Uso aceptable de la tecnología: Estudiantes
Patrocinador: Director ejecutivo de información
Contacto: Analista de seguridad informática
Categoría:Seguridad y tecnología de la información
Número: 1000.003
Fecha de vigencia: 9 de julio de 2003
Historial de implementación: Aprobado: 14 de abril de 2002, Revisado: 9 de julio de 2003, febrero de 2023
Palabras clave: Estudiantes, computadoras, laboratorio de computación, acceso a la cuenta, acceso a la tecnología
Información de antecedentes: Esta norma reemplaza la norma de uso de computadoras para estudiantes. Esta norma modifica e incorpora todas las declaraciones de norma de la norma anterior. Esta norma fue redactada con la ayuda de una empresa externa de ciberseguridad. El programa de préstamo de dispositivos de SUNY Empire se reconoce en esta norma.
PROPÓSITO
Empire State University promueve el uso por parte de los estudiantes de sus recursos académicos en línea, servicios de apoyo estudiantil en línea e instalaciones informáticas ubicadas en centros y unidades, y busca mejorar la alfabetización informática de sus estudiantes, profesores y personal. Se espera que cada usuario se adhiera a las declaraciones que siguen para promover estos objetivos.
El propósito de esta norma de uso aceptable es establecer claramente el papel de cada miembro de la institución en la protección de sus activos de información y comunicar las expectativas mínimas para cumplir con estos requisitos. El cumplimiento de estos objetivos permitirá a Empire State University implementar un programa de seguridad informática integral por todo el sistema.
DEFINICIONES
Ninguna específica a esta norma.
DECLARACIONES
ALCANCE
Esta norma se aplica a todos los estudiantes con acceso a recursos informáticos que son propiedad de, gestionados o provistos por SUNY Empire (Empire State University). Las personas cubiertas por esta norma incluyen, entre otros, a todos los estudiantes, matriculados o no, con acceso a los recursos informáticos y/o instalaciones de la institución. Los recursos informáticos incluyen todo el hardware y software que es propiedad de, con licencia de o gestionado por Empire State University, dominios de correo electrónico y servicios relacionados, y cualquier uso de la red de la institución a través de una conexión física o inalámbrica, independientemente de quién sea el propietario de la computadora o dispositivo conectado a la red.
PRIVACIDAD
Empire State University hará todo esfuerzo razonable por respetar la privacidad de los usuarios. Sin embargo, los estudiantes no adquieren derecho de privacidad sobre las comunicaciones transmitidas o almacenadas en los recursos de la institución, incluidas las computadoras portátiles prestadas a los estudiantes. En respuesta a una orden judicial o cualquier otra acción requerida por la ley o permitida por una norma oficial de Empire State University, o si la institución determina razonablemente que es necesario para proteger o promover los intereses legítimos de la institución, la rectora o el director ejecutivo de información (CIO, por sus siglas en inglés) podrán autorizar a un funcionario o agente autorizado de Empire State University a acceder, revisar, monitorear y/o divulgar archivos informáticos asociados con la cuenta de un individuo. Además, ante una sospecha de violación de la Norma de conducta estudiantil o la Norma de uso aceptable de los recursos de tecnología informática del estado de Nueva York, el vicerrector de éxito estudiantil o el director ejecutivo de éxito estudiantil pueden solicitar la devolución de una computadora portátil prestada antes de finalizar el ciclo y autorizar que un agente de la universidad revise los datos y la información en la computadora portátil. Se recomienda a los estudiantes revisar la Norma de adherencia a los derechos educativos y de privacidad de la familia de 1974 y la Norma de conducta estudiantil.
NORMA
Está prohibido cualquier uso que interrumpa la misión de la institución. El uso de cualquier computadora, cuenta, recurso informático o recurso en línea de Empire State University con fines de lucro personal o cualquier otro propósito que no sea académico o relacionado con la universidad está prohibido.
En consonancia con las normas universitarias de acción afirmativa, no discriminación-antiacoso, acoso sexual y delitos relacionados con prejuicios, que protegen los derechos de los estudiantes e individuos que interactúan con Empire State University, el uso aceptable de los recursos de tecnología de la información respeta generalmente la privacidad de los individuos, sin embargo, está sujeto al derecho de los individuos a estar libres de intimidación, acoso y molestias injustificadas. Todos los usuarios de los recursos informáticos de Empire State University tienen que adherirse a los requisitos enumerados a continuación.
