Menú de sección Oficina de tecnología de la información

Información de Contacto

(209) 667-3687
Soporte técnico@csustan.edu

División de Negocios y Finanzas
Seguridad de la información

Las moléculas de Stanislaus State La Política de seguridad de la información comprende políticas, estándares, directrices y procedimientos relacionados con la seguridad de la información. La información contenida en estos documentos se desarrolla e implementa en gran medida a nivel del CSU, aunque algunos se aplican solo a Stanislaus State o un departamento específico.
 

Políticas, procedimientos y estándares

Directrices de clasificación de datos

Este documento describe los tres niveles de clasificación de datos que la Universidad ha adoptado con respecto al nivel de seguridad colocado en los tipos particulares de activos de información. Los niveles que se describen a continuación tienen el propósito de ser ilustrativos y la lista de ejemplos de los tipos de datos que se incluyen a continuación no es exhaustiva. Tenga en cuenta que este estándar de clasificación no está destinado a ser utilizado para determinar la elegibilidad de las solicitudes de información bajo la Ley de Registros Públicos de California o HEERA. Estas solicitudes deben ser analizadas por el asesor legal o administrador correspondiente.

El acceso, el almacenamiento y las transmisiones de información confidencial de nivel 1 están sujetos a las restricciones que se describen en los Estándares de administración de activos de la CSU.

La información puede clasificarse como confidencial según criterios que incluyen, entre otros:

  1. Exenciones de divulgación: información mantenida por la Universidad que está exenta de divulgación según las disposiciones de la Ley de Registros Públicos de California u otras leyes estatales o federales aplicables.
  2. Riesgo grave: información cuyo uso, acceso, divulgación, adquisición, modificación, pérdida o eliminación no autorizados podría resultar en un daño grave para la CSU, sus estudiantes, empleados o clientes. Podrían producirse pérdidas financieras, daños a la reputación de la CSU y acciones legales.
  3. Uso limitado: información destinada únicamente para uso dentro de la CSU y limitada a aquellos con una "necesidad empresarial de saber".
  4. Obligaciones legales: información cuya divulgación a personas ajenas a la Universidad se rige por normas y controles específicos diseñados para proteger la información.

Ejemplos de Nivel 1 - Información confidencial incluyen pero no se limitan a:

  • Contraseñas o credenciales que otorgan acceso a datos de nivel 1 y nivel 2
  • PIN (Números de identificación personal)
  • Fecha de nacimiento combinada con los últimos cuatro dígitos del SSN y nombre
  • Números de tarjetas de crédito con el nombre del titular de la tarjeta
  • Identificación fiscal con nombre
  • Número de licencia de conducir, tarjeta de identificación estatal y otras formas de identificación nacional o internacional (como pasaportes, visas, etc.) en combinación con el nombre
  • Número de Seguro Social y nombre
  • Información de seguro médico
  • Registros médicos relacionados con un individuo
  • Registros de asesoramiento psicológico relacionados con un individuo
  • Información de cuenta bancaria o tarjeta de débito en combinación con cualquier código de seguridad requerido, código de acceso o contraseña que permitiría el acceso a la cuenta financiera de una persona
  • Información biométrica
  • Firmas electrónicas o digitalizadas
  • Clave privada (certificado digital)
  • Registros del personal encargado de hacer cumplir la ley
  • Resultados de la verificación de antecedentes penales

El acceso, el almacenamiento y las transmisiones de información de Nivel 2 - Uso interno están sujetos a las restricciones que se describen en el Estándar de gestión de activos de CSU.

La información puede clasificarse como "uso interno" según criterios que incluyen, entre otros:

a) Sensibilidad - Información que debe ser protegida por consideraciones de propiedad, ética, contractual o de privacidad.
b) Riesgo moderado: información que puede no estar específicamente protegida por estatutos, reglamentos u otras obligaciones o mandatos legales, pero cuyo uso, acceso, divulgación, adquisición, modificación, pérdida o eliminación no autorizados podrían causar pérdidas financieras, daños a la la reputación de CSU, violar los derechos de privacidad de una persona o hacer necesaria una acción legal.

Ejemplos de Nivel 2 - Información de Uso Interno incluyen pero no se limitan a:

Claves de validación de identidad (nombre con)
-Fecha de nacimiento (completo: mm-dd-aa)
-Fecha de nacimiento (parcial: solo mm-dd)

Foto (tomada con fines de identificación)

Información de circulación de la biblioteca.

Secretos comerciales o propiedad intelectual, como actividades de investigación.

Información del estudiante: registros educativos no definidos como información de "directorio", por lo general:
-Los grados
-Cursos tomados
-Calendario
-Resultados de las pruebas
-Asesoría de registros
-Servicios educativos recibidos
-Acciones disciplinarias
-Foto de estudiante

Ubicación de activos críticos o protegidos

Software con licencia

Información de vulnerabilidad/seguridad relacionada con un campus o sistema

Comunicaciones abogado-cliente del campus

Información del Empleado
- Salario neto del empleado
-Direccion de casa
-Números de teléfono personales
-Dirección de correo electrónico personal
-Historial de pagos
-Evaluaciones de empleados
-Investigaciones de antecedentes previas al empleo.
-Nombre de soltera de la madre
-Raza y etnia
-Nombres de los padres y otros miembros de la familia
-Lugar de nacimiento (Ciudad, Estado, País)
-Género
-Estado civil
-Descripción física
-Otro

Esta información está designada como disponible públicamente y/o destinada a ser proporcionada al público.  

