información puede clasificarse como "uso interno" según criterios que incluyen, entre otros:

a) Sensibilidad - Información que debe ser protegida por consideraciones de propiedad, ética, contractual o de privacidad.
b) Riesgo moderado: información que puede no estar específicamente protegida por estatutos, reglamentos u otras obligaciones o mandatos legales, pero cuyo uso, acceso, divulgación, adquisición, modificación, pérdida o eliminación no autorizados podrían causar pérdidas financieras, daños a la la reputación de CSU, violar los derechos de privacidad de una persona o hacer necesaria una acción legal.

Ejemplos de Nivel 2 - Información de Uso Interno incluyen pero no se limitan a:

Claves de validación de identidad (nombre con)
-Fecha de nacimiento (completo: mm-dd-aa)
-Fecha de nacimiento (parcial: solo mm-dd)

Foto (tomada con fines de identificación)

Información de circulación de la biblioteca.

Secretos comerciales o propiedad intelectual, como actividades de investigación.

Información del estudiante: registros educativos no definidos como información de "directorio", por lo general:
-Los grados
-Cursos tomados
-Calendario
-Resultados de las pruebas
-Asesoría de registros
-Servicios educativos recibidos
-Acciones disciplinarias
-Foto de estudiante

Ubicación de activos críticos o protegidos

Software con licencia

Información de vulnerabilidad/seguridad relacionada con un campus o sistema

Comunicaciones abogado-cliente del campus

Información del Empleado
- Salario neto del empleado
-Direccion de casa
-Números de teléfono personales
-Dirección de correo electrónico personal
-Historial de pagos
-Evaluaciones de empleados
-Investigaciones de antecedentes previas al empleo.
-Nombre de soltera de la madre
-Raza y etnia
-Nombres de los padres y otros miembros de la familia
-Lugar de nacimiento (Ciudad, Estado, País)
-Género
-Estado civil
-Descripción física
-Otro

Esta información está designada como disponible públicamente y/o destinada a ser proporcionada al público.  

La información a este nivel no requiere medidas de protección específicas, pero puede estar sujeta a procedimientos de revisión o divulgación apropiados a discreción de la Unviserity para mitigar los riesgos potenciales.

La divulgación de esta información no expone a la CSU a pérdidas financieras ni pone en peligro la seguridad de los activos de información de la CSU.

Ejemplos de Nivel 3 - Disponible públicamente

  • Warrior ID (Vélido, ID de estudiante)
  • Información del Empleado
    • Nombre del empleado (nombre, segundo nombre, apellido; excepto cuando esté asociado con información protegida)
    • Dirección de correo electrónico del trabajo
    • dirección postal del trabajo
    • Título
    • Ubicación de la oficina y número de teléfono
    • Departamento
    • Salario bruto
    • Firma (no electrónica)
  • Información del presupuesto financiero
  • Información de la orden de compra
  • Información del estudiante (solo estudiantes no restringidos por FERPA)
    • Nombre y apellido
    • Clasificacion Mayor
    • Participación en deportes/actividades
    • Peso y altura (solo miembros del equipo deportivo)
    • Fechas de asistencia
    • Estado de tiempo completo o parcial
    • Títulos y premios recibidos
    • dirección de correo electrónico del campus
    • Colegio/universidad/agencia a la que asistió más reciente o anterior

Estafas por correo electrónico y phishing

El phishing es un método para tratar de recopilar información personal mediante correos electrónicos y sitios web engañosos. Spear phishers distribuye malware en correos electrónicos o viola su cuenta para robar información personal y de la organización. El 91 % de las infracciones de seguridad de datos comienzan con un ataque por correo electrónico.

suplantación de identidad
pesca/
sustantivo
  1. La práctica fraudulenta de enviar correos electrónicos que supuestamente provienen de empresas acreditadas para inducir a las personas a revelar información personal, como contraseñas y números de tarjetas de crédito.

Consulta este Video de entrenamiento de 2:28 minutos sobre el phishing de correo electrónico y cómo proteger su información personal y la seguridad de los datos del campus.

El phishing es un método para tratar de recopilar información personal mediante correos electrónicos y sitios web engañosos. Los phishers de Spear distribuyen malware en los correos electrónicos o violan su cuenta para robar información personal y de la organización. El 91 % de las infracciones de seguridad de datos comienzan con un ataque por correo electrónico.

Estos ataques son más fáciles de detectar una vez que sabes qué buscar. Esté atento a los siguientes indicadores de un correo electrónico malicioso:

  • El correo electrónico es de un remitente que no reconoce
  • El mensaje es inesperado o no solicitado
  • El nombre de la organización del remitente no coincide con el dominio de la dirección de correo electrónico
  • El asunto del correo electrónico usa temas emotivos, plazos urgentes para la respuesta, reclamos demasiado buenos para ser verdad o intenta asustarlo.
  • Contiene errores ortográficos o gramaticales
  • Le pide que descargue un archivo adjunto, ingrese información personal como una contraseña o número de seguro social

El spam no es lo mismo que un correo electrónico de phishing. El spam es un correo electrónico comercial no solicitado, que a menudo se envía a un gran número de personas. El phishing es un intento activo de hacer que haga clic en un enlace peligroso, descargue un archivo infectado con malware o ingrese información personal, como contraseñas o números de seguro social. El spam puede bloquearse o eliminarse, pero los correos electrónicos de phishing deben informarse.

Obtenga una vista previa de los correos electrónicos en Outlook antes de abrirlos y busque estos tres elementos: 

Archivos adjuntos

Cuando un archivo adjunto proviene de alguien que no conoce o si no esperaba el archivo, asegúrese de que sea legítimo antes de abrirlo. 

Páginas de inicio de sesión

Los phishers de Spear a menudo falsifican páginas de inicio de sesión para que se vean exactamente como las reales para robar sus credenciales.

Enlaces

Pase el puntero del mouse sobre el enlace y vea si la URL que aparece coincide con lo que está en el mensaje de correo electrónico. Si no coinciden, no haga clic.

Si ve algo que se ve mal, no abra ni haga clic en el mensaje. Comuníquese con la Oficina de Soporte Tecnológico de la OIT al soporte técnico@csustan.edu e informe el correo electrónico. También puede usar el botón PhishMe Report Phishing en las versiones más recientes de Outlook para enviar un intento sospechoso de phishing a OIT. Incluso si no está seguro, comuníquese con OIT para verificarlo. Más vale prevenir que lamentar.

Este correo electrónico de phishing se envió al campus en abril como una campaña educativa. Se basó en la curiosidad para incitar a los espectadores a hacer clic en el enlace activo. Si esto hubiera sido un intento real de phishing, hacer clic en el enlace podría haber robado datos personales del espectador o cargado malware en la red del campus. Siempre deténgase y piense antes de hacer clic en un enlace, y siempre comuníquese con OIT si sospecha un intento de phishing.

captura de pantalla de abril

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Comuníquese con la Oficina de Soporte Tecnológico de la OIT al soporte técnico@csustan.edu e informe el correo electrónico.

Para aprender más acerca de la Stanislaus State Iniciativa de seguridad del correo electrónico de CoFense: Resumen del plan de implementación de CoFense, mayo de 2018.pdf

Actualizado: Marzo 27, 2024