Asignatura Datos del alumno Fecha

Apellidos: MG
Análisis de Riesgos
Informáticos
Nombre: LS

Actividad 3

Actividad: Gestión de riesgos legales: seguridad jurídica de los

proyectos de los programas informáticos

Objetivo:
Identificar los riesgos de seguridad de la información, privacidad y propiedad
intelectual de una empresa de mantenimiento de computadoras.

Introducción:
En los últimos años, el outsourcing informático se ha impuesto en la mayoría de las
empresas como una forma eficaz de mejorar su eficiencia y asegurar su supervivencia
en un entorno cada vez más competitivo. El outsourcing permite reducir los riesgos que
implican las TIC, compartiéndolos con el proveedor. (Navarro, 2003)
Pero si no se cuenta con un sistema de gestión de riesgos puede generar riesgos legales,
de privacidad y propiedad intelectual tanto para la empresa como para el proveedor del
outsourcing.
Por lo anterior, desarrollaremos un sistema de gestión de riesgos enfocándonos en su
identificación y atención para una empresa de mantenimiento de computadoras para
grandes corporativos.

Desarrollo:
Como director de seguridad de la información de una empresa de mantenimiento de
computadoras para grandes corporativos, como parte de nuestros servicios ofrecemos:
• Dar soporte a los equipos de cómputo
• Cambiar los equipos en caso de daño físico
• Generar respaldos de información en diversos medios
• Cambiar los equipos por nuevos en caso de obsolescencia.

Identificación de riesgos
Existen diferentes riesgos en cada organización, pero para una empresa de
mantenimiento de computadoras que trabaja por outsorcing existe diferentes riesgos
que se deben mitigar, transferir o eliminar.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: MG
Análisis de Riesgos
Informáticos
Nombre: LS

Muchas veces cuando sucede un error o dispositivo dañado no se puede realizar un

respaldo en el momento por el usuario, o algunas veces el usuario no sabe o no cuenta
con un respaldo actualizado, por lo cual, su información profesional o personal se
encuentra en el equipo mientras el equipo sale a la empresa que realizar el
mantenimiento correctivo.
Algunos riesgos que se pueden suscitar son:

Corporativo y organismo público

Seguridad de la Información
Leyes, Código o
Riesgo
Reglamento
Pérdida de la información o destrucción no Ley Federal de Protección de
autorizada (bases de datos, diseños, Datos personales en posesión
desarrollos, documentos) a consecuencia del de sujetos obligados
dispositivo dañado (Disco duro, disco
extraíble, USB etc)
Robo, extravió o de equipo durante el Código Penal Federal
traslado

Acceso a las bases de datos o a la información Ley Federal de Protección de

o a los recursos Datos personales en posesión
de sujetos obligados

Acceso no autorizado del usuario al equipo Código Penal Federal

dañado u obsoleto
Copia no autorizada de la información del Reglamento de la Ley federal
equipo de protección de datos
personales en posesión en los
particulares
Daño, alteración o modificación no Reglamento de la Ley federal
autorizada de la información del equipo de protección de datos
personales en posesión en los
particulares

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: MG
Análisis de Riesgos
Informáticos
Nombre: LS

Privacidad
Leyes, Código o
Riesgo
Reglamento
Mal uso de la información confidencial • Ley de firma avanzada
cuentas bancarias, estrategias de negocio, • Código civil Federal
archivos de firma avanzada, contratos que • Código de Comercio
maneja el usuario.

Manejo de su información personal o Ley de Protección de Datos

sensible como son cuentas bancarias, fotos personales en posesión de
personales, correos electrónicos etc. sujetos obligados
Ley de Protección de Datos
personales en posesión de los
particulares
Manejo de información del orden publico Ley federal de Transparencia y
catalogada como reservada como: Acceso a la Información Pública
expedientes judiciales, procedimientos
administrativos, averiguaciones previas
entre otros.
Mal uso de la información de clientes de la Ley federal de Transparencia y
empresa: datos personales Acceso a la Información Pública

Propiedad Intelectual
Leyes, Código o
Riesgo
Reglamento
Robo de prototipos, formulas, modelos de Ley de Propiedad Industrial
utilidad, marcas, diseños industriales,
patentes no registrados o registrados ante el
IMPI.
Robo de programas o desarrollos web o Ley de Derechos de Autor
diseños de base de datos, código fuente u
objeto registrados ante derechos de autor

