0DCS001105 Ua4 T12

La seguridad física y
de las personas
Tema 12. Procedimientos de

seguridad personas I
La seguridad física y de las personas
Tema 12. Procedimientos de seguridad personas I
Índice
Objetivos de aprendizaje ............................................................... 3

1. Presentación........................................................................... 3
2. ¿Qué es un procedimiento de seguridad?.......................................... 3
3. Caso: el procedimiento de clasificación de la información en una
organización 1/3 ......................................................................... 4
3.1. Objeto y alcance del procedimiento .................................................. 4
3.2. Definiciones y documentación de referencia ......................................... 4
organización 2/3 ......................................................................... 5
4.1. Clasificación de la información......................................................... 5
organización 3/3 ......................................................................... 7
5.1. Registros e indicadores del manual .................................................... 7
organización 1/4 ......................................................................... 7
6.1. Acuerdo de confidencialidad ........................................................... 7
6.2. Memorándum de confidencialidad ..................................................... 8
organización 2/4 ....................................................................... 11
organización 3/4 ....................................................................... 15
8.1. Acceso a internet y correo electrónico ..............................................15
organización 4/4 ....................................................................... 18
9.1. Comunicación de incidencias ..........................................................19
9.2. Registros e indicadores del manual ...................................................20
9.3. Registros de revisión y de cambios ...................................................20
10. Resumen ............................................................................ 21
Referencias bibliográficas ............................................................ 21
© Copyright Universidad Europea. Todos los derechos reservados.

2
Objetivos de aprendizaje
Los objetivos que se pretenden alcanzar en este recurso son los siguientes:
 Disponer de conocimientos acerca de los principales procedimientos de

seguridad de las personas.
 Adquirir habilidades para el desarrollo del resto de los procedimientos

relacionados con la seguridad de las personas.
1. Presentación
En este tema empezaremos a desarrollar los principales procedimientos de seguridad
para personas apoyándonos en las normativas y estándares conocidos, tales como la
ISO 27000 o COBIT. Las buenas prácticas en seguridad, la clasificación de la
información, el cumplimiento legal o la seguridad física (integrada con el resto de la
seguridad) son procedimientos que aportan mucho valor en las organizaciones y que
tienen una influencia muy grande en la seguridad de la información desde el punto de
vista de los SGIS y de las personas como activos.
La política de seguridad es el marco conceptual debajo del cual emanan el resto de

políticas y procedimientos. Y dentro de los procedimientos veremos que aquellos
relacionados con la seguridad de las personas entrañan una importancia especial,
máxime cuando hay un alto número de dependencias entre unos y otros
procedimientos.
2. ¿Qué es un procedimiento de seguridad?

Un procedimiento de seguridad es un documento que refleja una serie de
consideraciones y aspectos a tener en cuenta o seguir, en un dominio específico de
nuestro plan de seguridad integral. De la política de seguridad emanan un conjunto de
procedimientos que se encargan de establecer pautas de seguridad a cumplir por una
organización. Es también una forma ordenada de tener escrito en unos documentos
aquellos pasos a seguir en caso de una situación descrita, o de ayudar y dar soporte en
el almacenamiento de registros e indicadores, que frente a una auditoría nos cubren a
la hora de demostrar que dicho procedimiento se ejercita.
En el ámbito de seguridad de las personas hay muchos procedimientos

específicos que recogen información de todo el sistema de seguridad
integral, pero que guardan una relación muy cercana a cómo gestionar los
recursos humanos en una organización.

3
Normalmente un procedimiento de seguridad sigue una pauta formal, debiendo
contener al menos dichos documentos, los siguientes:
 Un objeto y alcance del documento.
 Un epígrafe que incluya toda la documentación de referencia existente y que

puede ser de otros procedimientos de seguridad o de políticas de la organización
o de referencias externas, normalmente legislación que afecta a la compañía o
normativas de buenas prácticas, estándares, etc.
 Uno o varios epígrafes que describan cómo funciona el procedimiento, a qué

activos afecta, otros protocolos o procedimientos relacionados, etc.
 Un apartado que recoja los registros e indicadores del procedimiento a aplicar.
 Un apartado a modo de bitácora que vaya recogiendo los cambios que se

producen en el documento del procedimiento, si se aprueban, se rechazan, etc.
3. Caso: el procedimiento de clasificación de la información en

una organización 1/3
Abordemos ahora lo que debería incluir el primero de los procedimientos que vamos
a analizar de cara a disponer de información para configurar el resto de procedimientos
de seguridad de las personas.
Nuestro documento del procedimiento de clasificación de la información constaría de:
3.1. Objeto y alcance del procedimiento
El alcance del presente procedimiento es la definición de un protocolo de etiquetado

y clasificación respecto a los activos de información. El procedimiento define los
niveles de clasificación de la información y las medidas necesarias de protección para
cada categoría definida.
3.2. Definiciones y documentación de referencia
 Definiciones
o SGI Sistema de Gestión Interna, definido por las normas ISO 27001:2013 y la
ISO 9001:2000.
o Área funcional: término que engloba a los departamentos internos y a los

programas/proyectos de la empresa.
o Need-to-know: necesidad de conocimiento. Requisito legítimo de una

persona u organización de saber, acceder o poseer cierta información para
poder cumplir un cometido.

