Una política de uso aceptable ( AUP ) (también política de uso aceptable o política de uso justo ( FUP )) es un conjunto de reglas aplicadas por el propietario, creador, poseedor o administrador de una red informática , sitio web o servicio que restringe las formas en que se puede utilizar la red, el sitio web o el sistema y establece pautas sobre cómo se debe utilizar. Los documentos AUP se escriben para corporaciones , [1] empresas , universidades , [2] escuelas , [3] proveedores de servicios de Internet (ISP), [4] y propietarios de sitios web, [5] a menudo para reducir el potencial de acciones legales que pueda emprender un usuario, y a menudo con pocas perspectivas de aplicación.
Las políticas de uso aceptable son una parte integral y crítica del marco de políticas de seguridad de la información ; a menudo es una práctica común pedir a los nuevos miembros de una organización que firmen una AUP antes de que se les permita acceder a sus sistemas de información, por si acaso. Por esta razón, una AUP debe ser concisa y clara. Si bien al mismo tiempo cubre los puntos más importantes sobre lo que los usuarios pueden y no pueden hacer con los sistemas de TI de una organización, debe remitir a los usuarios a la política de seguridad más completa cuando sea relevante. También debe definir, y muy notablemente, qué sanciones se aplicarán si un usuario infringe la AUP. El cumplimiento de esta política debe, como es habitual, medirse mediante auditorías periódicas .
En algunos casos, una política de uso justo aplicada a un servicio que permite un uso nominalmente ilimitado por una tarifa fija simplemente establece un límite a lo que se puede usar. Esto tiene por objeto permitir un uso normal pero evitar lo que se considera excesivo. Por ejemplo, los usuarios de un servicio de Internet de banda ancha "ilimitado" pueden estar sujetos a la suspensión, terminación o limitación del ancho de banda por un uso que sea continuamente excesivo, injusto o afecte el disfrute del servicio de banda ancha por parte de otros usuarios. Además, no es coherente con el uso que normalmente se espera de un paquete de acceso en particular. [6] La política se aplica directamente, sin procedimientos legales.
Los documentos de AUP son similares a los documentos de Condiciones de uso y, a menudo, cumplen la misma función que estos (por ejemplo, los que utilizan Google Gmail y Yahoo!), aunque no siempre. En el caso de IBM, por ejemplo, las Condiciones de uso tratan sobre la forma en que IBM presenta el sitio, cómo interactúa con los visitantes del sitio y poca o ninguna instrucción sobre cómo utilizar el sitio.
En algunos casos, los documentos AUP se denominan Política de Internet y correo electrónico , AUP de Internet , AUP de red o Política de uso aceptable de TI . Estos documentos, aunque tienen nombres diferentes, proporcionan principalmente declaraciones de políticas sobre qué comportamiento es aceptable para los usuarios de la red local/Internet conectados a través de la red local.
En general, las declaraciones/documentos de AUP suelen comenzar con una declaración de la filosofía de la organización patrocinadora y la razón por la que se ofrece el uso de Internet a los usuarios de la red de esa organización. Por ejemplo, la organización patrocinadora adopta una filosofía de autorregulación y ofrece al usuario conexión a la red local y también conexión a Internet siempre que el usuario acepte el hecho de que será personalmente responsable de las acciones que tome cuando se conecte a la red o a Internet. Esto puede significar que la organización no va a proporcionar ningún sistema de advertencia en caso de que el usuario contravenga la política, manteniendo que es responsabilidad del usuario saber cuándo sus acciones violan la política. [ cita requerida ] A menudo, los documentos de Política de uso aceptable proporcionan una declaración sobre el uso de la red y/o Internet y sus usos y ventajas para la empresa, escuela u otra organización que patrocina la conexión a Internet. [7] Dicha declaración puede describir el beneficio de los sistemas de correo electrónico, la capacidad de obtener información de sitios web , la conexión con otras personas mediante el uso de mensajería instantánea y otros beneficios similares de varios protocolos, incluidos los relativamente nuevos servicios de VoIP.