Algunas medidas para mantener la seguridad de la información, privacidad y

protección industrial de datos personales y confidenciales, los cuales permitirán

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: MG
Análisis de Riesgos
Informáticos
Nombre: LS

generar un sistema de gestión de riesgos, del corporativo u organismo gubernamental

son:
I. Crear políticas internas para la gestión y tratamiento de los datos personales
externos, y datos confidenciales, que tomen en cuenta el contexto en el que
ocurren los tratamientos y el ciclo de vida de los datos personales, es decir, su
obtención, uso y posterior supresión
II. Definir las funciones y obligaciones del personal involucrado en el tratamiento
de datos personales;
III. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
IV. Generar lineamientos o políticas internas para el manejo de los equipos de
cómputo, generación de respaldos y de uso de información confidencial o
clasificada.
V. Crear políticas internas para el manejo de la información personal de los
empleados en sus equipos de trabajo.
VI. Capacitar a los empleados en la implementación de las políticas.
VII. Contar con las políticas internas firmadas por cada empleado.
VIII. Generar respaldos continuos de las bases de datos y de los datos personales.
IX. Incluir en el contrato de outsourcing el trato, responsabilidad de los datos
personales e información confidencial de la institución, así como las
penalizaciones en caso de mal uso, perdida o alteración.
X. Incluir en el contrato de outsourcing el borrado de los respaldos de los equipos
una vez concluido cada servicio.
XI. Incluir en el contrato de outsourcing contar con un plan de trabajo detallado
que contemple la protección de los datos personales y confidenciales.
XII. Generar mecanismos de monitoreo y revisión de las medidas de seguridad.
XIII. Contar con un programa de capacitación continuo para los empleados.

Riesgos del Proveedor de outsourcing

Seguridad de la Información
Riesgo Leyes, Código o
reglamentos
Pérdida de la información (bases de datos, Ley de Protección de Datos
diseños, desarrollos, documentos) a personales en posesión de
consecuencia del dispositivo dañado (Disco sujetos obligados (Camara de

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: MG
Análisis de Riesgos
Informáticos
Nombre: LS

Riesgo Leyes, Código o

reglamentos
duro, disco extraíble, USB etc) Diputados del H. Congreso de la
Unión, 2017)
Robo de equipo durante el traslado Código Penal Federal (Cámara
de Diputados del H. Congreso
de la Unión, 2018)
Acceso a las bases de datos o a la Ley de Protección de Datos
información o a los recursos personales en posesión de los
particulares (Camara de
Diputados del H. Congreso de la
Unión, 2010)
Almacenamiento de respaldos de los equipos Ley de Protección de Datos
no autorizados personales en posesión de los
particulares

Privacidad
Leyes, Código o
Riesgo
reglamentos
Uso de la información confidencial cuentas • Ley de firma avanzada
bancarias, estrategias de negocio, archivos (Camara de Diputado del H.
de firma avanzada, contratos que maneja el Congreso de la Unión, 2012)
usuario. • Código Civil Federal
(Camara de Diputados del
H. Congreso de la Unión,
2018)
• Código de Comercio
(Cámara de Diputados del
H. Congreso de la Unión,
2018)
• Ley de Protección de Datos
personales en posesión de
los particulares

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: MG
Análisis de Riesgos
Informáticos
Nombre: LS

Leyes, Código o
Riesgo
reglamentos
Manejo de información personal o sensible Ley de Protección de Datos
como son cuentas bancarias, firma personales en posesión de los
electrónica, fotos personales, correos particulares
electrónicos etc.
Manejo de información del orden público Ley federal de Transparencia y
catalogada como reservada como: Acceso a la Información Pública
expedientes judiciales, procedimientos
administrativos, averiguaciones previas
entre otros.
Mal uso de la información de clientes de la Ley federal de Transparencia y
empresa: datos personales Acceso a la Información Pública
(Cámara de Diputados del H.
Congreso de la Unión, 2017)

Propiedad Intelectual
Leyes, Código o
Riesgo
reglamentos
Uso de prototipos, formulas, modelos de Ley de Propiedad Industrial
utilidad, marcas, diseños industriales, (Camara de Diputados del H.
patentes no registrados o registrados ante el Congreso de la Unión, 1991)
IMPI.
Uso de programas o desarrollos web o Ley de Derechos de Autor
diseños de base de datos, código fuente u (Camara de Diputados del H.
objeto no registrados ante derechos de autor Congreso de la Unión, 2018)

Se recomienda generar medidas de seguridad por parte del proveedor de

outsourcing para proteger el uso, tratamiento, almacenaje de los datos personales
y/o confidenciales de sus clientes, generando un sistema de gestión de riesgos enfocado
a su identificación y atención.