4
 Documentación de referencia
o Procedimiento de gestión y control documental: describe la gestión

documental, codificación y control de versiones sobre todos los documentos
que forman parte del sistema de gestión.
o Política de seguridad.
o Política de confidencialidad.

4.1. Clasificación de la información
 Introducción
El proceso de clasificación de información cataloga los datos que pueden existir en la

organización de forma que, en todo momento, reciban las medidas de protección de
información adecuadas. La organización considera que toda la información que conoce
tiene un valor, y que debe ser clasificada y tratada de forma acorde a dicho valor.
 Niveles de clasificación
Los niveles de clasificación de la información definidos son:
o Confidencial: son datos confidenciales aquellos que son de alto interés para
la empresa. Únicamente deben ser conocidos por un número limitado de
personas, sin ser permitida su difusión sin autorización previa. La
información que se presenta en esta categoría es toda aquella relacionada
con el ámbito gerencial de la compañía y relacionada con las decisiones
estratégicas de la empresa:
– Reporte al Consejo de Administración.
– Planes estratégicos.
– Actas de los consejos de dirección.
– Documentación de RR. HH.
o Interno de acceso restringido: son datos internos de acceso restringido los

utilizados por un número limitado de personas en el ámbito de la ejecución
de sus tareas y que, no siendo datos de origen estratégico, pertenezcan al
ámbito de trabajo de la empresa. La información que se presenta en esta
categoría se encuentra relacionada con el desarrollo del trabajo de la
empresa. Entre otras informaciones se encuentran dentro de esta categoría:
– Información de proyectos.
– Determinados documentos del sistema de gestión interna.

5
o Interno de libre acceso: información disponible para todo el personal de
estructura y/o asociado a proyectos. En los casos requeridos esta
información será publicada a través del gestor corporativo. Entre otras
informaciones se encuentran dentro de esta categoría:
– Determinados documentos del sistema de gestión interna.
– Información corporativa tal como organigrama, plan de formación, etc.
o Difusión pública: información disponible y no limitada para cualquier

audiencia, bien sea interna o externa.
 Tratamiento de la información clasificada
Se procurará que todos los datos clasificados como “documentación confidencial” en

formato electrónico sean almacenados en dispositivos que tengan implementado
medidas de control de acceso garantizando un estricto acceso a los mismos. Así mismo
la documentación catalogada como “documentación confidencial” debe ser etiquetada
a través de una marca de agua.
Se procurará que todos los datos clasificados como “documentación interna de acceso
restringido” sean almacenados en dispositivos con medidas de control de acceso,
garantizando un estricto acceso a los mismos. En la medida de lo posible se habilitará
los controles de acceso para la acreditación de credenciales corporativas y se
mantendrán las listas de accesos lógicos a los diferentes sistemas en función de las
necesidades corporativas de conocimiento.
 Difusión de la información clasificada
El valor de la información de la empresa está también relacionado con la posibilidad o

conveniencia para la compañía de difundirla a los interlocutores oportunos en los
momentos adecuados. La política general estará basada en el principio need-to-know
(NTK). Solo podrán circular libremente fuera de la empresa los datos clasificados como
“difusión pública”.
La salida de la compañía de un documento de cualquier otra clasificación no está

autorizada, con las excepciones de aquellos empleados que tienen la autorización de
utilizar dispositivos móviles fuera de las oficinas y que han adoptado las medidas
oportunas en los equipos destinados para ello.
La información que deba salir del control de la compañía, será enviada

preferiblemente en formatos no modificables.
 Desclasificación de la información clasificada
Toda la información clasificada como “documentación confidencial” y “documentación

interna de acceso restringido” permanecerá en dicha clasificación durante el período
de cinco años.

6

5.1. Registros e indicadores del manual
 Tabla de registros
No aplican para el presente documento/procedimiento.
 Tabla de indicadores
No aplican para el presente documento/procedimiento.
5.2. Registros de revisión y de cambios
Tabla 1. Registros de revisión y de cambios.
Implica nueva
Revisión Fecha Autor Implica cambios Estado
versión
1.ª xx-xx-xx RGI Sí No Revisado
Revisión Apartados afectados Cambios y observaciones
1.ª 3 Niveles de clasificación

Abordemos ahora lo que debería incluir el segundo de los procedimientos que vamos a
analizar de cara a disponer de información para configurar el resto de procedimientos
de seguridad de las personas.
Nuestro documento del procedimiento de buenas prácticas de seguridad constaría de

los siguientes apartados y contenidos:
6.1. Acuerdo de confidencialidad
La información es uno de los principales activos de cualquier organización. Los

empleados de cualquier entidad tienen la obligación de guardar secreto sobre aquellos
documentos que contengan información relevante sobre aspectos internos.
Por tanto, se hace imprescindible que la empresa tenga una garantía y compromiso de
que la información corporativa no va a ser divulgada en ningún caso fuera del ámbito
habitual de trabajo. Lo establecido en este documento es de aplicación para todo el
personal interno, incluidos becarios o alumnos en prácticas, con las salvedades entre
ambos especificadas en los apartados correspondientes.

