Documentos de Académico
Documentos de Profesional
Documentos de Cultura
de las personas
Objetivos de aprendizaje
Los objetivos que se pretenden alcanzar en este recurso son los siguientes:
1. Presentación
En este tema empezaremos a desarrollar los principales procedimientos de seguridad
para personas apoyándonos en las normativas y estándares conocidos, tales como la
ISO 27000 o COBIT. Las buenas prácticas en seguridad, la clasificación de la
información, el cumplimiento legal o la seguridad física (integrada con el resto de la
seguridad) son procedimientos que aportan mucho valor en las organizaciones y que
tienen una influencia muy grande en la seguridad de la información desde el punto de
vista de los SGIS y de las personas como activos.
Definiciones
o SGI Sistema de Gestión Interna, definido por las normas ISO 27001:2013 y la
ISO 9001:2000.
o Política de seguridad.
o Política de confidencialidad.
Introducción
Niveles de clasificación
o Confidencial: son datos confidenciales aquellos que son de alto interés para
la empresa. Únicamente deben ser conocidos por un número limitado de
personas, sin ser permitida su difusión sin autorización previa. La
información que se presenta en esta categoría es toda aquella relacionada
con el ámbito gerencial de la compañía y relacionada con las decisiones
estratégicas de la empresa:
– Planes estratégicos.
– Información de proyectos.
Se procurará que todos los datos clasificados como “documentación interna de acceso
restringido” sean almacenados en dispositivos con medidas de control de acceso,
garantizando un estricto acceso a los mismos. En la medida de lo posible se habilitará
los controles de acceso para la acreditación de credenciales corporativas y se
mantendrán las listas de accesos lógicos a los diferentes sistemas en función de las
necesidades corporativas de conocimiento.
Tabla de registros
Tabla de indicadores
Implica nueva
Revisión Fecha Autor Implica cambios Estado
versión
Por tanto, se hace imprescindible que la empresa tenga una garantía y compromiso de
que la información corporativa no va a ser divulgada en ningún caso fuera del ámbito
habitual de trabajo. Lo establecido en este documento es de aplicación para todo el
personal interno, incluidos becarios o alumnos en prácticas, con las salvedades entre
ambos especificadas en los apartados correspondientes.
o La que haya sido autorizada expresamente y por escrito por la empresa para
su difusión.
o Los derechos que se protegen con este deber son también imprescriptibles y
de duración ilimitada.
Todo esto hace imprescindible marcar una normativa sobre el correcto uso de los
equipos y sistemas de información que la empresa pone a disposición de los
trabajadores, tanto internos como externos, para que puedan realizar eficazmente su
trabajo diario. Esta normativa es de obligado cumplimiento para todo el personal
durante la totalidad de su vida laboral en la empresa, desde que se produce su registro
inicial como nuevo usuario, hasta su baja como trabajador en caso de que se produzca.
Para garantizar el cumplimiento de lo establecido en este documento, la empresa
realizará auditorías internas periódicas. Estas auditorías, aparte de necesarias,
forman parte de las comprobaciones a las que obliga la ley a las entidades para
garantizar la confidencialidad y protección de la información bajo su responsabilidad,
reservándose la empresa el derecho de tomar las medidas disciplinarias
correspondientes en caso de detectar incumplimiento por parte de los trabajadores.
Identificación y autenticación
Cada usuario del sistema informático tiene asignado un identificador diferente. Este
identificador será asignado en el momento en que se incorpore el nuevo trabajador, y
salvo causa de fuerza mayor y previo registro como incidencia, no sufrirá ninguna
modificación posterior. La nomenclatura del identificador es la siguiente: nombre del
usuario. primer apellido del usuario.
Cada usuario dispone de una contraseña única y confidencial. Esta contraseña será
introducida por el usuario cuando inicie sesión por primera vez con su identificador de
usuario. La combinación de ambos le validará para el correcto acceso al sistema en lo
sucesivo. El propio sistema indica cuándo se debe proceder a modificar esta
contraseña, aunque dicho cambio puede hacerse por el usuario previamente a recibir
este aviso. El propio usuario debe velar por mantener la confidencialidad de su
contraseña; en caso de sospecha o certeza de que su contraseña puede ser conocida
por otros, deberá cambiarla inmediatamente, y registrar la incidencia a través de la
herramienta de incidencias.
Control de acceso
Este apartado hace referencia a las medidas y recomendaciones que deben tener en
cuenta los usuarios del sistema para intentar garantizar la confidencialidad de la
información a la que tienen acceso.
o Servidores corporativos
A cada usuario autorizado del sistema le son asignados unos permisos de acceso a la
información almacenada en los servidores corporativos; estos accesos serán definidos
por los responsables de proyecto, conjuntamente con el responsable de gestión interna
y el departamento de sistemas, que es el encargado de aportar la visión técnica de la
implementación del esquema de permisos común a todos los departamentos.
