UNACAR.

UNIVERSIDAD AUTÓNOMA DE
CARMEN.

LTI. TECNOLOGÍA DE LA INFORMACIÓN Y

COMUNICACIÓN.

MATERIA:

SEGURIDAD E INTEGRIDAD DE LA
INFORMACIÓN.

DOCENTE:

JOSÉ ÁNGEL PÉREZ REJÓN.

ALUMNO:

ALEXANDRA AVALOS BERNARDO.

MATRICULA:

181392

ACTIVIDAD 1.

POLÍTICAS DE SEGURIDAD.

CIUDAD DEL CARMEN CAMPECHE A 31 DE

MARZO DEL 2024.
INDICE.
1. Planteamiento de la política de seguridad. ................................................ 3
2. Análisis de riesgos. ....................................................................................... 5
3. Políticas generales. ................................................................................. 10
4. Identificación de recursos........................................................................... 13
5. Identificación de amenazas. ........................................................................ 14
6. Discreción en la divulgación de información. ........................................ 16
7. Jerarquías de responsabilidades. ........................................................... 17
8. Plan de contingencias. ............................................................................ 19
9. Responsiva ante violaciones de seguridad. ............................................... 24
10. Contactos con organizaciones externas. ................................................. 25
11. Comunicación de medidas de seguridad. ................................................ 27
12. Redefinición de confidencialidad.............................................................. 28
13. Ubicación de sistemas mal configurados................................................. 28
14. Manejo de cuentas..................................................................................... 29
15. Procedimientos para la recopilación de información. ............................. 30
16. Políticas de encriptación. .......................................................................... 32
17. Manejo de correo electrónico. .................................................................. 33
18. Bibliografía. ................................................................................................ 37
1. Planteamiento de la política de seguridad.

Definir el objetivo, alcance y vigencia.

Comenzando por el objetivo de esta política, un ejemplo puede ser:

En el alcance es recomendable incluir todas las áreas de la empresa, sean externas
e internas (tal como detallamos en la plantilla).
Por último, es muy importante precisar la fecha desde que esta política estará
vigente en la empresa y aplicarán todas las medidas dispuestas.
Definir los responsables.

Generalmente, hay tres responsables sobre este documento:

Responsable de la estrategia de seguridad: alguien de la alta gerencia (CEO, CTO,
COO, etc.) o un CISO en caso de tener.
Responsable de la operatoria diaria: esto es para hacer que esta política se
implemente. Pueden ser el CTO y otra persona que vele por la seguridad en
ambientes no TI.
Oficial de Seguridad de la Información: si bien en ISO 27001 no es obligatorio
asignar este rol, algunas regulaciones como, la Ley Fintech de México y la RAN 20-
10 de Chile sí lo exigen. Este Oficial asesorará al responsable de la estrategia sobre
cómo implementar la seguridad. Combina conocimiento normativo, de negocio y
experiencia técnica para comprender las soluciones que se implementen a nivel
seguridad.
Especificar la autoridad de emisión, revisión y publicación.

Ya que esta política interviene en todas las áreas de la compañía y evidencia las
intenciones por asegurar la información, cualquier auditor necesitará saber qué
autoridad emitió, revisó y publicó este documento. Generalmente lo realiza alguien
de la alta gerencia o quien se haya designado como el responsable de la estrategia
de seguridad.
Recuerda que esta es una política madre de la que se desprenden las demás y por
ello es imprescindible detallar este tipo de datos.
También, debes enviar un acta o minuta en la que se comunique a cada miembro
del directorio o alta gerencia la emisión de esta política y solicitar su conformidad
mediante un e-mail o su firma de puño y letra. Esto te servirá como evidencia para
la auditoría, pero también, como una constancia de que todos conocen y aprueban
este documento.
Definir las medidas de seguridad.

Una vez que terminas de especificar la autoridad de emisión, revisión y publicación,

es momento de determinar las medidas de seguridad que tu empresa tomará y
colocar sus lineamientos generales (o en lo que en la política se llama “Reglas de
aplicación”).
Veamos un ejemplo: suponiendo que una de las medidas que quieres tomar sea
gestionar los incidentes, entonces deberás colocar un apartado de Gestión de
Incidentes con su objetivo y sus lineamientos a nivel general.
Recuerda que las actividades propias de esta gestión y el paso a paso quedarán
detalladas en un documento aparte.
En la plantilla descargable te dejamos 14 medidas de seguridad que debes
considerar para cumplir con ISO 27001.
Comunicar la política a los empleados.

De nada sirve tener una política excelentemente desarrollada si nadie la conoce.

Debes disponerla en un lugar conocido por todos, sea una intranet, Wiki o carpeta
de Dropbox, e invitar a todos a leerla mediante un e-mail. En este caso es
recomendable (aunque no obligatorio) hacer una pequeña evaluación de lectura con
5 o 7 preguntas para confirmar que la política se entendió y todos están enterados
de sus disposiciones.
También, ante cada ingreso de empleados debes asegurarte de enviarla o incluirla
en una política de confidencialidad que indique que “el empleado ha leído y está
enterado de las disposiciones escritas en la política de seguridad de la información.
Cualquier acto que se haga de mala fe o en contra de la política es meritorio de una
sanción o de una desvinculación”.
Actualizar y revisar continuamente.

La política de seguridad de la información debe actualizarse cada año o cuando

sucedan cambios, dentro la empresa, que ameriten revisarla.
Algunos cambios importantes que pueden llevar a revisarla pueden ser migraciones
de infraestructura, fusión o compra de la empresa, el suceso de un incidente de
seguridad muy grave, desarrollo de un nuevo servicio o producto, incorporación de
una regulación (por ejemplo, una Fintech que tuvo políticas previas al cumplimiento
de la Ley Fintech debe revisar y actualizar la política para ver si coincide o adhiere
a la nueva regulación).
Por último, también debe actualizarse si ocurrieran cambios importantes en las
secciones detalladas en esta política.