7
Así mismo, se hace necesario que los representantes legales o jefes de proyecto de las
entidades que prestan servicios o desarrollan proyectos para la entidad, y que
requieran de acceso a los sistemas de información corporativos, asuman en
representación de sus respectivas entidades el protocolo de firma que se incluye a
modo de anexo en este documento.
6.2. Memorándum de confidencialidad
 Qué es el deber de confidencialidad
Es el compromiso de no difundir información a la que se ha tenido acceso a través del

desempeño de funciones en la empresa, ya sean derivadas de la actividad profesional,
o propias del desarrollo de las actividades formativas impulsadas por la empresa a
través de becas o prácticas.
 A qué tipo de información se refiere este deber
Está sujeto cualquier documento corporativo, en cualquier formato y soporte, que

contenga información sobre la empresa. También es de aplicación sobre aquella
información que la empresa pueda mantener sobre entidades colaboradoras y terceros
a nivel general.
 A quiénes no se puede difundir esa información
o A terceros ajenos a la empresa.
o Dentro de la empresa, a cualquiera que no deba conocerla, por no exigir tal

conocimiento sus funciones profesionales
 Qué información queda fuera del deber de confidencialidad
o La que la propia empresa y los terceros correspondientes difundan por sí

mismos, o hagan pública, y desde el momento en que lo hagan.
o La que sea evidente o irrelevante, como pudiera ser la localización o el

nombre de la empresa, sus instalaciones abiertas al público, sus actividades
y similares.
o La que haya sido autorizada expresamente y por escrito por la empresa para
su difusión.
o La genérica, aquella que no contenga ni aluda a nombres concretos, saldos,

posiciones, operaciones, iniciativas, proyectos o situaciones específicas.
o La que hubiera de difundirse por imperativo legal o en beneficio de la

empresa, para evitarle cualquier daño o perjuicio, sin necesidad de recabar
su autorización previa.
o La puramente anecdótica, que ni guarde relación con la actividad, ni pueda

afectar al honor, a la intimidad ni a la imagen de la empresa o de terceros.

8
 Qué información no podrá difundirse en ningún caso
o Aquella cuya difusión pueda causar cualquier tipo de perjuicio a la empresa.
o La que pueda dañar derechos fundamentales de terceros, y en particular los

relativos a su intimidad, su honor o su imagen.
 Qué debe entenderse por difusión
o Cualquier forma de transmisión de información, sea verbal o escrita, pero

mucho más si es a través de medios de comunicación o a empresas
concurrentes con la empresa.
 Se debe actuar como si no se conociese la información
o No, se exige no difundirla, pero no se impide naturalmente ni su

conocimiento ni la actuación que por ese conocimiento pueda desarrollarse,
pero siempre sin difundir lo conocido.
 Cuánto tiempo ha de respetarse el deber de confidencialidad
o Este es un deber de duración

indefinida, exigible tanto durante la
vigencia de la relación
laboral/acción formativa/contrato,
como después de finalizada la
misma, y sin límite de tiempo.
o Por la propia naturaleza de la

obligación, la ruptura del deber una
vez finalizado el contrato de
trabajo, la acción formativa o el
proyecto adjudicado, supondría la
falta absoluta de garantías respecto
a la intimidad y los derechos de la
empresa y terceros.
o Resultaría inútil exigirlo antes, si al día siguiente de finalizar la relación con

la empresa o transcurrido cualquier plazo de tiempo, pudiera romperse
impunemente.
o Los derechos que se protegen con este deber son también imprescriptibles y
de duración ilimitada.
 Supone un deber de no competencia
o En absoluto, el deber de no competencia es una obligación distinta que

implica la prohibición de desarrollar una actividad profesional en empresas
de la competencia.
o El deber de confidencialidad, que se refiere solo a la transmisión de

información, no limita por tanto en absoluto la futura actividad profesional.

9
 Qué fundamento tiene este deber
o Tiene diversos fundamentos, materiales y jurídicos:
– La confianza depositada en la empresa por las entidades externas de que

los datos de su intimidad económica, personal, familiar o social no van a
ser revelados.
– Las pautas de discreción habituales en el sector, y cuya ruptura podría

acarrear serias dificultades a la empresa dentro del mismo.
– La consagración por la Constitución española, y como derechos

fundamentales, del derecho al honor, a la intimidad y a la propia imagen.
– La posibilidad de reclamaciones económicas.
– El art. 279 del Código Penal tipifica como delito la revelación de un

secreto de empresa por quien tenga la obligación legal o contractual de
guardar reserva.
– Además, en el caso del personal laboral, el Estatuto de los Trabajadores

establece el deber de buena fe consustancial al contrato de trabajo, y el
poder de dirección de la empresa le faculta para exigir a sus empleados
que observen los deberes que la propia empresa asume frente a terceros.
– Cabe indicar también, que la jurisprudencia de los tribunales laborales

exige el cumplimiento de este deber, entendiendo que su trasgresión
constituye causa justa de despido, y que el art. 199 del Código Penal
considera delito la revelación de secretos ajenos de los que se tenga
conocimiento por razón de una relación laboral.
– Documento interno de libre acceso 7 Normativa de Buenas Prácticas.
 Se asume el deber por el hecho de suscribir este documento
o No en el caso del personal laboral, se trata de un deber que se asume desde

el primer día en que se inicia la relación laboral.
o La firma de este documento solamente lo ratifica, y da mayor seguridad a la

empresa, que además puede exigir su firma a un empleado en cualquier
momento de la relación laboral establecida.
o Sin embargo, en el caso concreto de los becarios y alumnos en prácticas, la

firma de este memorándum tiene pleno carácter vinculante.
 Qué podría suponer la negativa a firmar el memorándum
o En el caso del personal laboral, un grave obstáculo para que la empresa

pueda mantener su confianza en la persona en concreto, ya que no se tiene
la seguridad de que mantenga la debida discreción respecto a los datos. Por
lo tanto, será considerado como actitud incorrecta por parte del trabajador
a todos los efectos.

