MATRIZ DE MEDIDAS DE

SEGURIDAD PARA LA
INFORMACIÓN PARA LOS
TELETRABAJADORES DE:
WORLD COUNCIL OF CREDIT
UNIONS
WOCCU-INC

LIMA 03 DE ABRIL DEL 2023

INTRODUCCIÓN

Uno de los principales cambios que nos dejó la pandemia en términos laborales es la
modalidad del teletrabajo o trabajo en remoto, que si bien existía desde antes, solo hasta
hace un poco más de dos años (marzo de 2020) fue implementada masivamente por
empresas de todo el mundo, que vieron en esta una rápida solución para continuar con sus
operaciones y la prestación de sus servicios (las que no requerían de la presencialidad).

Y aunque esta modalidad de trabajo, que actualmente sigue siendo implementada por
organizaciones de diferentes sectores y tamaños, representa grandes ventajas tanto para
los directivos como para los empleados, es importante tener en cuenta que sin las medidas
preventivas y de protección adecuadas puede poner en riesgo y generar impactos negativos
en la seguridad de la información.

Por eso, en la siguiente Matriz para la Seguridad de la Información se brindan algunas

recomendaciones para que funcionarios y colaboradores puedan proteger adecuadamente
la seguridad de la información desde el trabajo en remoto o teletrabajo y puedan evitar la
materialización de riesgos asociados a esta, por ejemplo ciberataques como suplantación
de identidad, robo o secuestro de información, que traen consecuencias no solo
operacionales y económicas sino también reputacionales.

DATOS DEL PROPIETARIO DE LA INFORMACIÓN

Razón Social: WORLD COUNCIL OF CREDIT UNIONS S.A.C.

RUC: 20521092051
Nombre comercial: WOCCU-INC
Uso y/o Giro: OFICINA ADMINISTRATIVA
Ubicación: CALLE CORONEL INCLAN 235 OF 605
Distrito: MIRAFLORES

OBJETIVOS

Conscientes de que el teletrabajo es una modalidad que cada vez se mantendrá más en
muchas organizaciones -algunas con modelos híbridos de trabajo-, es clave poner en claro
los siguientes objetivos :

LIMA 03 DE ABRIL DEL 2023

 ● Acciones y medidas sólidas que permitan gestionar la información de los
colaboradores

● Garantizar la seguridad de la data.

ACCIONES DE SEGURIDAD PARA LOS COLABORADORES EN

TELETRABAJO

Especialistas en seguridad de la información y ciberseguridad, recomiendan incorporar

buenas prácticas para proteger sus activos de información y los datos almacenados en
estos en la modalidad de trabajo en remoto:

La principal medida es la de proveer las herramientas y equipos necesarios para que el

trabajo desde casa pueda ser realizado de manera efectiva y segura por parte de los
colaboradores.
● Estos equipos deben contar con medidas de seguridad robustas, como lo son los
antivirus, el sistema operativo y las aplicaciones que cada empleado requiera para
realizar sus funciones.

● Tener actualizado tanto el sistema operativo, los antivirus y las aplicaciones, para
esto es recomendable tener configurado un control de actualizaciones periódicas.

● Implementar para los colaboradores de WOCCU-INC que trabajan en remoto

canales de comunicación seguros desde internet, tal como SSL o VPN. Igualmente,
incorporar técnicas de cifrado en los equipos y servidores de la empresa para
garantizar en mayor medida la protección de la información.

● Gestionar correctamente el acceso que tienen los colaboradores a los datos de

WOCCU-INC, esto implica conocer y tener claro quiénes pueden acceder a los
diferentes documentos e información confidencial o crítica de las operaciones, así
mismo, establecer los permisos que cada uno tiene, es decir, si pueden ver,
comentar, editar, copiar y compartir información.