2. Análisis de riesgos.

El análisis de riesgos es una forma de encontrar y tratar problemas que podrían

perjudicar a proyectos o iniciativas empresariales importantes. Sin embargo,
también puede aplicarse a proyectos no empresariales, como la planificación de
eventos o incluso la compra de una vivienda.
Para realizar un análisis de riesgos, primero debes identificar las amenazas
potenciales a las que te enfrentas, después estimar sus consecuencias probables
si se producen y, por último, calcular la probabilidad de que estas amenazas se
produzcan.
Puede resultar difícil porque tendrás que basarte en información detallada, como
planes de proyectos, datos financieros, protocolos de seguridad, previsiones de
marketing y otros datos pertinentes. Sin embargo, es una importante herramienta
de planificación que puede ahorrar tiempo, dinero y reputación.
Conoce también qué es la tolerancia al riesgo.
Importancia del análisis de riesgos.
Es importante porque ayuda a las empresas a tomar decisiones. Aquí conoceremos
la importancia de este análisis.
Minimiza las pérdidas potenciales.
Ayuda a las personas y organizaciones a identificar amenazas y riesgos potenciales
y a tomar las medidas adecuadas para reducir su impacto. Ayuda a prevenir o
reducir las pérdidas que podrían producirse si no se identifican y reducen estos
riesgos.
Mejora la toma de decisiones.
Ayuda a las personas y a las organizaciones a decidir si tomar o no una determinada
medida, identificando los posibles riesgos y calculando su gravedad. Puede ayudar
a las personas a evitar cometer errores que cuestan mucho dinero y a tomar mejores
decisiones en general.
Mejora la continuidad de la empresa.
Identificar y mitigar los riesgos puede ayudar a las empresas a sobrevivir a
imprevistos y catástrofes. Ayuda a mantener los servicios y productos críticos a
disposición de los clientes al tiempo que minimiza las interrupciones de las
operaciones empresariales.
Tipos de análisis de riesgos.
Existen numerosos enfoques de los tipos de análisis de riesgos. Aquí algunos de
los más populares:
Análisis cualitativo de riesgos.
Este tipo de análisis consiste en encontrar posibles riesgos y juzgar la probabilidad
de que se produzcan y cuál será su gravedad basándose en opiniones y datos
cualitativos. No se realizan mediciones cuantitativas ni análisis estadísticos.
Análisis cuantitativo de riesgos.
En este tipo de análisis se utilizan las matemáticas y la estadística para calcular la
probabilidad de que se produzca un riesgo y la gravedad de este. Suele incluir la
recopilación y el análisis de grandes cantidades de datos para hacer predicciones
más precisas sobre la posibilidad y el efecto de diversos tipos de riesgos.
Análisis de amenazas.
Este tipo de análisis se ocupa de identificar y evaluar amenazas potenciales, como
ciberataques, terrorismo y robos. Ayuda a las organizaciones a desarrollar
estrategias para prevenir o minimizar los riesgos para sus activos.
Análisis de la causa raíz.
Un análisis de causa raíz es un tipo de análisis de riesgos que se utiliza para
determinar las causas subyacentes de problemas o cuestiones. Esta técnica se
utiliza con frecuencia en la fabricación y el control de calidad. También ayuda a las
organizaciones a identificar y corregir las causas profundas de los problemas para
evitar que se repitan.
Análisis de evaluación de necesidades.
Un análisis de evaluación de necesidades es una forma de determinar paso a paso
lo que necesita una persona o un grupo. Este tipo de análisis se utiliza para
identificar las carencias de servicios y apoyo. Para evaluar las necesidades pueden
utilizarse encuestas, entrevistas y grupos de discusión.
¿Cuándo hacer un análisis de riesgos?
Puede utilizar el análisis de riesgos en todos los proyectos y en cualquier otra
operación empresarial; por ejemplo:
Para reducir los riesgos del proyecto.
Para decidir si seguir adelante o no con un proyecto.
Para abordar los riesgos en el lugar de trabajo y mejorar la seguridad.
Para hacer frente a fallos tecnológicos o de los equipos, robos o enfermedades de
los empleados.
Al prepararse para cambios en el entorno, como nuevos competidores en el
mercado o cambios en la normativa gubernamental.
Pasos para el análisis de riesgos.
El análisis de riesgos en un proyecto puede tener repercusiones positivas y
negativas. Estos impactos pueden tener consecuencias tanto materiales como
inmateriales para la organización.
A continuación, te compartimos algunos pasos a seguir en este proceso de análisis:
Identificación del riesgo.
El primer paso consiste en identificar el riesgo. Los miembros del equipo deben
recopilar todas las entradas que se utilizarán en los proyectos y reconocer el
resultado de estos, así como el número de formas, como el riesgo que implica el
proceso, etc.
Analizar el riesgo.
Tras identificar un riesgo, es importante comprender y evaluar su magnitud, qué tipo
de riesgo es más probable que ocurra y en qué medida podría perjudicar a la
organización.
Evaluar el riesgo.
Este tipo de análisis te ayuda a estimar el potencial de riesgo. Así, a la hora de
decidir si asumir o no un riesgo calculado, el equipo clasificará los riesgos
calculados.
Tratar el riesgo
En este paso, el equipo decide si sigue trabajando en el proyecto o no. En caso
afirmativo, se acepta el proyecto y se intenta resolver el problema introduciendo los
cambios necesarios en el proyecto.
Revisar el riesgo.
Como el riesgo puede producirse en cualquier momento, es importante vigilarlo y
evaluarlo de vez en cuando para que nada falle en el futuro.
Métodos de análisis de riesgos.
En el análisis de riesgos se pueden utilizar distintas técnicas. He aquí algunos
métodos para analizar riesgos:
Método bow-tie.
Este método cualitativo de análisis de riesgos ayuda a encontrar los riesgos del
proyecto, de dónde proceden y cómo afectarán al proyecto. Antes de considerar de
dónde proceden los riesgos, qué pueden significar y cómo afrontarlos, los directores
de proyecto deben identificar primero los riesgos que podrían afectar al proyecto.
Se trata de un método flexible que puede utilizarse en cualquier ámbito.
Matriz de análisis de riesgos.
La matriz de análisis de riesgos clasifica los riesgos en función de su probabilidad y
gravedad. Es una forma de ver los riesgos de forma cualitativa. Su objetivo es
ayudar a los directivos a clasificar los riesgos y elaborar un plan para reducir el
impacto o la probabilidad de las amenazas.
Análisis de sensibilidad
El análisis de sensibilidad mide cómo la incertidumbre de una o más variables de
entrada afecta a las variables de salida. Este análisis ayuda al modelo a hacer
mejores predicciones. Es un método de análisis cuantitativo de amenazas.
Evaluación SWIFT.
SWIFT son las siglas de Structured What-If-Technique. Es un tipo de análisis de
riesgos que busca posibles riesgos relacionados con cambios en el plan del
proyecto. Para encontrar todos los riesgos, los miembros del equipo deben plantear
tantas situaciones hipotéticas como sea posible.
Registro de riesgos.
Un registro de riesgos es una herramienta esencial para la gestión de proyectos.
Forma parte de la estrategia de gestión de riesgos y muestra quién está a cargo de
los riesgos, cómo pueden reducirse y qué recursos se necesitan. Este documento
del proyecto enumera todos los detalles importantes y los riesgos que podrían
ocurrir durante la fase de ejecución.
Quizá te interese conocer qué es una Matriz EFE.
Cómo gestionar los riesgos.
Una vez que hayas determinado el valor de tus riesgos, puedes empezar a
considerar formas de gestionarlos. A continuación, revisaremos algunos puntos
clave para gestionar el riesgo:
Evitar el riesgo.
En algunos casos, puede que prefieras evitar el riesgo por completo. Puede consistir
en no participar en una aventura empresarial, renunciar a un proyecto o evitar
actividades de alto riesgo. Es una buena opción cuando asumir el riesgo no
beneficia a tu empresa o cuando pagar para afrontar las consecuencias no resulta
rentable.
Compartir el riesgo.
También puedes compartir el riesgo y las posibles ganancias con otras personas,
grupos, empresas o terceros.
Por ejemplo, cuando aseguras tu edificio de oficinas y tu inventario con una
compañía de seguros externa o cuando colaboras con otra organización en una
iniciativa conjunta de desarrollo de productos, compartes el riesgo.
Aceptar el riesgo.
Aceptar el riesgo es tu última opción. Cuando no hay nada que pueda hacer para
prevenir o mitigar el riesgo, cuando la pérdida potencial es menor que el costo de
asegurarse contra el riesgo, o cuando la ganancia potencial merece la pena aceptar
el riesgo, ésta suele ser la mejor opción.
Por ejemplo, puedes estar dispuesto a aceptar el riesgo de que un proyecto se lance
tarde si las ventas potenciales cubren los costos.
Controlar el riesgo.
Si decides asumir el riesgo, hay algunas cosas que puedes hacer para disminuir sus
efectos.
Los experimentos en la empresa pueden ayudar a reducir el riesgo. Consisten en
introducir actividades de alto riesgo a pequeña escala y de forma controlada. Antes
de introducir la actividad a mayor escala, puedes utilizar los experimentos para
observar dónde se producen los problemas y encontrar formas de introducir
acciones preventivas y de detección.