10
o En el caso de becarios y alumnos en prácticas, podría derivar en que se
suspendiera la acción formativa correspondiente, al no establecerse la
necesaria garantía respecto al deber de secreto y buen uso de la información
corporativa por parte de estos.

7.1. Acceso al sistema informático
Muchos de nuestros activos, mobiliario, ordenadores, etc., y en particular la

información y sus sistemas de almacenamiento y tratamiento, son realmente críticos
para nuestra actividad diaria. Estos sistemas, sin los cuales no podríamos desempeñar
nuestras funciones, están sujetos a amenazas como virus, login incorrecto, intrusión
de externos. La divulgación no autorizada de información confidencial, o el no
establecimiento de una política correcta en cuanto al control de acceso se refiere,
puede acarrear daños importantes para la empresa.
La empresa debe mantener un ambiente protegido de trabajo que

garantice su eficiente funcionamiento. Cada uno de nosotros tiene un papel
importante para hacer esto posible, por lo que todo el personal debe
poner de su parte y mantener una actitud positiva, que encamine a la
entidad a lograr sus fines en materia de seguridad de la información.
Todo esto hace imprescindible marcar una normativa sobre el correcto uso de los
equipos y sistemas de información que la empresa pone a disposición de los
trabajadores, tanto internos como externos, para que puedan realizar eficazmente su
trabajo diario. Esta normativa es de obligado cumplimiento para todo el personal
durante la totalidad de su vida laboral en la empresa, desde que se produce su registro
inicial como nuevo usuario, hasta su baja como trabajador en caso de que se produzca.
Para garantizar el cumplimiento de lo establecido en este documento, la empresa
realizará auditorías internas periódicas. Estas auditorías, aparte de necesarias,
forman parte de las comprobaciones a las que obliga la ley a las entidades para
garantizar la confidencialidad y protección de la información bajo su responsabilidad,
reservándose la empresa el derecho de tomar las medidas disciplinarias
correspondientes en caso de detectar incumplimiento por parte de los trabajadores.
 Identificación y autenticación
Cada usuario del sistema informático tiene asignado un identificador diferente. Este
identificador será asignado en el momento en que se incorpore el nuevo trabajador, y
salvo causa de fuerza mayor y previo registro como incidencia, no sufrirá ninguna
modificación posterior. La nomenclatura del identificador es la siguiente: nombre del
usuario. primer apellido del usuario.

11
Esta forma de trabajar, utilizando un identificador único para cada usuario, implica
que se pueda vincular a estos, y responsabilizarles de sus acciones. No se permite el
acceso a los sistemas de información con un identificador de usuario que no sea el
propio, ni comunicar y/o ceder el mismo a cualquier persona tanto de la organización
como ajena a la misma. Las consecuencias que se deriven del incumplimiento de esta
norma, serán de exclusiva responsabilidad del propietario de dicho identificador.
Así mismo, queda terminantemente prohibido acceder a los sistemas de información

desde cualquier terminal distinto al utilizado por el usuario en su trabajo cotidiano,
salvo autorización expresa del responsable de gestión interna.
Cada usuario dispone de una contraseña única y confidencial. Esta contraseña será
introducida por el usuario cuando inicie sesión por primera vez con su identificador de
usuario. La combinación de ambos le validará para el correcto acceso al sistema en lo
sucesivo. El propio sistema indica cuándo se debe proceder a modificar esta
contraseña, aunque dicho cambio puede hacerse por el usuario previamente a recibir
este aviso. El propio usuario debe velar por mantener la confidencialidad de su
contraseña; en caso de sospecha o certeza de que su contraseña puede ser conocida
por otros, deberá cambiarla inmediatamente, y registrar la incidencia a través de la
herramienta de incidencias.
En caso de olvido o imposibilidad de acceso al sistema por caducidad de la

contraseña, el usuario podrá solicitar un restablecimiento de la misma mediante el
registro de una incidencia a través de la herramienta. El Departamento de Sistemas
procederá a restablecer la contraseña, que deberá ser introducida por el usuario en el
siguiente inicio de sesión.
 Control de acceso
Este apartado hace referencia a las medidas y recomendaciones que deben tener en
cuenta los usuarios del sistema para intentar garantizar la confidencialidad de la
información a la que tienen acceso.
o Servidores corporativos
A cada usuario autorizado del sistema le son asignados unos permisos de acceso a la
información almacenada en los servidores corporativos; estos accesos serán definidos
por los responsables de proyecto, conjuntamente con el responsable de gestión interna
y el departamento de sistemas, que es el encargado de aportar la visión técnica de la
implementación del esquema de permisos común a todos los departamentos.
Estos permisos le serán comunicados al usuario en el momento de su incorporación, y

posteriormente en caso de sufrir alguna modificación.
Queda expresamente prohibido trabajar con archivos corporativos altamente

confidenciales fuera del servidor de ficheros, así como eliminar o copiar información
de dicho servidor, ya sea al disco duro local de los ordenadores corporativos o a un
dispositivo de almacenamiento externo, incluyendo USBs, DVDs o cualquier otro
soporte, salvo autorización previa del responsable de gestión interna.