Esta política se establece, entre otras cosas, por el propio beneficio de los
trabajadores, ya que el departamento de sistemas de la entidad realiza
copias de seguridad diarias de la información almacenada en los servidores,
susceptible de recuperación en cualquier momento, lo que no sucede en el
caso de la información almacenada en el disco duro.
Puesto de trabajo
Contraseñas
– Caracteres numéricos.
– Caracteres especiales.
Imagen corporativa
Es obligado dar ejemplo en el buen uso de los medios tecnológicos, y que tanto los
trabajadores de la empresa, como aquellos pertenecientes a empresas externas que
realicen algún proyecto o servicio en las instalaciones de la empresa (en adelante
usuarios del sistema) promuevan y acaten el código ético que se describe a
continuación:
o Algunos sitios de Internet han sido bloqueados por los administradores del
sistema. Si realmente se necesita acceder a una página web determinada
por razones de trabajo, el usuario del sistema debe enviar un correo
electrónico al responsable de gestión interna, con copia a su responsable de
área correspondiente, solicitando dicho acceso y esgrimiendo las razones
pertinentes.
o Todos los usuarios del sistema que dispongan de PC con acceso a Internet a
través de la red corporativa deben usar únicamente el software legal y
autorizado por la empresa, y navegar respetando siempre el firewall
instalado.
Nota: en los correos de respuesta Nota: en los correos de respuesta Nota: en los correos de
solo se debe poner la parte de texto solo se debe poner la parte de respuesta solo se debe poner la
grisácea. texto grisácea. parte de texto grisácea.
Los navegadores están configurados para usar nuestro Proxy, y ningún usuario
del sistema está autorizado a modificar los parámetros.
Todos los ficheros descargados de Internet deben ser escaneados por el antivirus
y en caso de duda se debe informar inmediatamente al Departamento de
Sistemas.
Todos los accesos a las páginas de Internet deben ser por motivos relacionados
con el trabajo.
Los usuarios del sistema no podrán incluir a la empresa en ninguna red externa
sin autorización previa.
Todas las materias de carácter no confidencial que se envíen por Internet deben
cumplir con las leyes de derechos de autor en el momento de la transferencia
(es decir, con la jurisdicción de derechos de autor tanto de la red interna como
externa).
Los usuarios del sistema deben intentar cumplir una ética profesional ante un
determinado servicio en un foro externo, actuando de forma que no pongan en
entredicho la reputación de la empresa.
Los usuarios del sistema que importen información de una fuente externa deben
estar autorizados por el propietario de dicha información para recibirla o
copiarla.
Los usuarios del sistema que importen información de una fuente externa deben
comprobar el material importado (en un contexto aislado), por si tuviera virus
ocultos, y deben tener la precaución de no activar los virus importados de forma
que los sistemas de las redes internas queden expuestos a ellos.
Los usuarios del sistema deben proteger todas las medidas de seguridad y
contraseñas utilizadas para acceder a la red interna.
La persona que detecte una posible incidencia deberá comunicarla a través del
apartado de peticiones del gestor de tareas corporativo, o mediante un correo a la
dirección sgi@laempresa.xx indicando en el asunto del mensaje ‘Incidencia de
Seguridad’ y añadiendo la siguiente información:
o Descripción de la misma.
En caso de que la persona que detecta esta incidencia considere que se trata de algo
muy urgente, deberá contactar de manera inmediata, por teléfono o en persona, con
el responsable de gestión interna (RGI). Dada la naturaleza de algunas incidencias, es
posible que sean consideradas inicialmente como incidencias de seguridad y, sin
embargo, se trate de cuestiones propias del servicio interno de sistemas. En esos casos,
el RGI reportará los datos de la incidencia al Departamento de Sistemas que se pondrá
en contacto con el usuario una vez solucionado el problema. Esta situación también se
puede producir en sentido contrario, en cuyo caso el Departamento de Sistemas
reportará la incidencia al RGI.
10. Resumen
En este tema se ha abordado los primeros procedimientos de seguridad de las personas,
en los que deberemos incluir aquellos procedimientos, protocolos, pasos a seguir, en
definitiva, de implementación de medidas de seguridad, de gestión de dichas medidas,
recogida de la eficacia de los indicadores en sus correspondientes registros, etc., de
cara a que en una auditoría, una organización que se ha marcado esos procedimientos
y los sigue disponga de evidencias de su uso, y el auditorio pueda comprobar también
su eficiencia.
Referencias bibliográficas
COBIT4.1. ISACA. (2007). IT Governance institute. Recuperado de
https://biblioteca.info.unlp.edu.ar/uploads/docs/cobit.pdf