3. Políticas generales.

La política de una organización es una declaración de principios generales que la

empresa u organización se compromete a cumplir. En ella se dan una serie de
reglas y directrices básicas acerca del comportamiento que se espera de sus
empleados y fija las bases sobre cómo se desarrollarán los demás documentos
(manuales, procedimientos…) de la empresa.

Una buena política no debe de ocupar más de una o dos páginas y no debe incluir
detalles. Simplemente se deben enumerar las líneas generales que definen la
filosofía de la empresa, como pueden ser por ejemplo el compromiso de cumplir la
legislación, la voluntad de crear un buen ambiente de trabajo, la implantación de
sistemas de mejora continua, la definición de objetivos ambiciosos, la necesidad de
gestionar las actividades por procesos y de hacer caso a los procedimientos, la
expectativa de minimizar el impacto ambiental mediante una buena gestión de los
recursos, etc.

Una vez creada la política, ésta debe quedar documentada y ser incluida en el
Manual de Calidad o en el Manual Gestión Integral de la empresa. Además, la
política debe ser distribuida y conocida por los empleados, debe ser implementada
y servir como punto de partida a la hora de redactar el resto de los documentos de
la compañía. Por ejemplo, si en la política se habla del “cumplimiento de la
legislación”, el resto de los procedimientos deben poner énfasis en que esto se
cumple, de otro modo estarían incumpliendo ese principio marcado por la empresa.

Las políticas generales, son políticas que alcanzan a toda la organización y marcan
sus líneas generales. Deben ser conocidas por todos y servir de guía. Una buena
política general deberá ser acorde con la estrategia fijada por la empresa y servir de
referencia para la elaboración del resto de políticas departamentales y específicas.

Requisitos de una Política general.

Existen varias normas que exigen tener una política de gestión que incluya una serie
de aspectos. Entre ellas tenemos las siguientes:

ISO 9001: Requisitos para el sistema de gestión de calidad normas isoLa ISO 9001
exige incluir una política en el Manual de Gestión de Calidad (o Manual de Gestión
Integrado) de la organización que contemple los siguientes aspectos:

– Compromiso de cumplir los requisitos (legales y del sist. de gestión de calidad) y

los compromisos fijados por la organización.

– Mejora continua de la eficacia del Sistema de Gestión de Calidad.

Además, se indica que la política debe ser adecuada al propósito de la organización

y servir de marco de referencia para establecer y revisar los objetivos de calidad.
Por último, esta política debe ser comunicada y revisada periódicamente.

De forma adicional, también es muy común añadir un punto donde deje claro que
las actividades se gestionarán por procesos (la Gestión por Procesos no se
menciona explícitamente como requisito a añadir en la política, pero sí que se
enfatiza mucho sobre este enfoque en otros apartados de la ISO 9001).

ISO 14001: Requisitos para sistemas de gestión ambiental

La norma ISO 14001 exige definir una política ambiental en el Manual de Gestión
Ambiental (o Integrado) que contemple lo siguiente:
– Compromiso a cumplir los requisitos legales y suscritos.

– Mejora continua.

– Prevención de la contaminación.

La política debe ser adecuada al impacto ambiental de las actividades de la

organización y servir de marco de referencia para establecer y revisar objetivos y
metas ambientales. Esta política debe ser documentada e implementada, se
comunicará y estará a disposición del público.

ISO 45001 (antes OHSAS 18001): Requisitos para sistemas de gestión de la

seguridad y salud en el trabajo

El estándar ISO 45001 (en versiones anteriores llamado OHSAS 18001) exige los
siguientes puntos a la hora de crear una política de SST:

– Compromiso a cumplir los requisitos legales.

– Compromiso a prevenir los riesgos laborales (PRL) y de la salud.

– Mejora continua.

La política debe ser apropiada a la organización, y servir como marco de referencia

para establecer y revisar los objetivos de SST. Por último, esta política debe ser
documentada, comunicada y revisada periódicamente.

Otras normas de sistemas de gestión

Además de las tres normas citadas anteriormente, existen otras normas menos
conocidas que también desarrollan modelos de sistemas de gestión de temas
concretos. Por poner un ejemplo, podemos nombrar la ISO 50001 de Sistemas de
Gestión de la Energía, donde se pide tener una política energética enfocada en una
gestión eficiente de la misma.
4. Identificación de recursos.

Identificar recursos supone conocer cuáles son las personas, los equipos o el
material y qué cantidad de cada recurso se necesitará para realizar el proyecto. La
identificación de recursos se coordina junto con la estimación de los costes.
La identificación de recursos requiere revisar estos factores consideradas entradas:
Factores ambientales de la empresa. Alguno de estos factores es:
Cultura de la organización.
Infraestructura (instalaciones y equipos).
Recursos humanos.
Condiciones del mercado.
Sistemas de información de gestión de proyectos.
Activos de los procesos de la organización. Entre los que se incluye:
Políticas formales e informales relacionadas con la planificación de actividades,
procedimientos y guías.
Lista de actividades de proyectos anteriores.
Enunciado del alcance del proyecto. Se tiene en cuenta:
Productos entregables, restricciones (limitan las opciones del equipo) y asunciones
(factores medibles para la planificación, como las horas de trabajo) que han sido
documentadas.
Estructura de desglose del trabajo. Fundamental para la realización del cronograma.
También conocida como EDT, puede utilizarse la plantilla de un proyecto anterior
semejante. La descomposición del trabajo del proyecto implica:
Identificar productos entregables y el trabajo que hay que realizar para entregarlos.
Estructurar y organizar la EDT
Verificar que el grado de división del trabajo es suficiente.
Diccionario de la EDT o estructura de desglose del trabajo. Se denomina diccionario
al documento que se crea para desglosar el trabajo. Detalla los paquetes de trabajo
y las cuentas de control, también puede incluir información sobre contratos, calidad
y referencias técnicas que faciliten la realización del trabajo.
Plan de gestión del proyecto, que contiene el cronograma y que facilita el desarrollo
y la planificación de actividades del cronograma y del plan de gestión del alcance.
Las herramientas disponibles para la identificación de recursos son:
Descomposición, para hacer manejables los paquetes de trabajo y convertirlos en
actividades del cronograma.
Plantillas. Pueden utilizarse como base las listas de otros proyectos.
Planificación gradual. La EDT y su diccionario reflejan la evolución del alcance del
proyecto.
Juicio de expertos. Tanto miembros del equipo como otros expertos pueden aportar
la experiencia para definir las actividades.
Componente de planificación. Cuando la EDT no es suficiente para descomponer
un paquete de trabajo. El equipo utilizará estos componentes de planificación para
programar el trabajo a diversos niveles superiores dentro de la EDT.