● Tener una política de almacenamiento de datos en los equipos de trabajo, al igual

que para el almacenamiento en la red interna en la nube (hacer uso de soluciones
como Drive corporativo). Entre otras acciones, se puede restringir el uso de
memorias y dispositivos externos, que si no son usados correctamente pueden
contener virus informáticos que infectan los equipos o usarse para sustraer
información.

● Realizar un monitoreo constante a la infraestructura de los servicios y/o aplicaciones

que son utilizados por los trabajadores desde sus casas, esto para detectar posibles
inconsistencias o acciones no autorizadas.

LIMA 03 DE ABRIL DEL 2023

 ● Tener políticas sobre generación de backups / copias de seguridad periódicas para
evitar pérdidas de información confidencial.

● Configurar medidas de seguridad para salvaguardar la información corporativa en

caso de pérdida o robo de equipos informáticos, por ejemplo: geolocalización,
bloqueo de pantalla, borrado remoto de datos y seguimiento de las aplicaciones
ejecutadas.

● Contar con herramientas tecnológicas como un software que facilite la identificación

y gestión de activos de información y los riesgos a los que estos están expuestos.

● Capacitar, formar y concientizar a los colaboradores en la importancia de proteger y

aportar desde cada uno de sus roles a la seguridad de la información de la empresa
y más cuando trabajan desde sus casas u otros lugares.

PREVENCIÓN ANTE POSIBILIDADES DE CIBERATAQUES

Es importante saber qué hacer para prevenir ataques cibernéticos, el cómo actuar en caso
de que se presente uno, informar oportunamente sobre posibles vulnerabilidades o fallas y
conocer buenas prácticas para proteger y hacer un uso adecuado de los equipos y de la
información a la que tienen acceso.

Esta recomendación nunca sobra, pues aunque se cuente con herramientas y plataformas
de alto nivel para proteger la seguridad, sin un verdadero conocimiento y compromiso de
parte de los colaboradores sobre la seguridad puede verse quebrantada por los
ciberdelincuentes.

Desarrollar un plan de contingencia y continuidad que pueda ser aplicado en caso de ser
víctima de un ciberataque. Hay que ser conscientes de que ninguna empresa u
organización está exenta de esto, por eso es clave estar preparados y ser una organización
ciber resiliente

La seguridad de la información no es responsabilidad exclusiva de los directivos de la

organización, los colaboradores -directos o indirectos- también deben aportar para su
protección.

De hecho, la gran mayoría de amenazas y ataques cibernéticos que se materializan se dan

por el desconocimiento que tienen los colaboradores sobre los riesgos a los que se
enfrentan cuando navegan por internet, comparten información o realizan acciones poco
seguras.

Algunas buenas prácticas que deberían implementar los empleados para proteger desde
sus roles la seguridad de la información de las empresas son:

LIMA 03 DE ABRIL DEL 2023

Trabajar en los equipos informáticos asignados por la organización, es decir, evitar bajo
cualquier modo el realizar tareas laborales en equipos personales y, en caso de ser
necesario, garantizar que estos cuentan con sistemas de protección seguros: sistema
operativo, antivirus y aplicaciones actualizadas.

MEDIDAS BASICAS DE PROTECCION

Proteger adecuadamente las cuentas de correos electrónicos, redes sociales y accesos a

otros datos. Para hacerlo, una buena recomendación es activar la verificación de identidad
en dos pasos, también, utilizar contraseñas fuertes que incluyan más de 10 caracteres y
que contengan mayúsculas, minúsculas, números y caracteres especiales como asteriscos,
guiones, puntos u otros y no usar información personal (fechas, nombres de familiares,
etc.).

Asegurar que los software y herramientas antivirus están constantemente actualizadas y no

utilizar aplicaciones que no tengan garantías de seguridad, además, eliminar aquellas que
por algún motivo ya no se requieren.
Evitar conectarse a redes públicas y abiertas de WiFi porque, muchas veces, pueden no
estar protegidas y esto facilita la labor de los ciberdelincuentes que podrían acceder a
información confidencial de la empresa o instalar virus o códigos maliciosos en los
dispositivos informáticos.

Hacer uso de navegadores confiables, por ejemplo Chrome, que ayudan a proteger frente a
sitios que pueden poner en riesgo la seguridad y frente a amenazas como malware.

Cumplir las políticas existentes sobre generación de backups / copias de seguridad. Estas
se deben realizar periódicamente y, sobre todo, de aquella información que es fundamental
para la empresa, hacerlo permite recuperar más fácil los datos que se ven en riesgo en
caso de presentarse una falla o una amenaza cibernética.

Tener cuidado con los mensajes recibidos a través del correo electrónico o mensajes de
textos. Verificar siempre que la dirección o el número del remitente es legítima y no ha sido
alterada. Si hay duda de que la información es verdadera, una buena opción es contactar
con la persona para confirmar que realmente fue quien envió el correo o el mensaje y evitar
así caer en un caso de phishing y suplantación de identidad.

No instalar programas o extensiones de navegadores de fuentes desconocidas,

generalmente estas pueden contener algún malware que infecte el equipo y permita el robo
de información confidencial y de valor para la organización.

Garantizar que todos los archivos y documentos que se descarguen desde el correo
electrónico sean analizados por el software antivirus que se tiene instalado en el equipo.

Participar en las capacitaciones y jornadas de formación ofrecidas por la organización para

aprender y adquirir nuevos conocimientos sobre seguridad de la información y cómo
protegerla correctamente.

LIMA 03 DE ABRIL DEL 2023

Ser consciente de la importancia de informar oportunamente al área encargada sobre
posibles fallas o vulnerabilidades que tengan los equipos y sistemas para así tomar
decisiones rápidas y evitar la materialización de amenazas.

Algunas señales de alerta que pueden significar la presencia de un virus informático son:
disminución de la velocidad del equipo, modificación o eliminación repentina de archivos,
inconvenientes con las conexiones de red o aparición en el escritorio de íconos
desconocidos.

Cumplir en todo momento la Política de Seguridad de la Información establecida por

WOCCU-INC, de esta manera no solo se contribuye a la protección de los datos sino
también evita recibir llamados de atención o una sanción.

GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Como principal objetivo proteger los datos (información) de WOCCU-INC, es decir, evitar
que estos sean modificados sin autorización, robados o que sufran una pérdida.

Y una parte fundamental de la Gestión de Seguridad de la Información, de acuerdo con la

norma ISO 27001, es la gestión de todos los activos de información con los que cuenta la
organización.

Las características que se deben proteger y cómo gestionar eficientemente los activos, así
como los diferentes riesgos a los que estos están expuestos.

ACTIVOS DE INFORMACIÓN
Según la norma ISO 27001, un activo de información es todo aquello que tiene algún valor
para la organización y que por ende, debe protegerse.

Estos activos son elementos valiosos y pueden ser tangibles o intangibles, por ejemplo,
bases de datos, el hardware, el software, dispositivos de red, de almacenamiento y de
seguridad, equipos de cómputo de escritorio y portátiles, el personal que maneja
información muy importante, entre muchos otros.

Sobre estos activos, es importante tener claridad sobre qué tipo de información son. Según
Andrés Olarte, especialista en seguridad de la información, puede ser:

● Información confidencial: es aquella con acceso limitado para los colaboradores o

terceros, es decir, solo pueden acceder a esta con previa autorización de parte del

LIMA 03 DE ABRIL DEL 2023

 dueño de la misma porque su revelación podría causar impactos operacionales,
financieros, reputacionales o legales.

● Información restringida: es de carácter privado o de uso interno solo para las áreas o
proyectos autorizados, es decir, tienen acceso controlado.

● Información de uso interno: es toda aquella que no sea considerada como

confidencial y que puede ser comunicada a nivel interno sin restricciones, además,
solo puede ser divulgada o compartida a un tercero con previa autorización por parte
del dueño de la información.

● Información pública: es aquella que puede ser distribuida abiertamente al público sin
que cause algún daño a la organización, a sus colaboradores, sus socios o sus
clientes. Esta categoría solo es asignada por el dueño de la información.

CARACTERÍSTICAS DE LOS ACTIVOS DE

INFORMACIÓN QUE SE DEBEN GARANTIZAR
Un buen Sistema de Gestión de Seguridad de la Información sirve para proteger en todo
momento la confidencialidad, integridad y disponibilidad de los activos de información y a su
vez, mitigar la probabilidad e impacto de los riesgos a los que están expuestos.

Confidencialidad: esta característica se refiere a que la información solo debe ser accesible
para las personas que tengan un rol específico y la autorización. Se debe introducir sistema
de validación de identidades y control de tiempos en los archivos así como también, el uso
de permisos y contraseñas duales para archivos más privados de la organización los cuales
no pueden ser descargados ni copiados en equipos ajenos a la propiedad de WOCCU-INC.

Integridad: tiene que ver con que la información debe ser integral, completa, exacta, es
decir, se debe resguardar correctamente para que no sea modificada o alterada sin
autorización. Para ello, se debe tener un control sobre el acceso a descarga o generar
copias adicionales fuera de los servidores o equipos de propiedad de WOCCU-INC.

Disponibilidad: esta característica significa que la información debe estar siempre disponible
para el personal que tiene el permiso de acceder a ella, previa validación y con un control
de tiempo de permanencia sobre el uso o disponibilidad de visualización del archivo.

Garantizar estas tres características es lo que se busca con una correcta gestión de los
activos de información, elementos esenciales para el adecuado funcionamiento de todas las
organizaciones y, por supuesto, para el logro de los objetivos estratégicos.

LIMA 03 DE ABRIL DEL 2023

GESTIÓN EFICIENTE DE LOS ACTIVOS DE
INFORMACIÓN Y RIESGOS
Teniendo en cuenta la norma ISO 27001, una adecuada gestión de los activos de
información comienza con el inventario de los activos, esto es, identificarlos correctamente
para saber con qué activos cuenta la organización. Además, es importante clasificarlos y
valorarlos según su criticidad.

Para realizar el inventario de activos es recomendable definir unos elementos claves que
ayudarán a su gestión, por ejemplo:

● Nombre del activo

● Tipo de activo
● Descripción
● Criticidad según la calificación de su confidencialidad, integridad y disponibilidad
● Proceso
● Propietario
● Custodio
Ubicación
Contar con este inventario de activos claro, que debe mantenerse actualizado, también
permite realizar una mejor gestión de los riesgos y amenazas a los que están expuestos,
como pueden ser: daños o alteraciones, pérdidas, destrucción lógica, destrucción física,
hackeo, secuestro de datos o eliminación.

Para la gestión de estos riesgos hay que tener en cuenta datos como:

● Nombre del riesgo

● Calificación de la frecuencia y el impacto
● Descripción
● Proceso
● Activo asociado

Y por supuesto, la gestión incluye el tratamiento de los riesgos a través de controles que
ayuden a mitigar su probabilidad de ocurrencia y su impacto, así como la definición y
creación de planes de acción con actividades y responsables específicos.

Para llevar a cabo la gestión de los activos de información y sus riesgos de manera
eficiente, una buena práctica es apoyarse en herramientas tecnológicas que faciliten esta
labor, reduciendo la operatividad y así mismo, las imprecisiones o errores que se puedan
llegar a cometer.

Como recomendacion general, una herramienta como un software de gestión de riesgos de

seguridad de la información sirve para facilitar y optimizar la identificación y clasificación de
los activos y la gestión de los riesgos asociados, además, permite tener centralizada toda la
información para una mejor administración y toma de decisiones oportunamente.