La universidad se reserva el derecho de monitorear o restringir la actividad informática en los sistemas que son propiedad de y operados por Empire State University, con la excepción de las computadoras portátiles prestadas a estudiantes a través del programa oficial de préstamos de computadoras portátiles. La universidad no se responsabiliza por la pérdida de datos o la interferencia de servicio resultante de los esfuerzos para mantener las instalaciones informáticas de la universidad.
Los estudiantes que creen páginas web personales en los servidores de la universidad tienen que cumplir con la Norma de presencia y publicación en la web de la universidad.
4.1 USO FRAUDULENTO E ILEGAL
Empire State University prohíbe explícitamente el uso de cualquier sistema de información para fines fraudulentos y/o ilegales. Al usar cualquier sistema de información o hardware de la institución, los usuarios no pueden participar en actividades ilegales bajo leyes locales, estatales, federales y/o internacionales. Como parte de esta norma, los usuarios no pueden:
Violar los derechos de ningún individuo o empresa en relación con la información protegida por derechos de autor, los secretos comerciales, patentes u otras leyes de propiedad intelectual, incluyendo, entre otros, la instalación o distribución de productos de software pirateados u otros que no cuenten con la licencia adecuada para ser utilizados por Empire State University.
Usar material con derechos de autor, incluyendo, entre otros, fotografías, libros u otras fuentes con derechos de autor, música con derechos de autor y cualquier software con derechos de autor para el cual la institución no tenga una licencia legal, o una licencia adecuada haya sido adquirida por el usuario de un dispositivo prestado.
Exportar software, información técnica, software de encriptación o tecnología en violación de las leyes de control de exportación internacionales o regionales.
Emitir declaraciones sobre garantías, expresas o implícitas, a menos que sea parte de sus funciones laborales normales, o hacer ofertas fraudulentas de productos, artículos y/o servicios.
Cualquier usuario que sospeche o esté al tanto de alguna actividad descrita en esta sección, o de cualquier otra actividad que considere fraudulenta o ilegal, tiene que notificarlo al Centro de ayuda tecnológica.
4.2 INFORMACIÓN CONFIDENCIAL
Empire State University tiene la responsabilidad ética y legal de proteger la información confidencial en conformidad con su Norma de clasificación de datos empresariales.
4.3 ACOSO
Empire State University se compromete a proporcionar un ambiente seguro y productivo, libre de acoso, para todos los empleados y estudiantes. El acoso está definido y prohibido por la Norma de conducta estudiantil. Por esta razón, los usuarios no pueden:
Usar los sistemas de información de la institución para acosar a ninguna persona mediante el correo electrónico, por teléfono u otros medios.
Procurar o transmitir activamente material que viole las leyes de acoso sexual o ambiente laboral hostil.
Si un usuario considera que le están acosando mediante el uso de los sistemas de información de la institución, deberá referirse a los Procedimientos de denuncias por discriminación de la universidad.
4.4 DENUNCIAS DE INCIDENTES
Empire State University se compromete a responder a incidentes de seguridad que involucren personal, información que es propiedad de la institución o activos de información de la institución. Como parte de esta norma:
La pérdida, robo o uso inapropiado de credenciales de acceso a la información (por ejemplo, contraseñas o tokens de seguridad), activos (por ejemplo, tarjetas de acceso, computadoras portátiles, teléfonos celulares, tabletas) u otra información se denunciará al Centro de ayuda tecnológica de Empire State University.
Todos los incidentes relacionados con activos físicos que son propiedad de Empire State University se informarán al Centro de ayuda tecnológica.
Cualquier dispositivo prestado a través del programa de préstamo de computadoras portátiles debe reportarse al administrador del programa, incluidos daños, pérdidas y/o robos.
4.5 ACTIVIDAD MALICIOSA
Empire State University prohíbe estrictamente el uso de sistemas de información para actividades maliciosas contra otros usuarios, los sistemas de información de la organización o los activos de información de otras partes.
4.5.1 DENEGACIÓN DE SERVICIO
Los usuarios no pueden:
Perpetrar, causar o permitir de ninguna manera la interrupción de los sistemas de información o las comunicaciones de la red de Empire State University mediante métodos de denegación de servicios;
Introducir deliberadamente programas maliciosos, como virus, gusanos y troyanos, en cualquier sistema de información; o
Desarrollar o usar intencionalmente programas para infiltrarse en un sistema informático, sistema de cómputo o red, y/o dañar o alterar los componentes de software de un sistema informático, sistema de cómputo o la red.
4.5.2 CONFIDENCIALIDAD
Todos los usuarios tienen que proporcionar las claves de encriptación al Departamento de servicios de tecnología de la información (ITS, por sus siglas en inglés) si se les solicita, para realizar las funciones requeridas por esta norma.
Los usuarios no pueden:
Perpetrar, causar o habilitar de ninguna manera violaciones de seguridad, incluyendo, entre otros, el acceso a datos para los cuales no sean los destinatarios previstos o el inicio de sesión en un servidor o cuenta a la que no estén expresamente autorizados a acceder;
Crear contraseñas basándose en algo que pueda adivinarse u obtenerse fácilmente utilizando información personal (por ejemplo, nombres, equipos deportivos favoritos, etc.);
Facilitar el uso o el acceso por usuarios no autorizados, incluyendo compartir su contraseña u otras credenciales de inicio de sesión;
Usar la misma contraseña para cuentas de Empire State University que para otras cuentas ajenas a Empire State University (por ejemplo, cuentas personales de proveedores de servicios de internet (ISP, por sus siglas en inglés), redes sociales, beneficios, correo electrónico, etc.);
Intentar obtener acceso a archivos y recursos a los que no se les ha concedido permiso, sea o no técnicamente posible dicho acceso, incluido el intento de obtener, conseguir y/o utilizar la contraseña de otro usuario;
Hacer copias de los archivos de otro usuario sin su conocimiento y consentimiento.
4.5.3 SUPLANTACIÓN DE IDENTIDAD
Los usuarios no pueden:
Eludir la autenticación de usuarios o la seguridad de cualquier sistema de información;
Agregar, eliminar o modificar cualquier información de encabezado de la red de identificación (“spoofing”) o intentar hacerse pasar por otra persona mediante el uso de encabezados falsificados u otra información de identificación;
Crear y/o utilizar un servidor proxy de cualquier tipo, distinto de los proporcionados por Empire State University, o redirigir de otro modo el tráfico de la red fuera del enrutamiento normal con autorización; o
Utilizar cualquier tipo de tecnología diseñada para enmascarar, ocultar o modificar su identidad o actividades electrónicamente.
4.5.4 DESCUBRIMIENTO DE LA RED
Los usuarios no pueden:
Utilizar una herramienta de escaneo de puertos dirigida a la red de Empire State University o cualquier otra red externa, a menos que esta actividad sea parte de las funciones laborales normales del usuario, como un miembro de los Servicios de tecnología de la información (ITS), realizando escaneos de vulnerabilidades y al profesorado que utiliza herramientas en un entorno controlado;
Utilizar una herramienta de monitoreo de red o realizar cualquier tipo de monitoreo de red que intercepte datos no destinados a los usuarios, a menos que esta actividad sea parte de las funciones laborales normales del usuario.
4.6 CONTENIDO OFENSIVO
Empire State University prohíbe estrictamente el uso de sistemas de información de la organización para acceder o distribuir contenido que otros usuarios puedan considerar ofensivo. Los usuarios no pueden publicar, cargar, descargar o mostrar mensajes, fotos, imágenes, archivos de sonido, archivos de texto, archivos de video, boletines u otros materiales que se consideren una violación del Código de conducta estudiantil, a menos que un instructor o mentor lo asigne explícitamente como parte de un ejercicio académico.
4.7 HARDWARE Y SOFTWARE
Los equipos específicos que son propiedad de la universidad administrados por el Programa de préstamos de computadoras portátiles del Programa de salud y bienestar se pueden usar fuera de la red de la universidad y tienen configuraciones de dispositivo y seguridad menos restrictivas. Se espera que los usuarios de las computadoras portátiles cumplan con todas las secciones anteriores de uso aceptable.
Las computadoras portátiles prestadas no están restringidas por los Servicios de tecnología de la información de Empire State University, y los usuarios pueden instalar software cuyas licencias hayan adquirido legalmente o a las cuales tengan acceso a través de la universidad (Office 365, etc.). Sin embargo, el usuario siempre debe proteger su seguridad y usar su buen criterio al utilizar redes no seguras o dispositivos "plug and play" confiables fuera de la universidad o de la residencia estudiantil.
La universidad no es responsable por la pérdida de datos o interferencias del servicio que resulten del uso individual de los dispositivos prestados a través del Programa de préstamos de computadoras portátiles.