5. Identificación de amenazas.

Las amenazas de una empresa no sólo están relacionadas con el resto de las
marcas rivales que operan en un mismo mercado, sino que se trata de una categoría
que engloba otros factores.
Qué quiere decir “Amenazas” en FODA.
Por ejemplo, en términos generales son situaciones adversas, circunstancias
desfavorables para la operatividad o elementos concretos que ponen en riesgo la
buena marcha de las empresas.
No obstante, en este punto del texto es importante introducir un matiz: a diferencia
de las debilidades, las amenazas de una empresa provienen del exterior, es decir,
no son consecuencia directa de las decisiones o la gestión propia de cada
compañía.

¿Cuáles pueden ser las amenazas externas de una empresa?

Es más, en muchos casos son factores externos que nada tienen que ver siquiera
con la dinámica comercial del mercado. Repasemos algunos ejemplos de las
amenazas de una empresa más conocidas:
Ingreso al mercado de nuevas marcas potencialmente competidoras.
Desarrollo de productos o servicios innovadores.
Cambios legales o variaciones en las regulaciones impositivas.
Decrecimiento del mercado en el que se opera.
Crecimiento ralentizado del escenario comercial.
Crisis económicas de gran alcance.
Cambios en las tendencias del consumo, generalmente repentinos.
Transformaciones demográficas adversas.
Modificaciones en las tasas de cambio de las divisas en las que se opera.
¿Cómo saber si estamos ante una amenaza empresarial?
En gran parte ya te hemos respondido esta pregunta, pero conviene que quede
clara la diferencia entre lo que son las amenazas de una empresa y los factores
circunstanciales o puntuales que eventualmente pueden suponer riesgos menores.
Precisamente, el factor diferencial entre ambos elementos es que mientras este tipo
de factores no ponen en entredicho la operatividad plena de un negocio, pues su
impacto es limitado y se puede contrarrestar con medidas puntuales e inmediatas,
las amenazas de una empresa tienen un carácter más complejo.
O, dicho de otro modo: hay un antes y un después de las amenazas. La empresa
en su totalidad, o al menos una buena parte de ella, debe desplegar una estrategia
para hacer frente a este tipo de factores. Es lo que se llama plan de contingencia.
Existen diversas maneras de hacerlo: controlando la amenaza antes de que esta
actúe, contrarrestando su acción de forma paralela o, en último caso, mitigando los
efectos que haya generado mientras estuvo activa o reconvirtiéndolos.
En la manera como te enfrentas a las amenazas de tu empresa puede estar el
secreto para el posicionamiento de esta en el mercado, así como la eficacia en
términos de calidad de los productos, rentabilidad, financiación y sostenibilidad.

¿Puede haber amenazas internas a una empresa?

Las amenazas internas a una empresa pueden ser más difíciles de identificar, pero
existen. Hablamos, por ejemplo, de los efectos de una cultura poco saludable, que
puede amenazar al capital de talento de la organización; o de la debilidad del
liderazgo, que afectaría a la estrategia y amenazaría el futuro de las operaciones.
Además de estos supuestos hay amenazas menos intangibles, como las de
seguridad cuando proceden del interior de la empresa. Empleados que roban datos,
filtran información, cometen errores que dejan desprotegida la información
confidencial del negocio o pierden activos de conocimiento que pertenecen a la
organización se convierten en el eslabón más débil en términos de seguridad y en
una importante amenaza para la imagen e integridad del negocio.

6. Discreción en la divulgación de información.

Las violaciones a temas de confidencialidad ocasionan daños y perjuicios graves,

al grado de incurrir en una responsabilidad civil, mercantil administrativa e incluso
penal para las empresas que no protejan debidamente la confidencialidad de la
información al interior de los negocios.
Es importante señalar que, en la mayoría de los casos, las fugas de información
obedecen a no contar con protocolos claros que indiquen el tratamiento que se debe
de dar a cierta información sensible.
En estos casos, puede ser que no se encuentren designadas las personas que
manejarán esta información (como los estados financieros de una empresa), o que
la red informática de la compañía no cuente con la protección necesaria ante
ataques externos. También puede ser el caso de que los colaboradores cometan
estas faltas, a sabiendas o no, de que es información que debe resguardarse.
Para prevenir este tipo de situaciones, es necesario contar con guías de acción bien
definidas, que nos permitan saber qué uso dar a cierta información.
Acuerdos de confidencialidad de la información
Es por ello la importancia de proteger la información mediante acuerdos que
obliguen a guardar escrupulosamente los secretos técnicos, comerciales y de
fabricación de los productos a los que se concurra directa o indirectamente, o de los
cuales tenga conocimiento por razón del trabajo que se desempeña, así como de
los asuntos administrativos reservados.
Todo con la finalidad de evitar la divulgación y/o uso indebido que pueda causar un
perjuicio a la empresa.
Estos acuerdos para proteger la información tienen 3 finalidades principales:
Definir la información que será compartida y cuál tendrá la característica de
confidencialidad.
Proteger la información técnica o confidencial que no se desee compartir más que
con las partes interviniente.
Evitar posibles pérdidas de propiedad intelectual.

7. Jerarquías de responsabilidades.

La jerarquía de una empresa hace referencia a la organización y distribución de los

empleados de esta según su estatus y su función. Esta estructura sirve para dividir
la autoridad dentro de una empresa, negocio, entidad y organización de cualquier
tipo. También sirve para definir responsabilidades y niveles de liderazgo sobre los
empleados, los departamentos y los altos cargos.

Ventajas de definir la jerarquía de una empresa.

Definir la jerarquía de una compañía tiene múltiples ventajas. En primer lugar,

permite crear una cadena de mando que conecte los diferentes niveles de gestión
interna, cosa que también facilita la toma de decisiones. Así pues, este tipo de
organización permite:

• Administración efectiva del negocio.