I. Crear políticas internas para la gestión y tratamiento de los datos personales

externos, y datos confidenciales de las empresas y organismos
gubernamentales.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: MG
Análisis de Riesgos
Informáticos
Nombre: LS

II. Definir las funciones y obligaciones del personal involucrado en revisar los
equipos de cómputo y en la generación de respaldos.
III. Generar lineamientos o políticas internas para el manejo de los equipos de
cómputo, generación de respaldos y de uso de información confidencial o
clasificada.
IV. Crear acuerdos de confidencialidad para el manejo de la información personal,
confidencial de los equipos de los clientes.
V. Contar con las políticas internas y acuerdos firmadas por cada empleado.
VI. Incluir en el contrato de outsourcing el trato, responsabilidad de los datos
personales e información confidencial de la institución, así como el deslinde de
los archivos personales de los empleados del cliente.
VII. Incluir en el contrato de outsourcing el borrado de los respaldos de los equipos
una vez concluido cada servicio.
VIII. Incluir en el contrato de outsourcing el plan de trabajo detallado
IX. Generar mecanismos de monitoreo y revisión de las medidas de seguridad.
X. Contar con un programa de capacitación continuo para los empleados.

Conclusiones:
Con lo expuesto en el presente documento podemos concluir en la importancia de
contar con medidas de seguridad para el tratamiento de los datos personales y
confidenciales de los clientes, usuarios o ciudadanos que interactúan con nuestros
servicios tanto como proveedor como organismo público o privado. Es primordial
contar con un conjunto de elementos, actividades, lineamientos o normas
interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener
y mejorar el tratamiento de la seguridad de los datos personales y confidenciales de
conformidad con las leyes de nuestro país, que, en el caso de México, definen las
responsabilidades y penalizaciones, así como algunas acciones recomendadas.

Referencias
Cámara de Diputados del H. Congreso de la Unión. (05 de Noviembre de 2018).
Recuperado el 28 de Enero de 2019, de
http://www.diputados.gob.mx/LeyesBiblio/ref/cpf.htm
Camara de Diputados del H. Congreso de la Unión. (27 de Junio de 1991). Recuperado
el 28 de enero de 2019, de
http://www.diputados.gob.mx/LeyesBiblio/pdf/50_180518.pdf

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: MG
Análisis de Riesgos
Informáticos
Nombre: LS

Camara de Diputados del H. Congreso de la Unión. (05 de Julio de 2010). Recuperado

el 27 de enero de 2019, de
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
Camara de Diputados del H. Congreso de la Unión. (26 de enero de 2017). Recuperado
el 28 de enero de 2019, de
http://www.diputados.gob.mx/LeyesBiblio/ref/lgpdppso.htm
Camara de Diputados del H. Congreso de la Unión. (15 de junio de 2018). Recuperado
el 28 de enero de 2019, de
http://www.diputados.gob.mx/LeyesBiblio/ref/lfda.htm
(11 de Enero de 2012). Recuperado el 28 de enero de 2019, de Camara de Diputado del
H. Congreso de la Unión:
http://www.diputados.gob.mx/LeyesBiblio/ref/lfea.htm
(27 de Noviembre de 2017). Recuperado el 28 de Enero de 2019, de Cámara de
Diputados del H. Congreso de la Unión:
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFTAIP_270117.pdf
(09 de Marzo de 2018). Recuperado el 28 de Enero de 2019, de Camara de Diputados
del H. Congreso de la Unión:
http://www.diputados.gob.mx/LeyesBiblio/pdf/2_090318.pdf
(31 de Diciembre de 2018). Recuperado el 28 de enero de 2019, de Cámara de
Diputados del H. Congreso de la Unión:
http://www.diputados.gob.mx/LeyesBiblio/ref/ccom.htm
Navarro, E. d. (2003). Manual de Outsourcing Informático Análisis y Contratación
(Vol. 2). Madrid, España: Díaz de Santos S.A. Obtenido de Manual de
Outsourcing Informático analisis y contratación.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)