12
En caso de que por algún motivo se considere necesario realizar alguna de estas
acciones se debe informar previamente al responsable de departamento/proyecto
correspondiente, que a su vez solicitará la autorización del responsable de gestión
interna. Estas solicitudes se realizarán a través del apartado de peticiones de la
herramienta de gestión de peticiones.
Esta política se establece, entre otras cosas, por el propio beneficio de los
trabajadores, ya que el departamento de sistemas de la entidad realiza
copias de seguridad diarias de la información almacenada en los servidores,
susceptible de recuperación en cualquier momento, lo que no sucede en el
caso de la información almacenada en el disco duro.
 Puesto de trabajo
Tan importante o más que el tipo de contraseña seleccionada, es el cuidado que se

tenga respecto a la confidencialidad de la misma, y de la información a la que cada
usuario tiene acceso. A este respecto se marcan las siguientes directrices de obligado
cumplimiento:
o No introducir nunca la contraseña en presencia de otras personas.
o No escribir la contraseña en pósit, folios, cuadernos, calendarios de mesa,

cajoneras… ni en ningún sitio visible del puesto de trabajo.
o Limpiar siempre las pizarras después de presentaciones, cuidando de que no

quede ningún tipo de información confidencial escrita en las mismas.
o Cada vez que un usuario se ausente, deberá obligatoriamente bloquear su

terminal.
o Si el usuario tiene información almacenada en soportes de cualquier tipo

(DVDs, USBs…) no debe dejarlos en su puesto de trabajo si se ausenta del
mismo.
 Contraseñas
Como vimos en el apartado anterior, cada usuario es responsable de la confidencialidad

de su contraseña de acceso, por lo que se prohíbe su comunicación o cesión a cualquier
otra persona, incluidos compañeros y superiores. Además, se recomienda seguir las
siguientes indicaciones a la hora de modificar una contraseña:
o La longitud mínima utilizada debe ser de ocho caracteres.
o No escoger una igual a las diez últimas utilizadas.
o La prohibición afecta a documentos internos de acceso restringido, tales

como nóminas, contratos, datos de salud de los trabajadores, etc.

13
o No seleccionar valores fácilmente asociables al usuario, como nombres de
personas, matrículas, teléfonos, fechas…, ni utilizar secuencias lógicas
deducibles en los cambios de contraseñas, permutaciones sencillas,
secuencias de teclado, etc.
o La contraseña deberá tener una longitud mínima de ocho caracteres.
o La contraseña no deberá contener ni en parte ni en su totalidad el nombre

de usuario.
o Deberá contener al menos tres caracteres de entre los cuatro grupos

siguientes:
– Caracteres alfanuméricos mayúsculas.
– Caracteres alfanuméricos minúsculas.
– Caracteres numéricos.
– Caracteres especiales.
o El cambio de contraseña se realizará de forma obligatoria al menos cada 40

días.
 Imagen corporativa
o Como todos sabemos, la empresa recibe numerosas visitas, tanto

institucionales como de empresas privadas, por lo que el cuidado de la
imagen corporativa supone un objetivo prioritario para la empresa.
o Dicha imagen es la manera mediante la cual la empresa y cada uno de sus

trabajadores trasmiten la necesaria seriedad, que garantiza el respeto y la
promoción de la identidad de nuestra institución.
o Para lograr trasmitir estos valores, y en la pequeña parte que a esta

normativa implica, se tomarán las siguientes medidas:
– El fondo de pantalla oficial en todos los terminales de la empresa es el

logotipo de la empresa, con fondo color corporativo.
– El salvapantallas utilizado por los terminales corporativos al ser

bloqueados será el siguiente: “xxxxxxxxxx”.
– El puesto de trabajo debe quedar totalmente recogido al finalizar la

jornada.
Toda documentación confidencial debe ser guardada en el armario o

cajonera con llave.

14

8.1. Acceso a internet y correo electrónico
Es obligado dar ejemplo en el buen uso de los medios tecnológicos, y que tanto los
trabajadores de la empresa, como aquellos pertenecientes a empresas externas que
realicen algún proyecto o servicio en las instalaciones de la empresa (en adelante
usuarios del sistema) promuevan y acaten el código ético que se describe a
continuación:
o Todos los usuarios del

sistema que dispongan de
PC con conexión a Internet
deben usar solamente el
software legal y
autorizado por la empresa.
o La empresa dispone, para

protección de los sistemas
informáticos, de un
cortafuegos (firewall)
entre la red interna e
Internet. Ningún usuario,
puede ‘saltarse’ este elemento de seguridad, usando módems o cualquier
otro mecanismo que evite pasar por el cortafuegos.
o Algunos sitios de Internet han sido bloqueados por los administradores del
sistema. Si realmente se necesita acceder a una página web determinada
por razones de trabajo, el usuario del sistema debe enviar un correo
electrónico al responsable de gestión interna, con copia a su responsable de
área correspondiente, solicitando dicho acceso y esgrimiendo las razones
pertinentes.
o Todos los accesos a Internet están monitorizados mediante el software

XXXXX.
o Todos los usuarios del sistema que dispongan de PC con acceso a Internet a
través de la red corporativa deben usar únicamente el software legal y
autorizado por la empresa, y navegar respetando siempre el firewall
instalado.
 Uso responsable de Internet
Es norma de la empresa confiar en los usuarios de su red corporativa; inherente a esta

confianza va ligada la expectativa de que cada usuario actuará de forma responsable,
aunque a modo de ayuda, ofrecemos una serie de directrices para un uso responsable
de la conexión a Internet.