La parte más importante de un documento de AUP es el código de conducta que rige el comportamiento de un usuario mientras está conectado a la red/Internet. El código de conducta puede incluir alguna descripción de lo que se podría llamar netiqueta, que incluye elementos de conducta como usar un lenguaje apropiado y educado mientras se está en línea, evitar actividades ilegales , garantizar que las actividades que el usuario pueda realizar no molesten ni alteren a ningún otro usuario del sistema y advertir que no se debe revelar información personal que pueda ser causa de robo de identidad .
La mayoría de las declaraciones de AUP describen las consecuencias de violar la política. Tales violaciones se cumplen con consecuencias dependiendo de la relación del usuario con la organización. Las acciones comunes que toman las escuelas y universidades es retirar el servicio al infractor y, a veces, si las actividades son ilegales, la organización puede involucrar a las autoridades correspondientes, como la policía local. Los empleadores a veces retiran el servicio a los empleados, aunque una acción más común es terminar la relación laboral cuando las violaciones pueden estar dañando al empleador de alguna manera o pueden comprometer la seguridad . Earthlink, un proveedor de servicios de Internet estadounidense, tiene una política muy clara relacionada con las violaciones de su política. [8] La empresa identifica seis niveles de respuesta a las violaciones:
En la mayoría de los documentos de la AUP se encuentra una sección que detalla los usos inaceptables de la red, como se muestra en la AUP de la Universidad de Chicago. Las conductas inaceptables pueden incluir la creación y transmisión de documentos o imágenes ofensivos , obscenos o indecentes , la creación y transmisión de material diseñado para causar molestias , inconvenientes o ansiedad , la creación de material difamatorio , la creación y transmisión que infrinja los derechos de autor de otra persona, la transmisión de material comercial o publicitario no solicitado y el acceso deliberado no autorizado a otros servicios accesibles mediante la conexión a la red/Internet. Luego está el tipo de actividad que utiliza la red para perder el tiempo del personal técnico para solucionar un problema del que el usuario es la causa, corromper o destruir los datos de otros usuarios, violar la privacidad de otros en línea, usar la red de tal manera que niegue el servicio a otros, continuar usando software u otro sistema para el que el usuario ya ha sido advertido sobre su uso y cualquier otro uso indebido de la red, como la introducción de virus.
A menudo se añaden descargos de responsabilidad para eximir a una organización de responsabilidad en determinadas circunstancias. Por ejemplo, en el caso de la Universidad Anglia Ruskin, se añade un descargo de responsabilidad que exime a la Universidad de errores u omisiones o de cualquier consecuencia derivada del uso de la información contenida en el sitio web de la Universidad. Si bien se pueden añadir descargos de responsabilidad a cualquier AUP, los descargos de responsabilidad se encuentran con mayor frecuencia en los documentos de AUP relacionados con el uso de un sitio web, mientras que aquellos que ofrecen un servicio no añaden dichas cláusulas.
En particular, cuando una política de uso aceptable se redacta para un colegio o una escuela, las políticas de uso aceptable recuerdan a los estudiantes (o, en el caso de una empresa, a los empleados) que la conexión a Internet o el uso de un sitio web es un privilegio, no un derecho. [9] El abuso de privilegios puede dar lugar a acciones legales por parte de la escuela. [10]
En un manual para redactar documentos de AUP, el Departamento de Educación de Virginia indica que hay otras tres áreas que deben abordarse en una AUP: [7]
Ejemplo:
6.3 Esta Política se regirá por las leyes de Inglaterra y las partes se someten a la jurisdicción exclusiva de los Tribunales de Inglaterra y Gales.
Debido a las múltiples jurisdicciones que abarca Internet, el documento AUP debe especificar la jurisdicción, que determina las leyes que son aplicables y rigen el uso de una AUP. Incluso si una empresa solo está ubicada en una jurisdicción y la AUP se aplica solo a sus empleados, nombrar la jurisdicción ahorra dificultades de interpretación en caso de que se requiera una acción legal para hacer cumplir sus declaraciones.
La AUP se puede aplicar de forma eficaz con filtros de contenido y URL.
El uso para otros fines, como el correo electrónico personal o el uso recreativo de la World Wide Web o Usenet News, es un privilegio que se puede retirar, no un derecho.
Como en cualquier otra instalación del campus, el abuso de estos privilegios puede ser motivo de acción legal o de procedimientos disciplinarios oficiales del campus.