• Agilidad en el flujo de trabajo y en la toma de decisiones.
• Mejora de la productividad y la comunicación
• Coordinación de los empleados hacia uno o varios objetivos.
• Establecimiento de niveles de autoridad.
• Estipulación de funciones y responsabilidades.
• Oportunidades de especialización para los empleados.
• Refuerzo de la lealtad empresarial.

Tipos de estructuras jerárquicas empresariales.

Independientemente del tamaño, mercado, productos que ofrezca una empresa,

etc., en cualquier jerarquía corporativa se tienen en cuenta la división de laborales
y departamentos, así como la distribución de la autoridad y las responsabilidades.
Veamos pues, las estructuras empresariales más extendidas en la actualidad:

Estructura organizativa matricial.

El modelo matricial agrupa recursos y materiales para proyectos o tareas concretas.

En este tipo de estructura hay un jefe general y un responsable por cada tarea. Una
vez finaliza el proyecto, esta estructura se disuelve.

Asimismo, el orden se suele distribuir en vertical (cada departamento realiza una

función) o en horizontal (un proyecto integrado por diferentes departamentos).

Estructura organizativa lineal.

Esta estructura mezcla relaciones de autoridad directa de una compañía con

asesores externos a la empresa. Estos se encargan de cubrir las necesidades que
las empresas no pueden hacerlo internamente. Dicha relación se basa en la
optimización de tiempos y recursos, sin poner en duda la autoridad de ningún
involucrado.

Estructura organizativa jerárquica.

También conocida por estructura piramidal, se trata del modelo que las medianas y
las grandes empresas suelen integrar. Los empleados se organizan de mayor a
menor rango, marcándose así los límites de autoridad entre los trabajadores.

Estructura organizativa funcional.

A través de esta organización se pretende cubrir las necesidades que surgen en los
diferentes niveles jerárquicos, habiendo un especialista o jefe de sección en cada
uno de ellos. Este modelo se caracteriza por la especialización y el trabajo por
objetivos, pero, a su vez, pueden surgir problemas de comunicación y ambientes
poco estables.

Estructura organizativa por división.

Las empresas que siguen este modelo se organizan en base a:

Productos: cada equipo se encarga de un producto concreto.

Zona geográfica: como pueden ser las cadenas de hoteles.

Clientes: los grupos de trabajo se organizan según las necesidades de los clientes,
fomentando la especialización en diferentes ámbitos.

Posiciones jerárquicas en una empresa.

• CEO o director ejecutivo. Es la persona con mayor autoridad sobre una empresa,
pues se encarga de dirigirla y administrarla.
• Presidente. Es la segunda persona con más autoridad de una empresa y actúa
como representante de esta. Se encarga de mantener la dirección general,
establecer objetivos y estrategias.
• Vicepresidente. Ofrece apoyo y asesoramiento al presidente, pudiendo llegar a
asumir algunas de sus funciones. Dentro de una empresa puede haber más de
un vicepresidente.
• Jefes de cada departamento. Estos se encargan de coordinar la organización de
cada departamento, así como la elaboración de las respectivas estrategias.
• Gerentes. Tienen una posición intermedia y se encargan de dirigir y coordinar a
los trabajadores de un departamento concreto. Toma decisiones a nivel
organizativo y técnico.
• Supervisores. Este puesto se dedica a la gestión de las tareas de los
trabajadores, comprobándolas y supervisándolas.
• Empleados. Son el seno de una empresa, pues realizan las tareas designadas
por los superiores.

8. Plan de contingencias.

Un plan de contingencia empresarial es un documento que contiene las medidas

que se plantean a nivel estratégico, organizacional, operativo y de personal en caso
de que se presente una situación de crisis que ponga en riesgo la continuidad de la
compañía.
Para qué sirve un plan de contingencia.

Un plan de contingencia sirve para que la empresa tenga muy claro qué acciones
debe llevar a cabo en caso de una emergencia, tanto para lidiar con las afectaciones
como para respaldar su operación y recuperarse una vez terminado el periodo de
crisis.

Además de esto, también es muy útil este documento para:

• Identificar riesgos, sus posibles consecuencias y cómo minimizar los daños a la

empresa.
• Diseñar procesos de mitigación y reparación de daño.
• Dar certeza a tus colaboradores, clientela e inversionistas sobre la continuidad
de la empresa al mostrar que ya tienes pasos definidos que aseguran los
intereses de todos los involucrados.
• Reducir el impacto de los daños y el tiempo de respuesta, ya que el plan habrá
sido diseñado antes de los momentos de tensión y urgencia que acompañan a
cualquier crisis, por lo que los pasos serán medidos y eficientes.
• Poner en marcha el plan y supervisar su implementación.
• Compartir las acciones que le corresponde realizar a cada área y a cada
trabajador de la empresa.

Tipos de planes de contingencia.

1. Plan de respaldo.

Un plan de respaldo es un documento que incluye las actividades necesarias para

reestablecer la operación normal de la empresa en caso de que se presente algún
tipo de contingencia.

Dependiendo del tipo de riesgo que se haya identificado, el plan puede incluir
instrumentos diferentes. Por ejemplo, si existe riesgo de ataque cibernético, el plan
seguramente incluirá el uso de servidores de respaldo para poner en marcha la
operación de la empresa.
2. Plan de emergencia.

El plan de emergencia es un documento empresarial que está diseñado para

responder a una emergencia inmediatamente. Incluye los procesos, instrumentos,
tareas y actividades que se tienen que realizar para mitigar los daños derivados de
una crisis.

Cada área de la empresa está incluida en un plan de emergencia en la medida que

se ve a afectada por la emergencia. Lo mismo pasa con cada puesto de la estructura
empresarial. En este documento se incluyen las actividades que deben desempeñar
los trabajadores y directivos para superar la emergencia.

El objetivo de este plan es minimizar los daños y las consecuencias graves

derivadas de una situación de emergencia.

3. Plan de recuperación

El plan de recuperación empresarial es un documento que está dirigido a garantizar

la continuidad de las operaciones de una empresa después de una emergencia.

Las directrices del plan de recuperación deben considerar que la empresa podría
haber sufrido múltiples daños (económicos, financieros, estructurales, físicos)
derivados de los riesgos a los que está expuesta. A partir de una cuantificación de
los daños, los dueños de la empresa pueden determinar, con ayuda del plan de
recuperación, el mejor camino para poner en marcha su operación nuevamente.

¿Cómo hacer un plan de contingencia para tu empresa?

1. Evalúa los riesgos

Aunque todas las etapas de un plan de contingencia son importantes, la de

evaluación es la que yace en el centro de todo, pues es donde encontrarás los
elementos clave: desde los riesgos que son parte habitual de la empresa hasta los
recursos con los que se cuenta para sobrellevar una crisis y continuar con la
organización.
Para elaborar un plan de contingencia, debes conocer a fondo tu empresa: cómo
funciona, de qué depende su correcta operatividad, así como sus puntos más
fuertes y sus áreas de oportunidad. Por ello, presta atención a los siguientes
aspectos.