15
 Formato de firma en correo
Tabla 2. Formato de firma en correo.
Personal interno Personal externo Buzones de correo
Fuente: Arial Fuente: Arial Fuente: Arial
Tamaño: 9 Tamaño: 9 Tamaño: 9
Nombre y apellidos/puesto funcional. Nombre y apellidos de persona

Nombre y apellidos
[Opcional] de contacto. [Opcional]
Área funcional (por ejemplo,

Departamento/proyecto/dirección Departamento/proyecto/dirección
sistema de gestión interna).
LA EMPRESA LA EMPRESA LA EMPRESA
Tel. +34 XXX XXX XXX [Ext.

Tel. +34 XXX XXX XXX [Ext. opcional] Tel. +34 XXX XXX XXX
opcional]
www.laempresa.xx www.laempresa.xx www.laempresa.xx
Este mensaje, incluyendo sus Este mensaje, incluyendo sus

Este mensaje, incluyendo sus anexos,
anexos, puede contener anexos, puede contener
puede contener información
información clasificada como información clasificada como
clasificada como confidencial dentro
confidencial dentro del marco del confidencial dentro del marco
del marco del sistema de gestión de
sistema de gestión de la seguridad del sistema de gestión de la
la seguridad corporativo. Si usted no
corporativo. Si usted no es el seguridad corporativo. Si usted
es el destinatario, le rogamos lo
destinatario, le rogamos lo no es el destinatario, le rogamos
comunique al remitente y proceda a
comunique al remitente y proceda lo comunique al remitente y
borrarlo, sin reenviarlo ni
a borrarlo, sin reenviarlo ni proceda a borrarlo, sin
conservarlo, ya que su uso no
conservarlo, ya que su uso no reenviarlo ni conservarlo, ya que
autorizado está prohibido
autorizado está prohibido su uso no autorizado está
legalmente.
legalmente. prohibido legalmente.
This message including any This message including any

This message including any
attachments may contain attachments may contain
attachments may contain
confidential information, within confidential information, within
confidential information, within the
the framework of the corporate the framework of the corporate
framework of the corporate Security
Security Management System. If Security Management System. If
Management System. If you are not
you are not the intended you are not the intended
the intended recipient, please notify
recipient, please notify the recipient, please notify the
the sender and delete this message
sender and delete this message sender and delete this message
without forwarding or retaining a
without forwarding or retaining a without forwarding or retaining
copy, since any unauthorized use is
copy, since any unauthorized use a copy, since any unauthorized
strictly prohibited by law.
is strictly prohibited by law. use is strictly prohibited by law.
Nota: en los correos de respuesta Nota: en los correos de respuesta Nota: en los correos de
solo se debe poner la parte de texto solo se debe poner la parte de respuesta solo se debe poner la
grisácea. texto grisácea. parte de texto grisácea.

16
Directrices
 Los navegadores están configurados para usar nuestro Proxy, y ningún usuario
del sistema está autorizado a modificar los parámetros.
 Queda totalmente prohibido navegar o visitar páginas que contengan material

ofensivo.
 Está prohibido transmitir o recibir material de tipo obsceno, pornográfico, racial

o acoso sexual. A todos los usuarios del sistema que utilizan Internet se les hace
saber que los navegadores dejan huellas de las visitas a las páginas web.
 Todos los ficheros descargados de Internet deben ser escaneados por el antivirus
y en caso de duda se debe informar inmediatamente al Departamento de
Sistemas.
 Queda prohibido el uso de programas como ‘Messenger’, descargar o escuchar

en línea música o emisoras de radio, así como ver vídeos o TV en línea, ya que
consumen gran ancho de banda del circuito de datos e interfieren en la
operativa de la empresa.
 Todo el software de acceso a Internet debe ser aprobado por el RGI y el

Departamento de Sistemas, el cual es el único responsable de las actualizaciones
del software.
 Cuando se tenga que introducir datos en un formulario de una página en

Internet, asegúrese que sea una página segura o que tenga algún mecanismo de
encriptación antes de enviar los datos a través del navegador. Para ello
compruebe que la página dispone de un ‘Certificado de Autenticidad’ emitido
por una entidad autorizada.
 Todos los accesos a las páginas de Internet deben ser por motivos relacionados
con el trabajo.
 Todos los datos almacenados en la red de la empresa son propiedad de la

empresa, que se reserva el derecho de inspeccionarlos y restringirlos o evitar su
transferencia a redes externas.
 Los usuarios del sistema no podrán incluir a la empresa en ninguna red externa
sin autorización previa.
 La utilización del correo electrónico corporativo ‘@laempresa.xx’ deberá

ceñirse en exclusividad a fines profesionales, no estando permitido en ningún
caso usos distintos de estos.
 No se debe enviar ninguna información de tipo confidencial a través de Internet,

a menos que el receptor esté expresamente autorizado por la empresa para
recibir el material, y dicho material esté protegido de una exposición no
autorizada mientras se encuentra en tránsito.

