安全意识海报内容创作

最小权限原则安全意识海报（内部发布）

目标

• 只授予完成职责所需的最低访问权限，按需、限时、可审计，降低数据泄露与误操作风险，提升合规性与可控性。

为什么重要

• 降低攻击面：权限越少，潜在损失越小。
• 阻断横向移动：限制被攻破账号的扩散能力。
• 防误操作：减少高危变更和大规模数据导出。
• 合规要求：符合最小必要/数据最小化原则（PIPL、数据安全法、GDPR）与访问控制最佳实践（ISO/IEC 27001、零信任理念）。

核心实践

• 角色为先：使用基于角色的访问控制（RBAC），按岗位映射最小权限模板。
• 按需提权：通过PAM/JIT进行临时高权限，自动到期回收。
• 分离职责：审批与执行、开发与上线、财务与复核相互独立。
• 数据分级：按数据敏感度实施读/写/导出最小化和必要审批。
• 时效与范围：权限设有效期、限定资源范围与操作类型。
• 审批与工单：统一入口、记录充分业务理由与期限。
• 审计与检测：全量记录特权使用与导出行为，异常告警。
• 生命周期管理：入转调离自动调整与回收；禁用共享账号。
• 秘密管理：钥匙/令牌集中保管与轮换，禁用硬编码和个人令牌跑自动化。

员工应如何做

• 申请前明确任务目标、所需数据范围与最短期限；默认只读。
• 通过标准角色/群组申请，不私下互相拉权限或共享账号。
• 完成任务后主动归还权限；定期检查自己的权限清单。
• 下载/导出前确认必要性与合规性，敏感数据优先在受控环境处理。
• 发现过宽或无效权限、孤儿访问，立即提交工单修正。

管理者/资源所有者应如何做

• 采用预定义最小权限角色，避免“万能角色”和通配符策略。
• 审批基于业务证据与最小必要范围，高风险权限实施双人审批。
• 强制设置到期时间与使用条件（时间/地点/设备合规）。
• 季度复核访问清单；人员离职或岗位变化立即回收。
• 对共享空间与生产环境默认拒绝，按项目白名单授权。

常见错误（避免）

• 永久管理员或长期白名单例外。
• 为分析授予生产写权限或全库导出权限。
• 使用个人访问令牌运行CI/CD或自动化。
• 临时权限授予后未回收；把人直接加入过宽群组。

快速流程

• 发起：服务台/IDM工单，选择角色，填写任务、范围、期限。
• 审批：主管审批；特权或导出权限需安全/系统双审。
• 下发：自动化配置，启用MFA与条件访问。
• 使用：按需提权，操作受监控；超期自动失效。
• 复核：月度异常审计；季度访问再认证。

技术管控建议（由IT/安全执行）

• 统一身份与强认证：SSO＋MFA，条件访问策略。
• 终端最小权限：默认非管理员，LAPS管理本地管理员。
• 数据库：只读副本、行列级权限与脱敏；阻断“SELECT *”导出到外部。
• 云与容器：精细化IAM策略，资源级条件与标签，限制“*”与强制KMS加密。
• 代码与流水线：令牌最小Scope、短期有效，优先OIDC联邦；分支保护与审批门禁。
• 日志与告警：特权使用、权限变更、异常导出与失败登录集中审计。
• 秘密管理：集中保管、最小可见、定期轮换与访问审计。

合规与参考

• 中国：个人信息保护法最小必要原则、数据安全法分级分类、网络安全法。
• 国际：GDPR数据最小化原则、ISO/IEC 27001访问控制相关实践、NIST零信任原则。

口号

• 没有业务需要，不给权限；没有到期时间，不批权限；任务结束，回收权限。

报告与支持

• 发现越权、异常导出或共享账号，请立即报告：security@company.com 或 服务台“权限安全”分类工单。

Título: Uso seguro de dispositivos USB en la organización

Objetivo

• Reducir riesgos de malware, fuga de datos y manipulaciones (p. ej., BadUSB).
• Cumplir con las políticas internas de seguridad y con el RGPD y normativas aplicables.

Alcance

• Aplica a empleados, contratistas y visitantes en todas las sedes y entornos remotos.

