índice

1. Compromiso de confidencialidad....................................................................................................3
2. Términos y condiciones de empleo................................................................................................4
3. Capacitación del usuario..................................................................................................................4
4. Formación y capacitación en materia de seguridad de la Información.....................................5

1. Compromiso de confidencialidad.

¿Qué es un contrato de confidencialidad?

También conocido como acuerdo de confidencialidad o de no divulgación (del inglés Non-Disclosure

Agreement o NDA), se trata de un acuerdo entre dos o más partes mediante el cual se determina qué
información confidencial es susceptible de ser compartida y/o empleada para un determinado propósito
entre las partes contratantes, así como los términos de uso de la misma. Tiene consideración de contrato
legal.

Aunque los acuerdos pueden ser de tres tipos: unilateral (solo una de las partes revela información),
bilateral o multilateral, lo cierto es que, por lo general, la mayoría de los acuerdos firmados suelen ser
bilaterales, pues ambas partes tienen obligaciones recíprocas y se protege de esta manera el intercambio
de información en ambos sentidos.

¿A quién va dirigido y con qué finalidad?

Puede haber varios actores implicados en un acuerdo de confidencialidad. Empezando desde dentro
hacia afuera, podríamos firmar acuerdos con los socios de la empresa, colaboradores, inversores,
proveedores y cualquier otra entidad o persona (clientes) que intervenga en el uso de la información
confidencial.

Los NDA son también considerados un instrumento útil en la protección de secretos industriales, cuando
aún no existe patente, pues permite restringir la circulación de la información susceptible de perjudicar
la futura invención.

La principal finalidad del acuerdo de confidencialidad es prohibir a la parte receptora de la información

la revelación a terceros de datos clasificados como confidenciales, limitando además su utilización a la
finalidad pactada en el acuerdo y estableciendo la duración de esas limitaciones a tiempos
suficientemente prudenciales, con el objetivo de evitar filtraciones a la competencia tras la finalización
del acuerdo.

¿Qué debe contener?

Antes de redactar un acuerdo de confidencialidad, se debe tener claro cuál es la información que se
encontrará bajo su especial protección. Para ello, normalmente la empresa ya debería tener realizada
una clasificación de la misma para su trabajo diario.

Los puntos que debe contener un acuerdo de confidencialidad son los siguientes:

 Partes que intervienen en el acuerdo especificadas de forma clara e identificable.

 Servicio o finalidad al que va asociada su aplicación.
 Cuál es la información que se considera protegida o confidencial por el acuerdo y cuál no (listas de
clientes, proveedores, cifras financieras, etc.).
 Mediante qué medios se facilita la información y por cuáles puede ser accesible.
 Duración del acuerdo (por lo general siempre será superior al tiempo previsto de duración del
servicio) y será vinculante hasta el final del plazo marcado a pesar de que el servicio haya concluido.
En caso de no especificarse, el acuerdo podría llegar a ser considerado nulo por un tribunal.
 Medidas de seguridad destinadas a proteger la información mencionada, que serán adoptadas
durante y después del servicio.
 Restricciones que se aplicarán al receptor de la información o proveedor del servicio en cuanto a su
utilización (uso de la información facilitada para fines concretos definidos, permiso de divulgación a
otras personas para la realización del servicio, obligación de garantizar la confidencialidad de la
información divulgada a personas afines al receptor, etc.).
 Cuál es el compromiso o responsabilidad de ambas partes (bilateral) en el acuerdo en caso de
incumplimiento.
 Excepciones de la obligación, cuando la información no se considera confidencial o es obtenida por
ambas partes, fruto del servicio, y podría ser de dominio público.
 Legislación que se aplica al acuerdo.
 Jurisdicción a la que quedan sometidas las partes.

2. Términos y condiciones de empleo.

3. Capacitación del usuario.

Capacitación del Usuario

Es necesario que quienes estén asociados con el sistema o afectados por el mismo deben conocer con
detalle cuáles serán sus papeles, cómo pueden usar el sistema y deben conocer que hará o no hará el
sistema. De acuerdo a lo anterior tanto los operadores como usuarios del sistema necesitan
capacitación.

Capacitación de usuarios

La capacitación de usuarios puede implicar el uso de equipo, particularmente en caso en que el equipo
este en uso y la persona en cuestión sea al mismo tiempo operador y usuario. En estos casos, primero se
debe capacitar a los usuarios sobre cómo operar el equipo. Preguntas que pueden parecer triviales para
el analista, por ejemplo, cómo prender una terminal, cómo introducir un diskette en una
microcomputadora, o cuándo se debe apagar el equipo sin el peligro de perder datos, son problemas
importantes para los nuevos usuarios que no están familiarizados con las computadoras.

La capacitación de los usuarios también incluirá la identificación de los problemas, determinando si el

problema que surge es causado por el equipo o el software o por algo hecho por ellos al usar el sistema.

Las actividades de manejo de datos que reciben la mayor atención en la capacitación de usuarios son la
captura de datos (cómo guardar nuevas transacciones), la edición de datos (cómo modificar datos
gravados previamente), la formulación de consultas (cómo localizar registros específicos u obtener
respuestas a preguntas) y el borrado de registro de datos. Lo que quiere decir que la mayor parte del
tiempo la capacitación se dedicara a esta área.

De vez en cuando, los usuarios deberán preparar discos, meter papel en las impresoras, cambiar cintas
de las impresoras, puesto que ningún programa de capacitación esta completo sin dedicarle tiempo a las
actividades de ma
ntenimiento de sistemas.

4. Formación y capacitación en materia de seguridad de la Información.

¿Qué es la formación en materia de seguridad de la información?

La formación en seguridad de la información suele consistir en un programa de formación que enseña a

los usuarios finales todos los temas básicos de ciberseguridad. Puede adoptar muchas formas y abarcar
una gran variedad de temas, pero lo que une a estos programas es que pretenden ayudar a los usuarios
a conocer la protección de los datos, los dispositivos y las redes, y a aumentar la concienciación general
sobre la seguridad de la información en el lugar de trabajo.

¿Por qué necesito una formación sobre seguridad de la información?

La mayoría de las costosas filtraciones de datos se deben a errores humanos. Los usuarios finales que no
están concienciados sobre la seguridad de la información son propensos a cometer una serie de errores,
como caer en correos electrónicos de phishing y allanar el camino para que el ransomware se apodere
de los dispositivos de la empresa. Implantar la formación en ciberseguridad ayudará a proteger a tu
organización de una amplia gama de ciberamenazas y te ahorrará dinero a largo plazo.

¿Cómo empiezo la formación sobre seguridad de la información?

Aunque las grandes empresas suelen crear sus propios programas de formación, cada vez son más las
que optan por adquirir formación de proveedores especializados. Estos programas de formación suelen
estar creados por expertos y cubren los últimos consejos, y a menudo pueden desplegarse fácilmente en
formatos como la formación en la nube a través de los buzones de correo electrónico de los usuarios
finales.

¿Cuándo debo realizar la formación sobre seguridad de la información?

En el pasado, la mayoría de las empresas celebraban sesiones de formación anuales. Lo que ocurría era
que los usuarios finales simplemente se olvidaban de lo aprendido en la formación poco después de la
conferencia, y no se prevenían realmente las ciberamenazas como resultado. En su lugar, deberías dividir
la formación en módulos pequeños y fáciles de digerir, y enviarlos a tus usuarios con una periodicidad
mensual.