0 calificaciones0% encontró este documento útil (0 votos)
9 vistas6 páginas
El documento presenta el Plan de Análisis y Mitigación de Riesgos de Protección de Datos de FIX4U C.A. El plan incluye medidas como clasificar y proteger la información de los usuarios según su consentimiento, cifrar dispositivos portátiles, establecer una red local segura mediante un router actualizado, y proteger los correos electrónicos corporativos y teléfonos móviles mediante contraseñas seguras y cifrado de datos. El objetivo es garantizar la confidencialidad, integridad y disponibilidad de los sistemas
El documento presenta el Plan de Análisis y Mitigación de Riesgos de Protección de Datos de FIX4U C.A. El plan incluye medidas como clasificar y proteger la información de los usuarios según su consentimiento, cifrar dispositivos portátiles, establecer una red local segura mediante un router actualizado, y proteger los correos electrónicos corporativos y teléfonos móviles mediante contraseñas seguras y cifrado de datos. El objetivo es garantizar la confidencialidad, integridad y disponibilidad de los sistemas
El documento presenta el Plan de Análisis y Mitigación de Riesgos de Protección de Datos de FIX4U C.A. El plan incluye medidas como clasificar y proteger la información de los usuarios según su consentimiento, cifrar dispositivos portátiles, establecer una red local segura mediante un router actualizado, y proteger los correos electrónicos corporativos y teléfonos móviles mediante contraseñas seguras y cifrado de datos. El objetivo es garantizar la confidencialidad, integridad y disponibilidad de los sistemas
Plan de Análisis y Mitigación de Riesgo de Protección de Datos
De acuerdo con informaciones establecidas para conllevar a la protección de
los datos y la seguridad de la información del cliente, es importante garantizar la calidad de dicha información suministrada. Por lo tanto. nuestro compromiso es respetar y aplicar las disposiciones de protección de datos, presentar información adecuada y alineada a la estrategia de seguridad y protección de datos de UNICEF, a fin de garantizar un proceso que identifique áreas de vulnerabilidad y medidas de corrección oportunas. Del mismo modo. la seguridad de los datos de los usuarios y la información sobre, sus datos personales y sus retroalimentaciones, estarán protegidas contra pérdida, robo o uso indebido. Conlleva garantizar para estos tipos de sistemas varias características, entre ellos la confidencialidad, integridad y disponibilidad del sistema En FIX4U C.A. Se garantiza la seguridad de los datos en cualquier tipo de sus canales manipulados, por lo que se debe sobrellevar a su vez, a las medidas tomadas en ciberseguridad, seguridad informática y normas regidas para la protección de los datos, en la cual, se exige especial atención a los llamados datos especiales, que contemplan información de orientación sexual, creencias religiosas, información de pago, entre otros. Para FIX4U C.A la protección de estos datos es una obligación y una prioridad.
Por lo tanto, la seguridad de la información establecida para cada uno de los
empleados, se rigen a través de varios factores, siendo factores internos y externos, por lo que se toma en cuenta el siguiente plan de análisis para mitigar la seguridad de la información: Dentro del ámbito interno: se ha establecido una clasificación para resguardar la información de los usuarios con el fin de suministrar una protección adecuada de acuerdo al consentimiento de cada una de las retroalimentaciones. La seguridad de la información abarca una función primordial para todas las empresas con el fin de que los datos manejados sean de calidad y confidenciales dentro del uso interno de las herramientas de trabajo del agente, por lo tanto, se ha sub clasificado el plan de análisis en los siguientes puntos: o Equipos Manipulados: para esta clasificación se cuenta con una planificación de la protección de los datos de los agentes de la línea de contacto UNICEF con los siguientes procedimientos: Cada retroalimentación de los usuarios de la línea de contacto interagencial serán respaldado contantemente dentro de nuestra red local. Consta de un equipo con Windows Server 2012 R2 actualizado y 1 TB de disco duro para resguardar la información valiosa. El mismo cuenta con una restricción de clave segura para su ingreso al sistema operativo, así como encriptación de los datos en caso de incidencia de robo o pérdida del equipo físico. Se ha establecido un Sistema Operativo Linux para cada uno de los agentes telefónicos, siendo un SO ligero y de sencillo manejo, con el fin de resguardar la seguridad de la información suministrada en el equipo, gracias a la implementación de un usuario root configurado por todos los sistemas Linux, generando restricción de acceso hacia cualquier actividad sospechosa y no autorizada, así como restricciones hacia el acceso de archivos maliciosos. Se realizaron normativas de uso de contraseñas seguras para cada uno de los equipos manipulados entre todo el personal de FIX4U C.A, con el fin de resguardar las actividades confidenciales por agentes externos no autorizados. Se cuenta con rutinas agendadas constantemente para la actualización de paquetes de uso del sistema operativo Linux, con el fin de tomar todas las previsiones sobre el resguardo de datos almacenados dentro del equipo, así como la constante actualización de los programas utilizados por los agentes de la línea de contacto, evitando usos fraudulentos de las aplicaciones con funciones desactualizadas. Cifrado de dispositivos: Esta medida consiste en obligar a que todos los dispositivos portátiles (Memorias USB, Laptops, Tablets, teléfonos móviles) que se puedan extraviar o puedan ser objeto de robo estén cifrados con el fin de garantizar el resguardo de información. o Establecimiento de la Red Local: es primordial contar con una administración y configuración de red adecuada y segura para la navegación y fluidez de calidad para todo el personal de FIX4U C.A, teniendo como base un Router RB3011UiAS-RM (con licencia de nivel 5, arquitectura ARM 32 bits) contando con los siguientes procedimientos para sobrellevar la seguridad de la información: Se cuenta con una actualización constante del tráfico de los datos almacenados en el Router por el cual, está implementado un filtrado de marco de paquetes que proporciona funciones de seguridad que se utilizan para administrar el flujo de datos hacía, desde y a través del Router Microtik RB3011UiAS-RM. Con el fin de disminuir la exposición a servicios de internet no autorizados. Se establecieron filtros de reglas para disminuirlos. Dichas fueron hechas a través del Mikrotik RB3011UiAS-RM. En las cuales se restringió el uso de redes sociales, limitación del ancho de banda en aplicaciones específicas y solo dando prioridad a las páginas de internet o programas utilizados para desempeñar la gestión. A fin de establecer una fluidez en los equipos del personal de FIX4U C.A, así como evitar robo de información por consumos de fraudulentos (spyware) se han establecido limitaciones de consumo de red para cada uno de los equipos activos que realicen trafico constante desde, hacia y a través del Router Microtik RB3011UiAS-RM. Se realiza cada semana un backup de la configuración establecida para el Router Microtik RB3011UiAS-RM en caso de alguna perdida de los datos registrados con la configuración establecida inicialmente. o Correos Electrónicos Corporativos: Para los protocolos de seguridad y protección de datos manejados en FIX4U C.A, consta de mayor prioridad velar por el resguardo de la información interactuada a través de los correos electrónicos corporativos, así como demás funciones que ofrecen nuestros servicios de hosting de alojamiento de dominios, subdominios y servicio de rutas email, para ello se cuenta con los siguientes planes: El servidor corporativo de correos cuenta con La protección de enlace directo, con el fin de precaver cualquier actividad sospechosa por personal no autorizado ante el acceso de los archivos manejados dentro del enrutamiento de correos electrónicos. El servidor de correos electrónicos se encuentra con activado con certificación SSL vigente con el fin de realizar encriptación de la información única y exclusivamente para el servidor, considerándose un enlace seguro para todos los usuarios. Cada usuario de correo cuenta con contraseñas de confianza establecidos con un mínimo de 8 caracteres, contando con una mayúscula, minúscula, un número y un símbolo, siendo primordial para mitigar el riesgo de robo de información por ingreso no autorizado bien sea agente interno o externo y/o ajeno a la empresa. o Teléfonos móviles: Para el desarrollo de las actividades del personal FIX4U C.A es considerable tomar prevención del robo o pérdida de la información manejada a través de dispositivos móviles. Por lo tanto, se han establecido varias medidas de prevención para la protección de datos e información manejada dentro de los números telefónicos de la línea de contacto interagencial UNICEF: El rastreo de ip a través del Router empresarial Mikrotik RB3011UiAS-RM cuenta con una máscara de ip hacia navegaciones públicas con el fin de que el trafico manejado sea totalmente encriptado y no sea ágil el acceso hacia terceros para el rastreo de ubicación del dispositivo. Se mantendrá el sistema móvil actualizado (Sistema operativo, anti virus y demás aplicaciones) para evitar brechas en la seguridad. En referencia a la aplicación constantemente manejada para el manejo de retroalimentaciones (WhatsApp), el mismo cuenta con un cifrado de verificación en dos pasos, con el de que sean denegado el acceso al servicio de mensajería de la línea de contacto por agentes no autorizados. Cada uno de los agentes se les implanta la regla de la restricción de descarga de aplicaciones que no sean acorde a las funcionalidades de la línea de contacto interagencial UNICEF, evitando la instancia de programas que puedan realizar uso fraudulento de la ubicación del dispositivo, así como contener fuentes desconocidas situando una desprotección de los datos y arriesgando la seguridad de la información de los usuarios reportados dentro del número telefónico. La línea de contacto móvil (WhatsApp) contiene un correo de recuperación en caso de algún robo inesperado y/o no autorizado, el cual se encuentra referenciado a un dominio de confianza suministrado por la misma empresa FIX4U C.A Dentro del ámbito Externo: En FIX4U C.A, es primordial la protección de datos ingresada por fuentes externas hacia las instalaciones, bien sea una encuesta o cualquier medio externo que se maneje en cada uno de los equipos de trabajo de los agentes telefónicos, tomando en cuenta cada una de las actividades manejadas por cada personal responsables, por ende, se toman en cuenta los siguientes puntos: o Se ha encargado la reglamentación de una gestión de roles y responsabilidades para cada uno de los responsables de la línea de contacto UNICEF y demás personal afiliada a la empresa. o El supervisor encargado de la línea de contacto UNICEF, se encarga de realizar la auditoria de cada uno de las retroalimentaciones con cada uno de los agentes que brindan el apoyo hacia los usuarios que realizan el uso de la vía telefónica a través de una revisión documental. o Se han encargada un formato de canales de transmisión de información entre los diferentes puestos del personal FIX4U C.A con el fin de auditar, mitigar y prevenir la protección de los datos. o Los operadores reciben capacitación constante sobre nuevas directrices y la información nueva sobre la gestión que desempeñan. o Se le ofrece a cada operador una capacitación y se dan todas las herramientas sobre el contenido de las tareas a realizar y los riesgos que pueden comportar, control de emociones, manejo de cliente, así como los medios a utilizar antes y después de desarrollar sus labores. Continuamente al ser establecido el plan de análisis de protección y seguridad de los datos, es primordial realizar los siguientes protocolos de seguridad en caso de alguna incidencia ocurrida respecto a una violación o accesos no autorizados de la información transmitida hacia los diferentes canales de acceso que presta la empresa FIX4U C.A. es significativo el uso de varios de estos protocolos que conlleven al correcto funcionamiento confiable de cada uno de los agentes que realizan las actividades dentro de la línea de contacto interagencial: Acceso no autorizado a los equipos de trabajo: Al ocasionarse un acceso sospechoso bien sea informático o humano se cuenta con el siguiente protocolo de seguridad de protección de los datos almacenados en el equipo y sistema operativo o Robo de disco duro o Equipo: Al realizar el sujeto el indicio de robo de información mediante la descomposición física del Equipo Laboral se toma en cuenta el siguiente procedimiento 1. Bloqueo de sesiones relacionadas a la línea de contacto. 2. Encriptación de los datos almacenados en los sistemas operativos previamente realizado al ser entregado al operador. 3. Realizar reporte de incidencia sobre la incidencia ocurrida al responsable de la línea de contacto 4. Instalación de nuevo equipo de trabajo junto con respaldo almacenado en el servidor de red local. Acceso no Autorizado hacia el enrutamiento de Correos: mayormente los servidores hosting suelen convertirse en los principales recursos para las actividades fraudulentas de robo de información o incluso perdida, al llevarse una incidencia del ingreso de una IP no autorizada al email corporativo se realiza el siguiente procedimiento: 1. Realizar el bloqueo de la IP sospechosa mediante configuración del hosting donde es alojado el servicio de correo electrónico corporativo. 2. Supervisar el reporte de protección de enlace directo hacia el sujeto sospecho que haya intentado ingresar. 3. Eliminar cualquier tipo de correo electrónico o configuración maliciosa que se haya alojado dentro del hosting. 4. Realizar reporte de incidencia al responsable de la línea de contacto y personal responsable del manejo del hosting de la empresa FIX4U C.A 5. El personal responsable del hosting procede a realizar cambios en los protocolos de seguridad SSL, HTTP, TLS y DNS del hosting para evitar ataques futuros con los protocolos maliciosamente archivados por el sujeto no autorizado. 6. Borrar cualquier tipo de malware almacenado dentro de los archivos del hosting. Intento de robo de información del número telefónico: Al ocurrir una incidencia sobre el acceso al número telefónico de carácter sospechoso, se realiza el siguiente procedimiento: 1. Bloqueo y reporte inmediato del número sospechoso entrante al almacén de mensajería (WhatsApp). 2. Cambio de pin de verificación de dos pasos. 3. Elaboración de reporte de incidencia ocurrida al responsable de la línea de contacto. Perdida de Protocolos de Seguridad de la Red Local: este tipo de riesgo es inevitablemente ocurrido por contextos ajenos a la empresa FIX4U C.A, mayormente por causas de riesgo externas las cuales son mencionadas o Cortes de servicio eléctrico por largo plazo de más de 4 horas o Fallos eléctricos durante las actividades laborales (alto voltaje o bajo voltaje) o Finalización de tiempo de vida útil del Router Microtik o Restauración de configuración de fábrica por apagado incorrecto del Router Es importante destacar que cada una de las configuraciones establecidas para el Router Microtik RB3011UiAS-RM. Son una y exclusivamente para el uso de la red local de FIX4U, por lo tanto, el protocolo de mitigación de riesgo presentemente establecido conlleva únicamente en caso de pérdida de la información, por lo tanto, al considerarse un robo físico, se cuenta con una regla de restablecimiento de configuración de fábrica del Router Microtik RB3011UiAS-RM al llegar a ser conectado por otro tipo de componentes ajenos a cualquier articulo originalmente configurado. No obstante, para este tipo de incidencias ocasionadas por las causas externas anteriormente mencionadas, se toma el siguiente procedimiento para el protocolo de seguridad de la información de los datos resguardados mediante el trafico almacenado en la red del Router Microtik RB3011UiAS-RM: 1. Verificación de la conexión correcta de las herramientas necesarias para el correcto funcionamiento de la red pública (ponchado de cable UTP Ethernet, conexión de Routers auxiliares, voltaje activo de POE o fuente de alimentación de energía de antenas referente a los proveedores de internet, conexión correcta de energía eléctrica principal al Router) 2. Realizar conexión de proveedores de internet al Router principal en el orden anteriormente utilizado antes de la incidencia 3. Realizar importación del archivo backup de configuración del Router Microtik RB3011UiAS-RM al sistema RouterOS