La información a este nivel no requiere medidas de protección específicas, pero puede estar sujeta a procedimientos de revisión o divulgación apropiados a discreción de la Unviserity para mitigar los riesgos potenciales.

La divulgación de esta información no expone a la CSU a pérdidas financieras ni pone en peligro la seguridad de los activos de información de la CSU.

Ejemplos de Nivel 3 - Disponible públicamente

  • Warrior ID (Vélido, ID de estudiante)
  • Información del Empleado
    • Nombre del empleado (nombre, segundo nombre, apellido; excepto cuando esté asociado con información protegida)
    • Dirección de correo electrónico del trabajo
    • dirección postal del trabajo
    • Título
    • Ubicación de la oficina y número de teléfono
    • Departamento
    • Salario bruto
    • Firma (no electrónica)
  • Información del presupuesto financiero
  • Información de la orden de compra
  • Información del estudiante (solo estudiantes no restringidos por FERPA)
    • Nombre
    • Sistemas fluviales
    • Participación en deportes/actividades
    • Peso y altura (solo miembros del equipo deportivo)
    • Fechas de asistencia
    • Estado de tiempo completo o parcial
    • Títulos y premios recibidos
    • dirección de correo electrónico del campus
    • Colegio/universidad/agencia a la que asistió más reciente o anterior

Estafas por correo electrónico y phishing

El phishing es un método para intentar recopilar información personal mediante correos electrónicos y sitios web engañosos. Los estafadores selectivos distribuyen malware en correos electrónicos o vulneran su cuenta para robar información personal y de su organización. El 91 % de las violaciones de seguridad de datos comienzan con un ataque por correo electrónico.

suplantación de identidad
pesca/
sustantivo
  1. La práctica fraudulenta de enviar correos electrónicos que supuestamente provienen de empresas acreditadas para inducir a las personas a revelar información personal, como contraseñas y números de tarjetas de crédito.

Consulta este Video de entrenamiento de 2:28 minutos sobre el phishing de correo electrónico y cómo proteger su información personal y la seguridad de los datos del campus.

El phishing es un método para tratar de recopilar información personal mediante correos electrónicos y sitios web engañosos. Los phishers de Spear distribuyen malware en los correos electrónicos o violan su cuenta para robar información personal y de la organización. El 91 % de las infracciones de seguridad de datos comienzan con un ataque por correo electrónico.

Estos ataques son más fáciles de detectar una vez que sabes qué buscar. Esté atento a los siguientes indicadores de un correo electrónico malicioso:

  • El correo electrónico es de un remitente que no reconoce
  • El mensaje es inesperado o no solicitado
  • El nombre de la organización del remitente no coincide con el dominio de la dirección de correo electrónico
  • El asunto del correo electrónico usa temas emotivos, plazos urgentes para la respuesta, reclamos demasiado buenos para ser verdad o intenta asustarlo.
  • Contiene errores ortográficos o gramaticales
  • Le pide que descargue un archivo adjunto, ingrese información personal como una contraseña o número de seguro social

El spam no es lo mismo que un correo electrónico de phishing. El spam es un correo electrónico comercial no solicitado, que a menudo se envía a un gran número de personas. El phishing es un intento activo de hacer que haga clic en un enlace peligroso, descargue un archivo infectado con malware o ingrese información personal, como contraseñas o números de seguro social. El spam puede bloquearse o eliminarse, pero los correos electrónicos de phishing deben informarse.

Obtenga una vista previa de los correos electrónicos en Outlook antes de abrirlos y busque estos tres elementos: 

Archivos adjuntos

Cuando un archivo adjunto proviene de alguien que no conoce o si no esperaba el archivo, asegúrese de que sea legítimo antes de abrirlo. 

Páginas de inicio de sesión

Los phishers de Spear a menudo falsifican páginas de inicio de sesión para que se vean exactamente como las reales para robar sus credenciales.

Enlaces

Pase el puntero del mouse sobre el enlace y vea si la URL que aparece coincide con lo que está en el mensaje de correo electrónico. Si no coinciden, no haga clic.

Si ve algo que se ve mal, no abra ni haga clic en el mensaje. Comuníquese con la Oficina de Soporte Tecnológico de la OIT al soporte técnico@csustan.edu e informe el correo electrónico. También puede usar el botón PhishMe Report Phishing en las versiones más recientes de Outlook para enviar un intento sospechoso de phishing a OIT. Incluso si no está seguro, comuníquese con OIT para verificarlo. Más vale prevenir que lamentar.

Este correo electrónico de phishing se envió al campus en abril como una campaña educativa. Se basó en la curiosidad para incitar a los espectadores a hacer clic en el enlace activo. Si esto hubiera sido un intento real de phishing, hacer clic en el enlace podría haber robado datos personales del espectador o cargado malware en la red del campus. Siempre deténgase y piense antes de hacer clic en un enlace, y siempre comuníquese con OIT si sospecha un intento de phishing.

captura de pantalla de abril

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Comuníquese con la Oficina de Soporte Tecnológico de la OIT al soporte técnico@csustan.edu e informe el correo electrónico.

Para aprender más acerca de la Stanislaus State Iniciativa de seguridad del correo electrónico de CoFense: Resumen del plan de implementación de CoFense, mayo de 2018.pdf

Actualizado: julio 17, 2025