Los escenarios de riesgo.

Desastres naturales, desabasto de materia prima, fallas en las herramientas y

sistemas que mantienen en óptimo funcionamiento a tu empresa, crisis de
relaciones públicas, entre otros.

Las actividades prioritarias.

Qué áreas de la empresa deben mantenerse en operación para cumplir con los
compromisos de clientes, proveedores, inversionistas y colaboradores.

Los recursos necesarios y existentes.

Tendrás que hacer un inventario considerando, por ejemplo: herramientas, personal,

recursos financieros y estrategias con las que ya cuentas en tu empresa, para así
tener una idea de lo que careces. Gracias a esto, podrás buscar lo que hace falta
para cuando sea necesario aplicar tu plan de contingencia.

Las personas que deberán tomar un papel de liderazgo.

Identificar qué equipos y qué miembros en particular de cada equipo son los más
indicados para dirigir los esfuerzos de tu plan de contingencia y, a su vez, toda esa
gente estará preparada con anticipación.

2. Planifica tu estrategia.

Una vez que tienes identificadas aquellas situaciones a las que se puede enfrentar
tu compañía, ya puedes encontrar vías precautorias que garanticen la continuidad
de sus operaciones durante una crisis o emergencia.

Al diseñar un plan de acción, debes preguntarte en primer lugar cuáles son las
capacidades que tiene tu empresa para afrontar la situación. Para ello, deberás
evaluar si tienes un fondo de emergencia, cuál es la capacidad de endeudamiento
de tu compañía e incluso las características de tu plantilla de trabajo. Esto te
ayudará a saber si una estrategia realmente funcionará o no y si es adecuada para
el personal con el que cuentas. De nada sirve idear un gran plan de contingencia si
no hay manera de llevarlo a la acción.

Recuerda que el propósito principal de la planificación es encontrar cómo aminorar

el daño que podría sufrir la empresa, por lo que te recomiendo que pienses en
acciones eficientes que deberán aplicarse durante, al menos, unos tres meses
seguidos.

3. Compártelo con tus colaboradores.

Una estrategia para afrontar contingencias no funcionará si no es un plan en el que

todos los miembros de una organización participan de forma activa. Para compartir
tu estrategia, lo mejor es delegar funciones y responsabilidades respecto a las
acciones que deberán ser tomadas frente a situaciones específicas.

En este punto puedes crear brigadas de protección civil o asignar a algunos

miembros específicos del personal la responsabilidad de contener situaciones
dentro y fuera del espacio de trabajo, ya sea con directivos, clientes o entre
colaboradores. Tanto los directivos como las personas consideradas para tomar las
riendas durante estos episodios deben estar al tanto de este plan, para que sepan
lo que se espera de ellas y ellos.

Es altamente recomendable que diseñes un organigrama en el que sea claro quién

desempeñará cada papel para que los miembros de tu plantilla sepan a quién deben
dirigirse durante una contingencia.

Además, esta es una buena oportunidad de conocer la retroalimentación de los

equipos y personal que estará de cerca en la toma de decisiones y en la ejecución
de las medidas contempladas, pues podrían aportar ajustes o actualizaciones que
no se consideraron en un principio.

Por último, ten en cuenta que la capacitación es un factor esencial para estar
preparados y para prevenir emergencias. Si ya has delegado responsabilidades,
será sencillo ubicar dónde debes poner mayor esfuerzo para concientizar, capacitar
y formar recursos humanos listos para afrontar contingencias.

4. Revísalo, discútelo y actualízalo.

Finalmente, recuerda que un plan de contingencia de una empresa debe revisarse

de manera continua, aunque ya se haya llegado a una estrategia definida. Cualquier
cambio en la operación, administración y personal de la compañía requerirá un
ajuste en el resto de sus actividades y, por lo tanto, de sus riesgos.

También, te sugiero que cuando realices una actualización o reajuste al plan, los
indiques en una bitácora de cambios incluida en el documento. Ahí podrás registrar
lo que se modificó o eliminó, además de la fecha en que se hizo para contar con un
historial completo que te permita saber qué no hay que hacer frente a una situación
o qué es preferible.

Además, la constante revisión del plan de acción te ayudará a saber si las medidas
ahí propuestas están vigentes con los avances tecnológicos, las regulaciones
laborales y económicas y las herramientas que forman parte de la empresa. Las
bitácoras ayudan, sobre todo, a dar certeza en la efectividad del plan de
contingencia.

9. Responsiva ante violaciones de seguridad.

A menudo las violaciones de la seguridad se producen como parte de delitos

informáticos. El cibercrimen es una actividad delictiva dirigida a atacar un ordenador,
una red informática o un dispositivo en red cuyo objetivo generalmente es el de
obtener dinero. También puede perseguir, con menos frecuencia, beneficios
políticos o personales. Hoy en día la industria del cibercrimen crece
voluminosamente moviendo más recursos y capital que el tráfico de drogas. Sin
embargo, este crecimiento resulta invisible para muchos empresarios que ignoran
los riesgos a los que se enfrenta cada día su negocio y, por tanto, no destinan tiempo
o recursos suficientes para mitigarlos. Lo peor es que tampoco quieren hablar de
ello, procrastinan el trabajo preventivo asumiendo un riesgo brutal, que a los
delegados de protección de datos nos hace sudar la espalda. Un adecuado
cumplimiento de la normativa de protección de datos tanto desde el punto de vista
técnico como organizativo puede contribuir al control de amenazas de
ciberseguridad, que son en definitiva las que se materializan desencadenando la
ciber bomba.

¿Cómo actuar ante una violación de seguridad?

Ante una violación de seguridad que suponga un riesgo para la confidencialidad,

disponibilidad y/o integridad de los datos personales, la empresa responsable debe
contactar de manera urgente con su equipo informático para investigar y solucionar
lo antes posible el incidente desde el punto de vista técnico. De igual forma debe
contactar inmediatamente con su delegado de Protección de Datos, si se hubiere
designado, o con su asesor interno o externo de protección de datos, a fin de que
éste valore las implicaciones legales del incidente. Concretamente el equipo legal
debe determinar juntamente con el responsable y con apoyo del equipo informático,
si procede la notificación de dicha violación a la Autoridad de Control que es la
Agencia Española de Protección de Datos de conformidad con lo establecido en
Reglamento General de Protección de Datos (RGPD). Si se decide no notificar la
brecha de seguridad a esta entidad, deberá documentarse el análisis que da lugar
a esta decisión.

10. Contactos con organizaciones externas.

La comunicación externa se refiere al conjunto de acciones informativas que una

empresa dirige con el objetivo de reforzar las relaciones con diferentes públicos, ya
sea sobre sus productos o servicios.

Características de la comunicación externa:

1. Es uniforme.

Es decir, que cuenta con un documento o manual que establece el tono, lenguaje y
elementos de los mensajes que se comunican. Ya sean campañas publicitarias o
comunicados dirigidos a los colaboradores, existen pautas que se crean para que
las personas receptoras del mensaje reconozcan de inmediato que es una
comunicación oficial (de la marca o empresa), se identifiquen con lo que dice (por
la elección de las palabras y el tono) y si es parte de un esfuerzo que aparece en
múltiples canales.

