Documentos legales de TI [cerrado]

10

Me he estado preguntando la semana pasada porque mi gran jefe me dijo que comenzara a hacer un seguimiento de todas las cosas que he arreglado, cómo solucionarlas, etc. Lo cual es razonable y he estado haciendo de todos modos. Pero entonces me vino a la mente una pregunta relacionada. ¿Qué tipo de documentación debo tener a mano en lo que respecta a los usuarios? Más específicamente, estoy hablando en términos de EULA, ToC, etc. (corríjame si estoy usando los términos incorrectos) O más específicamente una política, por así decirlo, para los usuarios y demás. No puedo decir que soy un experto legal, de lo contrario sería un abogado. El entorno en el que se encuentran los usuarios es bastante relajado, así que no preveo ningún problema. Pero suponga que alguna vez surja un problema, ¿qué debería haber escrito / tener a mano?

EDITAR: Realmente debería haber notado que somos un centro de transporte médico y tenemos registros de pacientes, así que sé que se debe hacer algo allí para cumplir con las políticas de HIPAA, creo. Me gusta lo que dijo anthonysomerset sobre el Escenario "Si llego en un autobús" y quiero aplicarlo no solo a la documentación que estoy escribiendo actualmente, sino también, por ejemplo, si un empleado roba información del servidor o casos extremos, robo , etc. En lo que respecta a nuestro personal, es relativamente pequeño como en una sola persona de recursos humanos, no hay departamento legal aparte de los 2 abogados de los propietarios y yo somos la única persona de TI en el personal con un tipo que no es más que un superusuario de mac.

untagged Tablemaker
fuente
44
Creo que sus requisitos de documentación legal dependerán totalmente del contexto para el que los esté utilizando. ¿Eres un proveedor de hosting que necesita documentos para alojar clientes? ¿Es usted algún tipo de proveedor de servicios que necesita documentos para sus clientes? ¿Eres un tipo de TI que solo quiere que tus usuarios sigan las políticas?
GregD
Actualmente, no alojamos nada, todos los servidores son solo para trabajo interno y están en transporte médico, por lo que tenemos información del paciente y tal en los servidores a los que los despachadores y todos los empleados de la oficina acceden a diario. Como dije, es bastante relajado y los jefes no se preocupan demasiado cuando los empleados están en Facebook y siempre que estén haciendo su trabajo correctamente.
Tablemaker
1
Entonces, en ese caso, asumiría que HIPAA será la base de su documentación. Dicho esto, alguien menciona a continuación, y lo reiteraré, probablemente no es responsabilidad exclusiva de TI la "documentación legal". Es mejor dejarlo a la gerencia / RRHH.
GregD
Esta pregunta es muy fuera de tema ahora.
HopelessN00b

Respuestas:

10

Debe trabajar con su jefe / personal de recursos humanos para tener una serie de políticas escritas, adoptadas por los supervisores, que describan cómo se manejan los diversos problemas y qué se espera de los empleados. Estos pueden variar según el negocio, pero básicamente tendría documentos que especifiquen qué está y qué no está permitido en su red y sistemas informáticos y cuáles son las acciones de seguimiento (cómo se maneja la remediación, qué puede llevar a la terminación, etc.) . Luego, sus empleados reciben el material como parte de un manual o memorando de empleados, posiblemente para firmar y mantener en el archivo.

Piense en escenarios con los que tendría que lidiar en términos de uso aceptable en los sistemas informáticos y luego hable con su jefe al respecto; a menos que tenga la autoridad de despedir a alguien, debe trabajar en el lenguaje de las políticas con otros jefes de departamento o supervisores. Si tiene un departamento legal, deseará que también lo revise para asegurarse de no pisar asuntos legales que involucran privacidad o terminación en su área.

Idealmente, su negocio ya tiene algunos manuales o materiales para empleados que los empleados deben conocer y respaldar sus escritorios, por lo que podría haber alguna idea de una plantilla para trabajar para usted.

Bart Silverstrim
fuente
2
estaba escribiendo más o menos lo mismo, pero me golpearon, lo otro es que lo que él te ha pedido que hagas es la documentación clásica "si me atropella un autobús" para cubrir las brechas si por alguna razón no ya no es capaz de cumplir con sus deberes
anthonysomerset
+1 para los accesorios de escritorio. Sin embargo, con mi gran jefe siendo MIA continuamente, esto será un poco más difícil de lo que pensaba. Definitivamente quieren que les presente a los nuevos empleados con AUP y similares cuando hagan por primera vez toda su documentación introductoria (lo divertido que es) en un formulario basado en la web una vez que obtenga algún tipo de sitio web con el portal de empleados en funcionamiento. Sin embargo, no estoy muy seguro de si tiene algún manual literal, estoy seguro de que al menos ha firmado el papeleo en sus archivos.
Tablemaker
44
Solo quería agregar que, si bien debe trabajar con su jefe / HR en esto, la pelota está en su cancha y TI no puede / no debe ser la fuerza impulsora cuando se trata de políticas, debe ser de los dueños / administradores del negocio, de lo contrario usted son solo el enojado BOFH y la gente tendrá cero respeto por sus políticas.
mtinberg
3

Nuestra oficina acaba de pasar por esto. Sin embargo, tenemos que cumplir con HIPAA. Tomamos un marco para nuestros estándares de TI de una versión en línea y lo desarrollamos. Yo personalmente escribí una gran mayoría de las políticas. Como dijo @Bart Silverstrim, deberá trabajar con su persona de Recursos Humanos. Éramos un equipo de dos personas para nuestro documento de normas.