17
 Todas las materias de carácter no confidencial que se envíen por Internet deben
ser de naturaleza profesional y cumplir con la normativa de la empresa respecto
a publicación de materiales (Departamento de Relaciones Externas).
 Todas las materias de carácter no confidencial que se envíen por Internet deben
cumplir con las leyes de derechos de autor en el momento de la transferencia
(es decir, con la jurisdicción de derechos de autor tanto de la red interna como
externa).
 Los usuarios del sistema deben intentar cumplir una ética profesional ante un
determinado servicio en un foro externo, actuando de forma que no pongan en
entredicho la reputación de la empresa.
 Los usuarios del sistema que importen información de una fuente externa deben
estar autorizados por el propietario de dicha información para recibirla o
copiarla.
 Los usuarios del sistema que importen información de una fuente externa deben
comprobar el material importado (en un contexto aislado), por si tuviera virus
ocultos, y deben tener la precaución de no activar los virus importados de forma
que los sistemas de las redes internas queden expuestos a ellos.
 Los usuarios del sistema deben proteger todas las medidas de seguridad y
contraseñas utilizadas para acceder a la red interna.
 Nota: el uso responsable de la conexión a Internet no está solo limitado a las

reglas anteriormente descritas debido a que resultaría casi imposible describir
todos los supuestos.
 Es responsabilidad de cada individuo evaluar y actuar de manera que se

mantenga el nombre y la reputación de la empresa.
 En caso de preguntas, consultas o problemas, el usuario debe dirigirse al

Departamento de Sistemas o al responsable de gestión interna.

18

9.1. Comunicación de incidencias
 Detección de actividades sospechosas
Todo el personal, durante de la ejecución de sus funciones en la empresa, debe estar

atento a sucesos inesperados, poco comunes, contrarios a las directrices especificadas
por la organización en sus procedimientos de trabajo y/o contrarios a la cultura de
empresa.
A continuación, se indican algunos ejemplos de posibles incidencias de seguridad:
o Extravío o robo de equipamiento con información corporativa.
o Evidencia o sospecha de alteración de permisos de acceso de usuarios.
o Comportamientos anómalos en los sistemas de información.
o Configuraciones desconocidas en los sistemas de información.
o Evidencia o sospecha de acceso o modificación no autorizada de información.
o Hallazgo de información en ubicaciones no designadas para ello.
 Comunicación de actividades sospechosas
La persona que detecte una posible incidencia deberá comunicarla a través del
apartado de peticiones del gestor de tareas corporativo, o mediante un correo a la
dirección sgi@laempresa.xx indicando en el asunto del mensaje ‘Incidencia de
Seguridad’ y añadiendo la siguiente información:
o Fecha, hora y lugar de la detección de la posible incidencia.
o Descripción de la misma.
o Tipo de activo involucrado en la incidencia: documentos, activos hardware…
o Otra información adicional que se desee aportar.
En caso de que la persona que detecta esta incidencia considere que se trata de algo
muy urgente, deberá contactar de manera inmediata, por teléfono o en persona, con
el responsable de gestión interna (RGI). Dada la naturaleza de algunas incidencias, es
posible que sean consideradas inicialmente como incidencias de seguridad y, sin
embargo, se trate de cuestiones propias del servicio interno de sistemas. En esos casos,
el RGI reportará los datos de la incidencia al Departamento de Sistemas que se pondrá
en contacto con el usuario una vez solucionado el problema. Esta situación también se
puede producir en sentido contrario, en cuyo caso el Departamento de Sistemas
reportará la incidencia al RGI.

19
9.2. Registros e indicadores del manual
Tabla 3. Tabla de registros.
Identificador Nombre Freq. Archivo Genera Custodia

Normativa
firmada por los Gestor de Responsables
Responsable
trabajadores expedientes de de RR. HH. y
N/A de gestión
legales de las contratación asesoría
interna.
empresas (jurídico). jurídica.
adjudicatarias.
Tabla 4. Tabla de indicadores.
Identificador Rango Revisión Métrica Objetivo Descripción

Acuerdos de Comprobación, junto con el
confidencialidad representante del
firmados con los departamento jurídico del
representantes Menos comité de gestión, del
% Anual
legales de las del 20 % número de contratos
empresas firmados desde la última
adjudicatarias auditoría, donde NO se
de proyectos. añade esta cláusula.
Selección de diez recursos al

Porcentaje de azar y comprobación de su
empleados que gestor de expedientes a
firman la Más del través del gestor de tareas.
% Anual
normativa de 90 € Se contabiliza el porcentaje
buenas que tiene firmado y
prácticas. escaneado el
correspondiente documento.
9.3. Registros de revisión y de cambios
Tabla 5. Tabla de revisión y de cambios.
Implica Implica nueva

Revisión Fecha Autor Estado
cambios revisión
1.ª xx-xx-xx RGI SÍ NO Revisado
Revisión Apartados afectados Cambios y observaciones
1.ª 4 a) Uso responsable de Internet