2. Adapta el mensaje a los distintos canales.

En ocasiones, un mismo mensaje tendrá que difundirse en distintos canales para

abarcar al público (o públicos) objetivo. Por lo tanto, habrá que pensar también en
los formatos y diferentes diseños que se exigen para cada plataforma porque, en
muchas ocasiones, de eso depende la efectividad de la comunicación.

3. Es oportuna y clara

Quizá suena redundante, pero la comunicación externa ocurre cuando es necesario

que ocurra: si hay un lanzamiento de producto, cuando una empresa debe compartir
cambios en su dirección, para celebrar una colaboración entre marcas o si una
organización ampliará sus operaciones en otros territorios, por mencionar algunos
ejemplos. Así que también tiene un propósito claro, no importa si se trata de una
campaña publicitaria muy creativa: su público debe entender lo que dice.

4. Tiene un plan.

La comunicación externa tiene un plan de comunicación cuyo objetivo principal es

promover las cualidades de la compañía y las novedades más sobresalientes, con
el fin de mejorar su imagen y destacar entre la competencia.

5. Ayuda a cumplir los objetivos de la empresa.

El plan de comunicación externa debe tener la capacidad de guiar las decisiones de

la empresa hacia el éxito comercial. Para ello es importante que identifiques el
público objetivo al que quieres llegar, así como el mensaje adecuado a transmitir.

Las 4 funciones de la comunicación externa.

• Reforzar la relación con los clientes: la comunicación entre la empresa y los

clientes contribuye de manera significativa a esta relación. «Poner a los clientes
 primero» debe ser uno de los pilares de tu mentalidad para construir un puente
de información transparente y útil.
• Fortalecer la relación con los proveedores: la comunicación con los proveedores
debe ser clara y precisa para mejorar el rendimiento de la compañía. Se trata de
una relación de negocios que genera confianza y calidad en el producto final.
• Vincularte con los medios de comunicación: los medios de comunicación tienen
un impacto directo en la imagen de la empresa. Para mantener una buena
comunicación externa es esencial seleccionar los medios de comunicación
oportunos y mantener una relación amistosa y cordial.
• Mejorar la relación con el público en general: para mantener una buena imagen
de tu empresa es importante que la comunicación externa sea eficaz con el
público en general, desde los consumidores hasta los inversionistas,
organizaciones sociales y grupos de opinión, sobre la propia compañía o sobre
sus productos o servicios.

11. Comunicación de medidas de seguridad.

La comunicación en seguridad no se trata solo de emitir informes y protocolos. Va

mucho más allá. Se trata de crear una conciencia constante, de fomentar una
mentalidad de seguridad y de asegurarse de que todos los empleados estén en la
misma página cuando se trata de la seguridad en el trabajo.

Algunos de los elementos clave que aprenderás en nuestra conferencia:

1. Claridad y Transparencia: La comunicación efectiva en seguridad comienza con

mensajes claros y transparentes. Aprenderás a evitar jerga técnica innecesaria y a
comunicar los riesgos y procedimientos de manera que todos los empleados puedan
entender.

2. Participación de los Empleados: Tus empleados son una fuente invaluable de

información sobre riesgos y condiciones inseguras. Descubrirás cómo involucrar
activamente a tu personal en la identificación y mitigación de riesgos.

3. Creación de Mensajes Impactantes: La comunicación en seguridad debe resonar

con las personas a nivel emocional. Aprenderás cómo crear mensajes que no solo
informen, sino que también inspiren y motiven a tus empleados a tomar medidas
seguras.

La comunicación en seguridad puede marcar la diferencia entre un lugar de trabajo

seguro y uno en el que los riesgos persisten.

12. Redefinición de confidencialidad.

Un acuerdo de confidencialidad es un pacto legalmente vinculante en el que las

partes se comprometen a no revelar información confidencial a terceros. Este tipo
de documento se utiliza a menudo en situaciones de negocios, inversiones y
empleo.

Es decir, es un contrato que firma tu empresa y el trabajador para evitar que este
desvele información que quieres mantener oculta, sobre todo para que no acceda
la competencia.

Un aspecto importante para tener en cuenta es que podrás incluirla tanto en el

contrato de trabajo o colaboración. Sin embargo, no es la única forma ya que
también puede ser un documento independiente.

Lo ideal es que este acuerdo de confidencialidad quede firmado antes de comenzar

la relación laboral. Ten en cuenta que, si alguien está trabajando o colaborando
contigo y no ha firmado este contrato, podría filtrar esta información y no tendrías
derecho a una compensación.

13. Ubicación de sistemas mal configurados.

La red y los diferentes dispositivos de seguridad también pueden estar mal

configurados, causando verdaderos problemas tanto en el camino como desde el
principio.

Lo que ocurre con bastante frecuencia es que los ingenieros de red son un poco
laxos con las configuraciones de los dispositivos de red. Y, lo entendemos,
solucionar problemas de red puede ser una lata. Pero eso no es motivo para olvidar
la siguiente configuración de seguridad.
Porque cuando no lo haces (o cuando lo haces a medias), los atacantes pueden
tener la oportunidad de acceder a los activos internos, realizar shells inversos sin
ninguna restricción, y mucho más. Además, las soluciones mal configuradas como
IPS, SIEM e IDS pueden crear más vulnerabilidades de seguridad. Por ejemplo, si
se olvida de configurar un bind shell durante la intervención, los hackers no tendrán
problemas para desfigurar su página web.

Y esto es sólo el principio. Las vulnerabilidades de desconfiguración de seguridad

también ocurren debido a:

Habilitar funciones innecesarias (normalmente por defecto) como servicios inútiles,

cuentas, privilegios, puertos, páginas, etc.

Trabajar con cabeceras y directorios inseguros o configurarlos con valores

inseguros.

Pasar por alto la configuración de seguridad (es decir, NO configurarla con valores
seguros) en los servidores de aplicaciones, frameworks de aplicaciones, bibliotecas,
bases de datos, etc.

Utilizar componentes vulnerables y/o anticuados (que, por cierto, se encuentra justo
detrás de la configuración de seguridad incorrecta en los 10 principales riesgos de
seguridad de las aplicaciones web de OWASP mencionados anteriormente).

No implementar medidas de seguridad apropiadas en toda la pila de la aplicación

(en casi cualquier parte de ella).

Y, por último, pero no menos importante, no desactivar las cuentas por defecto con
contraseñas estándar (sí, lo creas o no, eso pasa MUCHO).

