1. Propósito
Establecer requisitos para el uso y control de medios de almacenamiento extraíbles para prevenir la pérdida de datos y la introducción de malware en [ORGANIZATION].
2. Alcance
Esta política se aplica a todos los medios de almacenamiento extraíbles incluyendo unidades flash USB, discos duros externos, tarjetas SD/microSD, medios ópticos (CD/DVD) y cualquier otro dispositivo de almacenamiento portátil utilizado con los activos empresariales de [ORGANIZATION].
3. Política
3.1 Uso de Medios Extraíbles
El uso de medios de almacenamiento extraíbles en activos empresariales está [PERSONALIZAR: prohibido excepto con aprobación documentada / restringido a dispositivos cifrados proporcionados por la organización / permitido con cifrado obligatorio].
Si el uso de medios extraíbles está autorizado, solo deberán utilizarse dispositivos cifrados proporcionados o aprobados por [ORGANIZACION].
Los usuarios no deberán almacenar datos Restringidos en medios extraíbles sin la aprobación escrita explícita de [PERSONALIZAR: CISO/Propietario de Datos] y el uso de dispositivos cifrados aprobados.
Los medios extraíbles encontrados o desconocidos no deberán conectarse a ningún activo empresarial. Dichos dispositivos deberán entregarse a [PERSONALIZAR: Seguridad de TI/Mesa de Ayuda de TI].
3.2 Controles Técnicos
Los activos empresariales deberán configurarse para desactivar la ejecución automática y la reproducción automática para todos los medios extraíbles.
Las soluciones de protección de endpoints deberán escanear automáticamente los medios extraíbles al momento de la conexión.
Para entornos que requieran control estricto: El bloqueo de puertos USB deberá aplicarse mediante herramientas de gestión de endpoints, con excepciones otorgadas solo a través de [PERSONALIZAR: proceso de aprobación de Seguridad de TI].
Las transferencias de datos a medios extraíbles deberán registrarse y monitorearse por soluciones DLP donde estén implementadas.
3.3 Eliminación
Los medios extraíbles que contengan datos de [ORGANIZACION] deberán borrarse de forma segura o destruirse físicamente cuando ya no se necesiten, siguiendo la Política de Retención y Eliminación de Datos.
La eliminación de medios extraíbles que contengan datos Confidenciales o Restringidos deberá documentarse.
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos