Plan de Análisis y Mitigación de Riesgo de Protección de Datos

De acuerdo con informaciones establecidas para conllevar a la protección de

los datos y la seguridad de la información del cliente, es importante garantizar
la calidad de dicha información suministrada. Por lo tanto. nuestro compromiso
es respetar y aplicar las disposiciones de protección de datos, presentar
información adecuada y alineada a la estrategia de seguridad y protección de
datos de UNICEF, a fin de garantizar un proceso que identifique áreas de
vulnerabilidad y medidas de corrección oportunas. Del mismo modo. la
seguridad de los datos de los usuarios y la información sobre, sus datos
personales y sus retroalimentaciones, estarán protegidas contra pérdida, robo o
uso indebido. Conlleva garantizar para estos tipos de sistemas varias
características, entre ellos la confidencialidad, integridad y disponibilidad del
sistema
En FIX4U C.A. Se garantiza la seguridad de los datos en cualquier tipo de sus
canales manipulados, por lo que se debe sobrellevar a su vez, a las medidas
tomadas en ciberseguridad, seguridad informática y normas regidas para la
protección de los datos, en la cual, se exige especial atención a los llamados
datos especiales, que contemplan información de orientación sexual, creencias
religiosas, información de pago, entre otros. Para FIX4U C.A la protección de
estos datos es una obligación y una prioridad.

Por lo tanto, la seguridad de la información establecida para cada uno de los

empleados, se rigen a través de varios factores, siendo factores internos y
externos, por lo que se toma en cuenta el siguiente plan de análisis para mitigar
la seguridad de la información:
 Dentro del ámbito interno: se ha establecido una clasificación para
resguardar la información de los usuarios con el fin de suministrar una
protección adecuada de acuerdo al consentimiento de cada una de las
retroalimentaciones. La seguridad de la información abarca una función
primordial para todas las empresas con el fin de que los datos
manejados sean de calidad y confidenciales dentro del uso interno de
las herramientas de trabajo del agente, por lo tanto, se ha sub
clasificado el plan de análisis en los siguientes puntos:
o Equipos Manipulados: para esta clasificación se cuenta con una
planificación de la protección de los datos de los agentes de la línea
de contacto UNICEF con los siguientes procedimientos:
 Cada retroalimentación de los usuarios de la línea de contacto
interagencial serán respaldado contantemente dentro de nuestra
red local. Consta de un equipo con Windows Server 2012 R2
actualizado y 1 TB de disco duro para resguardar la información
valiosa. El mismo cuenta con una restricción de clave segura
para su ingreso al sistema operativo, así como encriptación de
 los datos en caso de incidencia de robo o pérdida del equipo
físico.
 Se ha establecido un Sistema Operativo Linux para cada uno de
los agentes telefónicos, siendo un SO ligero y de sencillo manejo,
con el fin de resguardar la seguridad de la información
suministrada en el equipo, gracias a la implementación de un
usuario root configurado por todos los sistemas Linux, generando
restricción de acceso hacia cualquier actividad sospechosa y no
autorizada, así como restricciones hacia el acceso de archivos
maliciosos.
 Se realizaron normativas de uso de contraseñas seguras para
cada uno de los equipos manipulados entre todo el personal de
FIX4U C.A, con el fin de resguardar las actividades
confidenciales por agentes externos no autorizados.
 Se cuenta con rutinas agendadas constantemente para la
actualización de paquetes de uso del sistema operativo Linux,
con el fin de tomar todas las previsiones sobre el resguardo de
datos almacenados dentro del equipo, así como la constante
actualización de los programas utilizados por los agentes de la
línea de contacto, evitando usos fraudulentos de las aplicaciones
con funciones desactualizadas.
 Cifrado de dispositivos: Esta medida consiste en obligar a que
todos los dispositivos portátiles (Memorias USB, Laptops,
Tablets, teléfonos móviles) que se puedan extraviar o puedan ser
objeto de robo estén cifrados con el fin de garantizar el resguardo
de información.
o Establecimiento de la Red Local: es primordial contar con una
administración y configuración de red adecuada y segura para la
navegación y fluidez de calidad para todo el personal de FIX4U C.A,
teniendo como base un Router RB3011UiAS-RM (con licencia de
nivel 5, arquitectura ARM 32 bits) contando con los siguientes
procedimientos para sobrellevar la seguridad de la información:
 Se cuenta con una actualización constante del tráfico de los
datos almacenados en el Router por el cual, está implementado
un filtrado de marco de paquetes que proporciona funciones de
seguridad que se utilizan para administrar el flujo de datos hacía,
desde y a través del Router Microtik RB3011UiAS-RM.
 Con el fin de disminuir la exposición a servicios de internet no
autorizados. Se establecieron filtros de reglas para disminuirlos.
Dichas fueron hechas a través del Mikrotik RB3011UiAS-RM. En
las cuales se restringió el uso de redes sociales, limitación del
ancho de banda en aplicaciones específicas y solo dando
prioridad a las páginas de internet o programas utilizados para
desempeñar la gestión.
  A fin de establecer una fluidez en los equipos del personal de
FIX4U C.A, así como evitar robo de información por consumos
de fraudulentos (spyware) se han establecido limitaciones de
consumo de red para cada uno de los equipos activos que
realicen trafico constante desde, hacia y a través del Router
Microtik RB3011UiAS-RM.
 Se realiza cada semana un backup de la configuración
establecida para el Router Microtik RB3011UiAS-RM en caso de
alguna perdida de los datos registrados con la configuración
establecida inicialmente.
o Correos Electrónicos Corporativos: Para los protocolos de
seguridad y protección de datos manejados en FIX4U C.A, consta de
mayor prioridad velar por el resguardo de la información interactuada
a través de los correos electrónicos corporativos, así como demás
funciones que ofrecen nuestros servicios de hosting de alojamiento
de dominios, subdominios y servicio de rutas email, para ello se
cuenta con los siguientes planes:
 El servidor corporativo de correos cuenta con La protección de
enlace directo, con el fin de precaver cualquier actividad
sospechosa por personal no autorizado ante el acceso de los
archivos manejados dentro del enrutamiento de correos
electrónicos.
 El servidor de correos electrónicos se encuentra con activado con
certificación SSL vigente con el fin de realizar encriptación de la
información única y exclusivamente para el servidor,
considerándose un enlace seguro para todos los usuarios.
 Cada usuario de correo cuenta con contraseñas de confianza
establecidos con un mínimo de 8 caracteres, contando con una
mayúscula, minúscula, un número y un símbolo, siendo
primordial para mitigar el riesgo de robo de información por
ingreso no autorizado bien sea agente interno o externo y/o ajeno
a la empresa.
o Teléfonos móviles: Para el desarrollo de las actividades del
personal FIX4U C.A es considerable tomar prevención del robo o
pérdida de la información manejada a través de dispositivos móviles.
Por lo tanto, se han establecido varias medidas de prevención para la
protección de datos e información manejada dentro de los números
telefónicos de la línea de contacto interagencial UNICEF:
 El rastreo de ip a través del Router empresarial Mikrotik
RB3011UiAS-RM cuenta con una máscara de ip hacia
navegaciones públicas con el fin de que el trafico manejado sea
totalmente encriptado y no sea ágil el acceso hacia terceros para
el rastreo de ubicación del dispositivo.
  Se mantendrá el sistema móvil actualizado (Sistema operativo,
anti virus y demás aplicaciones) para evitar brechas en la
seguridad.
 En referencia a la aplicación constantemente manejada para el
manejo de retroalimentaciones (WhatsApp), el mismo cuenta con
un cifrado de verificación en dos pasos, con el de que sean
denegado el acceso al servicio de mensajería de la línea de
contacto por agentes no autorizados.
 Cada uno de los agentes se les implanta la regla de la restricción
de descarga de aplicaciones que no sean acorde a las
funcionalidades de la línea de contacto interagencial UNICEF,
evitando la instancia de programas que puedan realizar uso
fraudulento de la ubicación del dispositivo, así como contener
fuentes desconocidas situando una desprotección de los datos y
arriesgando la seguridad de la información de los usuarios
reportados dentro del número telefónico.
 La línea de contacto móvil (WhatsApp) contiene un correo de
recuperación en caso de algún robo inesperado y/o no
autorizado, el cual se encuentra referenciado a un dominio de
confianza suministrado por la misma empresa FIX4U C.A
 Dentro del ámbito Externo: En FIX4U C.A, es primordial la protección de
datos ingresada por fuentes externas hacia las instalaciones, bien sea una
encuesta o cualquier medio externo que se maneje en cada uno de los equipos
de trabajo de los agentes telefónicos, tomando en cuenta cada una de las
actividades manejadas por cada personal responsables, por ende, se toman en
cuenta los siguientes puntos:
o Se ha encargado la reglamentación de una gestión de roles y
responsabilidades para cada uno de los responsables de la línea de
contacto UNICEF y demás personal afiliada a la empresa.
o El supervisor encargado de la línea de contacto UNICEF, se encarga de
realizar la auditoria de cada uno de las retroalimentaciones con cada uno
de los agentes que brindan el apoyo hacia los usuarios que realizan el uso
de la vía telefónica a través de una revisión documental.
o Se han encargada un formato de canales de transmisión de información
entre los diferentes puestos del personal FIX4U C.A con el fin de auditar,
mitigar y prevenir la protección de los datos.
o Los operadores reciben capacitación constante sobre nuevas directrices y
la información nueva sobre la gestión que desempeñan.
o Se le ofrece a cada operador una capacitación y se dan todas las
herramientas sobre el contenido de las tareas a realizar y los riesgos que
pueden comportar, control de emociones, manejo de cliente, así como los
medios a utilizar antes y después de desarrollar sus labores.
Continuamente al ser establecido el plan de análisis de protección y seguridad de los
datos, es primordial realizar los siguientes protocolos de seguridad en caso de alguna
incidencia ocurrida respecto a una violación o accesos no autorizados de la
información transmitida hacia los diferentes canales de acceso que presta la empresa
FIX4U C.A. es significativo el uso de varios de estos protocolos que conlleven al
correcto funcionamiento confiable de cada uno de los agentes que realizan las
actividades dentro de la línea de contacto interagencial:
 Acceso no autorizado a los equipos de trabajo: Al ocasionarse un acceso
sospechoso bien sea informático o humano se cuenta con el siguiente
protocolo de seguridad de protección de los datos almacenados en el equipo y
sistema operativo
o Robo de disco duro o Equipo: Al realizar el sujeto el indicio de robo de
información mediante la descomposición física del Equipo Laboral se toma
en cuenta el siguiente procedimiento
1. Bloqueo de sesiones relacionadas a la línea de contacto.
2. Encriptación de los datos almacenados en los sistemas operativos
previamente realizado al ser entregado al operador.
3. Realizar reporte de incidencia sobre la incidencia ocurrida al
responsable de la línea de contacto
4. Instalación de nuevo equipo de trabajo junto con respaldo
almacenado en el servidor de red local.
 Acceso no Autorizado hacia el enrutamiento de Correos: mayormente los
servidores hosting suelen convertirse en los principales recursos para las
actividades fraudulentas de robo de información o incluso perdida, al llevarse
una incidencia del ingreso de una IP no autorizada al email corporativo se
realiza el siguiente procedimiento:
1. Realizar el bloqueo de la IP sospechosa mediante configuración del
hosting donde es alojado el servicio de correo electrónico corporativo.
2. Supervisar el reporte de protección de enlace directo hacia el sujeto
sospecho que haya intentado ingresar.
3. Eliminar cualquier tipo de correo electrónico o configuración maliciosa
que se haya alojado dentro del hosting.
4. Realizar reporte de incidencia al responsable de la línea de contacto y
personal responsable del manejo del hosting de la empresa FIX4U
C.A
5. El personal responsable del hosting procede a realizar cambios en los
protocolos de seguridad SSL, HTTP, TLS y DNS del hosting para
evitar ataques futuros con los protocolos maliciosamente archivados
por el sujeto no autorizado.
6. Borrar cualquier tipo de malware almacenado dentro de los archivos
del hosting.
 Intento de robo de información del número telefónico: Al ocurrir una
incidencia sobre el acceso al número telefónico de carácter sospechoso, se
realiza el siguiente procedimiento:
1. Bloqueo y reporte inmediato del número sospechoso entrante al
almacén de mensajería (WhatsApp).
2. Cambio de pin de verificación de dos pasos.
3. Elaboración de reporte de incidencia ocurrida al responsable de la
línea de contacto.
 Perdida de Protocolos de Seguridad de la Red Local: este tipo de riesgo es
inevitablemente ocurrido por contextos ajenos a la empresa FIX4U C.A,
mayormente por causas de riesgo externas las cuales son mencionadas
o Cortes de servicio eléctrico por largo plazo de más de 4 horas
o Fallos eléctricos durante las actividades laborales (alto voltaje o bajo
voltaje)
o Finalización de tiempo de vida útil del Router Microtik
o Restauración de configuración de fábrica por apagado incorrecto del
Router
Es importante destacar que cada una de las configuraciones establecidas para
el Router Microtik RB3011UiAS-RM. Son una y exclusivamente para el uso de
la red local de FIX4U, por lo tanto, el protocolo de mitigación de riesgo
presentemente establecido conlleva únicamente en caso de pérdida de la
información, por lo tanto, al considerarse un robo físico, se cuenta con una
regla de restablecimiento de configuración de fábrica del Router Microtik
RB3011UiAS-RM al llegar a ser conectado por otro tipo de componentes
ajenos a cualquier articulo originalmente configurado.
No obstante, para este tipo de incidencias ocasionadas por las causas externas
anteriormente mencionadas, se toma el siguiente procedimiento para el
protocolo de seguridad de la información de los datos resguardados mediante
el trafico almacenado en la red del Router Microtik RB3011UiAS-RM:
1. Verificación de la conexión correcta de las herramientas necesarias
para el correcto funcionamiento de la red pública (ponchado de cable
UTP Ethernet, conexión de Routers auxiliares, voltaje activo de POE
o fuente de alimentación de energía de antenas referente a los
proveedores de internet, conexión correcta de energía eléctrica
principal al Router)
2. Realizar conexión de proveedores de internet al Router principal en el
orden anteriormente utilizado antes de la incidencia
3. Realizar importación del archivo backup de configuración del Router
Microtik RB3011UiAS-RM al sistema RouterOS