Riesgos principales

• Malware y ransomware a través de archivos o ejecución automática.
• BadUSB: dispositivos/cables que se hacen pasar por teclado, tarjeta de red o hub.
• Pérdida, robo o acceso no autorizado a información sensible.
• Exfiltración de datos personales o confidenciales sin controles.

Normas obligatorias de uso

• Solo se permite conectar dispositivos USB corporativos aprobados y registrados por TI.
• Prohibido el uso de USB personales, promocionales o de procedencia desconocida.
• Cifrado obligatorio para cualquier dato de la organización en medios extraíbles:
  • Utilizar la solución corporativa aprobada (p. ej., BitLocker To Go u otra autorizada).
  • Cifrado robusto (p. ej., AES-256) y protección por contraseña gestionada.
• Escaneo automático del dispositivo con antivirus/EDR antes de abrir archivos.
• Desactivar/No permitir AutoRun/AutoPlay. No ejecutar archivos desde el USB sin validación previa.
• No almacenar datos personales, clasificados o regulados sin autorización expresa y controles DLP.
• Minimización: transferir solo lo necesario. Eliminar los datos del USB al finalizar la tarea.
• No conectar teléfonos personales, cargadores públicos o cables desconocidos al equipo corporativo.
• No usar hubs, adaptadores o cables USB no autorizados por TI.
• No eludir controles de bloqueo de puertos, listas blancas (VID/PID) o políticas de control de dispositivos.

Antes de conectar un USB (lista de verificación)

1. Verifique que el dispositivo está inventariado, etiquetado y aprobado por TI.
2. Confirme que el cifrado está activo y que cuenta con credenciales válidas.
3. Conéctelo y espere el análisis del EDR/antivirus; no abra archivos hasta el resultado.
4. Acceda solo a los datos estrictamente necesarios. Mantenga el USB conectado el mínimo tiempo.
5. Expulse el dispositivo de forma segura antes de retirarlo.

Transferencia y manejo de datos

• Clasifique los datos según la política interna (p. ej., Público, Interno, Confidencial).
• Para datos personales o sensibles:
  • Base legal documentada y autorización del responsable/dueño de datos.
  • Cifrado en tránsito y en reposo; registro de la transferencia cuando aplique.
  • No enviar información regulada a terceros sin contrato y cláusulas de protección de datos.
• Retención: elimine o anonimice datos cuando dejen de ser necesarios.
• Borrado seguro:
  • Preferente: destrucción criptográfica (eliminar clave de cifrado) mediante la herramienta corporativa.
  • Alternativa: sanitización conforme al procedimiento de TI antes de reutilizar o desechar.

Buenas prácticas adicionales

• Viajes y entornos públicos: no conecte USB a quioscos o equipos no confiables. Evite cargar dispositivos en puertos desconocidos; utilice adaptadores de corriente confiables o bloqueadores de datos (“USB data blocker”).
• No habilite macros, no ejecute binarios ni instale controladores desde el USB sin aprobación.
• Mantenga el etiquetado físico discreto; evite revelar la clasificación en el exterior del dispositivo si incrementa el riesgo.

Detección y respuesta ante incidentes

• Señales de alerta: aparición de “nuevo teclado/dispositivo de red”, análisis EDR con detección, apertura de ventanas inesperadas, comportamiento anómalo del sistema.
• Si sospecha:
  1. Desconecte el USB de inmediato.
  2. Aísle el equipo de la red si hay actividad maliciosa evidente (desconexión de red/airplane mode).
  3. No apague ni intente analizar por cuenta propia; preserve el estado para forense.
  4. Notifique de inmediato al SOC/Mesa de ayuda por los canales establecidos.
  5. Registre qué dispositivo, cuándo, dónde y qué archivos se accedieron.

Cumplimiento y responsabilidades

• RGPD: adopte cifrado, control de acceso y registros cuando se traten datos personales. Notificación de brechas según procedimientos internos (plazo legal de 72 horas para la autoridad, cuando proceda).
• Proveedores: exija acuerdos de tratamiento de datos, cifrado y certificación de borrado al finalizar el servicio.
• Devolución: entregue los USB corporativos a TI para su sanitización o destrucción cuando ya no se requieran.

Soporte y dudas

• Para aprobación de dispositivos, cifrado, recuperación de claves o reportes de incidentes, contacte al SOC/Mesa de ayuda por el canal corporativo establecido.