LIMA 03 DE ABRIL DEL 2023

Lo primero que se debe tener en cuenta es la metodología de gestión que utilizan en
WOCCU-INC para la solución de seguridad de datos la cual se debe apoyar en el
cumplimiento de normativas y estándares internacionales, en este caso, la norma ISO
27001, que es certificable.

Centralizar toda la información en un solo lugar, cuál permite un control permanente y

directo sobre los datos como también sobre el acceso a ellos cuánto tiempo estuvieron los
archivos disponibles, si estos archivos fueron copiados total o parcialmente, si los archivos
fueron modificados en algún punto, si los archivos fueron eliminados todo esto debe dejar
un rastro y una alerta en caso el archivo de datos sea de mayor privacidad para la
organización.

Se debe tener una constante evolución y actualización el software que se emplea en

WOCCU-INC para ofrecerte más y mejores funcionalidades que te ayuden a proteger la
seguridad de la información en todo momento.

Facilitar la implementación de buenas prácticas de seguridad de la información, además,

ayuda a involucrar a más personas en el uso y gestión adecuada de los activos y de la
información.

BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN

Identificar, crear y visualizar todos los procesos de tu organización. Pueden ser estratégicos,
misional o de apoyo, además, puedes categorizarlos como macroproceso, proceso o
subproceso.

Identificar los activos de información de tu organización y valorar la criticidad de cada uno

de estos teniendo en cuenta su confidencialidad, integridad y disponibilidad, igualmente,
puedes determinar qué tipo de activo es (hardware, software, redes, personas, etc.) y
asociar cada activo a procesos, riesgos y responsables.

Identificar y crear los riesgos de seguridad de la información, asociarlos directamente a los

activos y amenazas y vulnerabilidades. También puedes valorar cada riesgo considerando
el impacto y la frecuencia de ocurrencia.

Determinar los controles a implementar para disminuir la probabilidad de ocurrencia o el

impacto que tendrían los riesgos en la continuidad del negocio.

En la creación de los controles, los criterios que conforman cada control (tipo, frecuencia,
documentación, evidencia, responsable) y su ejecución, esto es, las variables que permiten
determinar si su ejecución es correcta.

Otros datos a considerar dentro de las BPSI son el tipo de control (preventivo, detectivo y
correctivo), la capacidad operativa y el dominio de seguridad (protección, defensa,
resiliencia). Y, muy importante, puedes asociar uno o más controles a los riesgos creados,
así como a los activos y asignar responsables.

LIMA 03 DE ABRIL DEL 2023

La base de las BPSI siempre es reportar incidentes de seguridad de la información que se
presenten. Se debe incluir información como:
● Nombre
● Descripción
● Pérdidas Generadas
● Lugar de ocurrencia
● Fecha y hora de inicio (momento en el que se materializa el incidente),
● Fecha y hora de descubrimiento (momento en el que se descubre el incidente)
● Adjuntar evidencia sobre lo sucedido.

Establecer planes de acción, especificando la fecha de inicio y finalización, así como el

responsable del plan y las actividades detalladas de este. Igualmente puedes asociar los
planes de acción a procesos, activos, riesgos, controles e incidentes.

Generar fácilmente reportes del perfil de riesgo organizacional tanto inherente como
residual y otros reportes como el mapa de calor y la solidez de los controles. Además,
tienes la opción de crear reportes dinámicos, es decir, personalizar los reportes que
necesites, por ejemplo, de los activos de información, de los incidentes y mucho más.
Crear objetivos y sus indicadores de cumplimiento para un seguimiento eficaz. Cada uno de
estos deben estar asociados a una persona responsable.

Evaluar y monitorear los riesgos identificados y los controles implementados en tu

organización para así, establecer acciones que permitan la mejora continua para asegurar
la confidencialidad, integridad y disponibilidad de los activos en todo momento.

LIMA 03 DE ABRIL DEL 2023