Al utilizar equipos que son propiedad de la universidad que no estén regidos por el Programa de préstamos de computadoras portátiles, como laboratorios de computación u otros dispositivos locales, Empire State University prohíbe estrictamente el uso de cualquier hardware o software que no sea comprado, instalado, configurado, rastreado y administrado por la institución. Los usuarios no pueden:
Adjuntar, conectar, quitar o desconectar hardware de ningún tipo, incluidos puntos de acceso inalámbricos, dispositivos de almacenamiento y periféricos, a cualquier sistema de información institucional sin el conocimiento y permiso del Departamento de servicios de tecnología de la información (ITS);
Descargar, instalar, desactivar, eliminar o desinstalar software de ningún tipo, incluidos parches de software existente, de cualquier sistema de información institucional sin el conocimiento y permiso de ITS;
Utilizar unidades flash personales u otros medios de almacenamiento basados en USB, o
Llevarse el equipo de Empire State University fuera del campus sin la autorización previa del Departamento de servicios de tecnología de la información (ITS).
4.8 MENSAJERÍA
La organización proporciona una plataforma de comunicación sólida para que los usuarios cumplan su misión. Los usuarios no pueden:
Enviar mensajes electrónicos no solicitados, incluido “correo basura” u otro material publicitario a personas que no solicitaron específicamente dicho material (spam);
Solicitar mensajes electrónicos para cualquier otro identificador digital (por ejemplo, dirección de correo electrónico, cuenta social, etc.), que no sea él de la cuenta del autor, con la intención de acosar o recopilar respuestas; o
Crear o reenviar cartas o mensajes en cadena, incluidos aquellos que promuevan esquemas “piramidales” de cualquier tipo.
4.9 OTROS
Además de las otras partes de esta norma, los usuarios no pueden:
Utilizar los sistemas de información de la institución para su uso comercial o su beneficio personal.
FUNCIONES Y RESPONSABILIDADES
Empire State University se reserva el derecho de proteger, reparar y mantener el equipo informático y la integridad de la red de la institución. Para lograr este objetivo, el personal del Departamento de servicios de tecnología de la información (ITS) de Empire State University o sus agentes tienen que hacer todo lo posible para mantener la privacidad del usuario, incluido el contenido de los archivos personales y las actividades de Internet. Toda información obtenida por el personal de ITS sobre un usuario a través del mantenimiento de rutina del equipo informático o la red de la organización debe permanecer confidencial, a menos que la información se refiera a actividades que no cumplan con el uso aceptable de los recursos informáticos de Empire State University, incluida la Norma de conducta estudiantil.
CUMPLIMIENTO
El cumplimiento de esta norma es responsabilidad de la rectora de la institución o del director ejecutivo de información (CIO). La rectora o el CIO pueden autorizar a un funcionario de Empire State University o a un agente autorizado. Los usuarios que violen esta norma pueden estar sujetos a la terminación de su cuenta. La institución puede suspender temporalmente o bloquear el acceso a una cuenta cuando sea razonablemente necesario para proteger la integridad, seguridad o funcionalidad de la institución u otros recursos informáticos, o para proteger a Empire State University de posibles obligaciones legales. Si se solicita la devolución de una computadora portátil prestada a un estudiante debido a una presunta violación y no se devuelve, se colocará un bloqueo temporal en el registro del estudiante que impedirá la inscripción en futuros cursos.
EXCEPCIONES
Ciertas excepciones a la norma pueden ser concedidas por el director ejecutivo de información (CIO) o su designado. Todas las excepciones tendrán que revisarse anualmente.
LEGISLACIÓN Y REGULACIONES APLICABLES:
Ley Gramm–Leach–Bliley (GLBA)
Ley de Derechos Educativos y Privacidad Familiar (FERPA)
Reglamento General de Protección de Datos (GDPR)
Ley del estado de Nueva York sobre Violación de Seguridad de la Información y Notificación
Uso aceptable de recursos tecnológicos del estado de Nueva York (NYS-P14-001)
NIST 800-171 - Requisitos de seguridad para proteger información controlada no clasificada en sistemas y organizaciones
FIPS-199 - Norma Federal para la Clasificación del Impacto de la Seguridad de los Sistemas de Información Federales
Ley y Normas de Práctica Civil de Nueva York § 4509
Código de Ética de la Asociación Americana de Bibliotecas
REFERENCIAS RELACIONADAS, NORMAS, PROCEDIMIENTOS, FORMULARIOS Y ANEXOS:
Cumplimiento de la norma de la Ley de Derechos Educativos y Privacidad Familiar de 1974
Norma de clasificación de datos institucionales
Norma de comunicación por correo electrónico estudiantil
Norma sobre el uso de espacios web individuales gestionados por la universidad