20
10. Resumen
En este tema se ha abordado los primeros procedimientos de seguridad de las personas,
en los que deberemos incluir aquellos procedimientos, protocolos, pasos a seguir, en
definitiva, de implementación de medidas de seguridad, de gestión de dichas medidas,
recogida de la eficacia de los indicadores en sus correspondientes registros, etc., de
cara a que en una auditoría, una organización que se ha marcado esos procedimientos
y los sigue disponga de evidencias de su uso, y el auditorio pueda comprobar también
su eficiencia.
Referencias bibliográficas
COBIT4.1. ISACA. (2007). IT Governance institute. Recuperado de
https://biblioteca.info.unlp.edu.ar/uploads/docs/cobit.pdf
COBIT5. ISACA. (2016 y 2019). IT Governance institute. Recuperado de

https://www.isaca.org/resources/cobit
ISO. ISO 27001:2013. (2013). Sistemas de gestión de la seguridad de la información.

Recuperado de https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/

21
© Todos los derechos de propiedad intelectual de esta

obra pertenecen en exclusiva a la Universidad Europea
de Madrid, S.L.U. Queda terminantemente prohibida la
reproducción, puesta a disposición del público y en
general cualquier otra forma de explotación de toda o
parte de la misma.
La utilización no autorizada de esta obra, así como los

perjuicios ocasionados en los derechos de propiedad
intelectual e industrial de la Universidad Europea de
Madrid, S.L.U., darán lugar al ejercicio de las acciones
que legalmente le correspondan y, en su caso, a las
responsabilidades que de dicho ejercicio se deriven.

22

0DCS001105 Ua4 T12

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

0DCS001105 Ua4 T12

Cargado por

Copyright:

Formatos disponibles

La seguridad física y

Tema 12. Procedimientos de

Objetivos de aprendizaje ............................................................... 3

© Copyright Universidad Europea. Todos los derechos reservados.

 Disponer de conocimientos acerca de los principales procedimientos de

 Adquirir habilidades para el desarrollo del resto de los procedimientos

La política de seguridad es el marco conceptual debajo del cual emanan el resto de

2. ¿Qué es un procedimiento de seguridad?

En el ámbito de seguridad de las personas hay muchos procedimientos

© Copyright Universidad Europea. Todos los derechos reservados.

 Un objeto y alcance del documento.

 Un epígrafe que incluya toda la documentación de referencia existente y que

 Uno o varios epígrafes que describan cómo funciona el procedimiento, a qué

 Un apartado que recoja los registros e indicadores del procedimiento a aplicar.

 Un apartado a modo de bitácora que vaya recogiendo los cambios que se

3. Caso: el procedimiento de clasificación de la información en

Nuestro documento del procedimiento de clasificación de la información constaría de:

3.1. Objeto y alcance del procedimiento

El alcance del presente procedimiento es la definición de un protocolo de etiquetado

3.2. Definiciones y documentación de referencia

o Área funcional: término que engloba a los departamentos internos y a los

o Need-to-know: necesidad de conocimiento. Requisito legítimo de una

© Copyright Universidad Europea. Todos los derechos reservados.

o Procedimiento de gestión y control documental: describe la gestión

4. Caso: el procedimiento de clasificación de la información en

4.1. Clasificación de la información

El proceso de clasificación de información cataloga los datos que pueden existir en la

Los niveles de clasificación de la información definidos son:

– Reporte al Consejo de Administración.

– Actas de los consejos de dirección.

– Documentación de RR. HH.

o Interno de acceso restringido: son datos internos de acceso restringido los

– Determinados documentos del sistema de gestión interna.

© Copyright Universidad Europea. Todos los derechos reservados.

– Determinados documentos del sistema de gestión interna.

– Información corporativa tal como organigrama, plan de formación, etc.

o Difusión pública: información disponible y no limitada para cualquier

 Tratamiento de la información clasificada

Se procurará que todos los datos clasificados como “documentación confidencial” en

 Difusión de la información clasificada

El valor de la información de la empresa está también relacionado con la posibilidad o

La salida de la compañía de un documento de cualquier otra clasificación no está

La información que deba salir del control de la compañía, será enviada

 Desclasificación de la información clasificada

Toda la información clasificada como “documentación confidencial” y “documentación

© Copyright Universidad Europea. Todos los derechos reservados.

5. Caso: el procedimiento de clasificación de la información en

5.1. Registros e indicadores del manual

No aplican para el presente documento/procedimiento.

No aplican para el presente documento/procedimiento.

5.2. Registros de revisión y de cambios

Tabla 1. Registros de revisión y de cambios.

1.ª xx-xx-xx RGI Sí No Revisado

Revisión Apartados afectados Cambios y observaciones

1.ª 3 Niveles de clasificación

6. Caso: el procedimiento de clasificación de la información en

Nuestro documento del procedimiento de buenas prácticas de seguridad constaría de

6.1. Acuerdo de confidencialidad

La información es uno de los principales activos de cualquier organización. Los

© Copyright Universidad Europea. Todos los derechos reservados.

6.2. Memorándum de confidencialidad

 Qué es el deber de confidencialidad

Es el compromiso de no difundir información a la que se ha tenido acceso a través del