No es facil Solo ve despacio y metódicamente. Comience con su rutina diaria y anótelo en una lista con viñetas. Hay una lista completa de ideas, solo una muestra de las nuestras

  • Clasificación de datos
  • Gestión de análisis de riesgos
  • ID y cuentas
  • Personal de Seguridad
  • Control de cambios / registro de auditoría
  • Hardware y software
  • BC / DR (todas las empresas deberían tener esto independientemente)

Hay mucho más, todo depende de qué tan lejos quieras llegar.

Tenemos estos estándares (reglas) para cubrirnos en caso de que alguien rompa la HIPAA. Entonces podemos decir "hey, tenemos estas reglas y las rompimos".

Este es el marco que utilizamos. Puede o no funcionar para usted también.

Control de clasificación
fuente
El material de HIPAA definitivamente se aplica aquí, ya que somos una empresa de transporte médico con mucha información del paciente a la que se accede a diario.
Tablemaker
1
Oh wow, eso realmente apesta :) no manejamos ningún reclamo o información del paciente, por lo que una gran cantidad de HIPAA no se aplica a nosotros (por suerte). Pídale a los proveedores ejemplos de su documentación, nosotros le pedimos la nuestra y nos dieron muchos detalles.
RateControl
Si necesita más ayuda, solo envíeme un correo electrónico (correo electrónico en el perfil)
RateControl
En realidad, si pudiera darme el enlace para ese marco, sería muy apreciado. :)
Tablemaker
hizo la edición de la respuesta
RateControl
2

En este momento tenemos cuatro documentos que utilizamos:

  • Política de uso aceptable - para estudiantes
  • Política de uso aceptable - para profesores / personal
  • Documento de educación sobre derechos de autor: cumple con un requisito federal nuevo para educación superior
  • Acuerdo de nivel de servicio: detalla dónde comienzan y terminan las responsabilidades de TI y la expectativa de tiempo de actividad de nuestros servicios (todavía en desarrollo, pero espero que este sea un proceso interminable para muchos).

Por supuesto, también conservamos muchos otros registros, pero se trata de eso como si fueran documentos legales públicos.

Los registros de pacientes son otro juego de pelota, y mi último concierto fue en una oficina de facturación médica. Hay, por supuesto, muchas regulaciones adicionales que debe seguir, pero el único documento legal que aún recuerdo es que debe obtener y mantener un registro legal de permiso de las personas antes de poder compartir cualquier "información de identificación personal" con otras partes.

Joel Coel
fuente
1
Me gusta el SLA principalmente porque algunas personas ya se me han acercado pidiéndome que vaya a su casa para arreglar su computadora personal, diciendo que es mi trabajo (como en, no me compensará por conducir o por el tiempo). Tengo que amarlo xD.
Tablemaker
1
@ Shads0 - Sí, el único caso en que eso nunca será parte de su trabajo es que si tienes un cliente VPN que proporcione y apoyo. Un SLA lo prueba. Incluso entonces, prefiero hacer esto solo para computadoras portátiles emitidas por la compañía cuando puedo salir con la suya.
Joel Coel
1

Ya ha recibido excelentes consejos, algunas ideas específicas para el campo médico (no todas relacionadas con TI, pero si está almacenando datos de pacientes electrónicamente, hay MUCHO sangrado):

  • Además del marco Thoreau vinculado anteriormente, puede usar los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) como guía para proteger la información del paciente, donde sea que diga "información del titular de la tarjeta" o similar, piense en cosas protegidas por HIPAA, principalmente PHI / ePHI.

  • Es importante tener suficiente documentación para demostrar el cumplimiento de los procedimientos de seguridad razonables (que demuestre el cumplimiento de las partes relevantes de PCI-DSS u otros marcos).

  • Querrá una declaración de cumplimiento de HIPAA y políticas de cumplimiento de HIPAA (que detallen quién tiene acceso a PH / ePHII, en qué circunstancias, etc.).
    Parte de esta política debe incluir cómo verifica la identidad de los solicitantes de información.
    Una parte separada de esta política debe tratar cómo protege sus copias de seguridad, información en tránsito, etc.

  • Desde una perspectiva de cobertura legal de su trasero, también necesita (y probablemente ya tenga) formularios de confidencialidad firmados por cualquier persona que tenga acceso a esa información: en mi empresa se revisan y se vuelven a firmar anualmente en su evaluación de desempeño.
    Asegúrese de que estos sean lo suficientemente amplios como para cubrir ePHI (registros electrónicos).

voretaq7
fuente