14. Manejo de cuentas.

La administración de cuentas es una función de posventa que se enfoca en fomentar

las relaciones con los clientes. Este rol tiene dos objetivos principales: conservar el
negocio de los clientes y aumentar esas oportunidades. Estos objetivos se logran al
conocer cuáles son los objetivos de sus clientes y ayudándoles a conseguirlos.
A diferencia de la función de ventas tradicional, que es a corto plazo y se enfoca en
conseguir clientes, este rol funge como un enlace a largo plazo y, quizá, un consultor
de confianza para el cliente.

Es decir, las ventas son transaccionales y la administración de cuentas es relacional.

Al entender las necesidades de sus clientes, los administradores de cuentas pueden

responder sus preguntas, resolver sus problemas (de preferencia con soluciones
personalizadas de productos o servicios) y crear una alianza estratégica a largo
plazo con los clientes que vaya más allá de la venta original.

Entre otras cosas, son responsables de:

Fortalecer la alianza comercial original a través de ventas incrementales y cruzadas.

Administrar las relaciones entre el cliente y el área de ventas y de servicio al cliente.

Retener su negocio a largo plazo a través de la renovación de contratos al asegurar

la satisfacción del cliente.

15. Procedimientos para la recopilación de información.

Algunos métodos de recolección de información son encuestas, entrevistas,

pruebas, evaluaciones fisiológicas, observaciones, revisión de registros existentes
y muestras biológicas.

Una encuesta es una serie de preguntas dirigidas a los participantes en la

investigación. Las encuestas pueden ser administradas en persona, por correo,
teléfono o electrónicamente (como correo electrónico o en Internet). También
pueden administrarse a un individuo o a un grupo. Las encuestas son utilizadas para
tener información sobre muchas personas y pueden incluir elección múltiple/forzada
o preguntas abiertas (como información demográfica, salud, conocimiento,
opiniones, creencias, actitudes o habilidades).

Una entrevista es una interacción que involucra al investigador y a un(os)

participante(s) en que las preguntas se formulan en persona, por teléfono o incluso
de manera electrónica (correo electrónico o Internet). Durante una entrevista, se
hacen preguntas para obtener información detallada sobre el participante acerca del
tema en estudio. Las preguntas pueden ser similares a las formuladas en una
encuesta.

Una prueba es una forma o una tarea física o mental para la cual se ha determinado
un estándar normal, o para la cual se conocen las respuestas correctas. El
desempeño de un participante en una prueba es comparado contra estos
estándares y/o respuestas correctas. Las pruebas son usadas en la investigación
para determinar la aptitud, habilidad, conocimiento, estado de salud físico o mental
del participante en comparación a la población en general. Las pruebas pueden ser
administradas en persona, por escrito o un medio electrónico. Un ejemplo de esto
serían los estudiantes haciendo pruebas estandarizadas de desempeño académico
(como el SAT, MCAT o GRE).

Las evaluaciones fisiológicas son medidas en que las características físicas de un

participante son registradas, como la presión arterial, ritmo cardíaco o fortaleza
física. En la investigación relacionada con la salud, la evaluación fisiológica puede
utilizarse para determinar el estado de salud de un participante antes, durante o
después de ser parte en un estudio. Un ejemplo sería hacer que las personas de la
tercera edad se toquen los dedos de los pies para evaluar su flexibilidad y alcance.

Las observaciones son registros tomados que no requieren participación. Estos

registros se hacen mientras los participantes están involucrados en conductas
rutinarias y se utilizan como un indicador de lo que los participantes de hecho hacen,
en lugar de apoyarse completamente en los relatos que los participantes hacen de
su propia conducta. Un ejemplo sería un investigador observando los planes
educativos usados en un aula por un maestro de escuela pública.

La revisión de registros tiene lugar cuando un investigador examina y extrae

información de documentos que contienen datos sobre el participante. Los registros
revisados en una investigación pueden ser públicos o privados. Ejemplo de ello es
un investigador recolectando información acerca de un padecimiento a partir de los
historiales médicos de los pacientes.
16. Políticas de encriptación.

El propósito de una política de cifrado es establecer, a nivel de la alta dirección, las

expectativas empresariales y de cumplimiento que la organización debe cumplir. La
política sirve como punto de partida para definir una estrategia de cifrado adecuada.
La política debe ser lo suficientemente abstracta como para ofrecer libertad y
flexibilidad para su implementación. Al mismo tiempo, debe ser lo suficientemente
específico como para definir los límites de una implementación aceptable que
cumpla con los objetivos de la organización. En general, las políticas son
independientes de la tecnología y se modifican con muy poca frecuencia porque
definen las características fundamentales de la estrategia de cifrado de la empresa.

Por lo general, las políticas de cifrado contienen, pero no se limitan a, lo siguiente:

Cualquier régimen regulatorio o de cumplimiento que su empresa deba cumplir.

Cualquier compromiso o expectativa empresarial en relación con el cifrado de datos.

El tipo de datos que deben cifrarse.

Criterios para determinar cuándo utilizar técnicas de protección de datos distintas

del cifrado, como el hash o la tokenización.

El nivel más alto de administración de la organización, como el CIO, el CTO y el

CISO, por lo general definen y aprueban la política de cifrado.

A la hora de crear la política de cifrado, tenga en cuenta lo siguiente:

Su línea de negocio determina los regímenes regulatorios y de cumplimiento que

debe cumplir. Estos regímenes dictan los requisitos de cifrado de datos. Las
decisiones de nivel ejecutivo de expandir el negocio a nuevas regiones o ampliar la
oferta de productos pueden afectar las regulaciones que se aplican a sus datos. Por
ejemplo, si un banco decide ofrecer tarjetas de crédito a sus clientes, probablemente
tengan que cumplir con el estándar de seguridad de datos (PCI-DSS) del sector de
las tarjetas de pago, que exige el cifrado de datos.

Su política debe especificar qué tipo de datos deben cifrarse. Esto varía según los
requisitos de cumplimiento y los objetivos de manejo de datos de su empresa. Por
ejemplo, su política puede establecer que todos los datos que la empresa capture o
posea deben estar cifrados en reposo.

Su política de cifrado debe alinearse con sus estándares internos de categorización

de datos. Para formular una política de cifrado eficaz, es necesario determinar las
categorías de datos a nivel de metadatos. Por ejemplo, tus categorías pueden incluir
datos públicos, internos, confidenciales, secretos o de clientes.

Incluya criterios para determinar qué datos deben cifrarse y qué datos deben
protegerse con otra técnica, como la tokenización o el hash. Por ejemplo, su política
puede establecer que toda la información de identificación personal (PII) que vaya
a los registros de auditoría, rastreo o aplicación debe estar tokenizada.

17. Manejo de correo electrónico.

Normas para el buen uso del Correo Electrónico.

De la misma manera que existe un protocolo para relacionarse presencialmente, la

llamada netiquette describe un protocolo de pautas de buenas maneras en la red.
Es una palabra derivada del francés "étiquette" y del inglés "net" (red).

Normas sencillas y de sentido común sin las cuales corremos el riesgo de ser
considerados unos ignorantes. Estas pautas deben observarse cuando
incorporamos cualquier contenido a la red, por tanto, son aplicables a todas
nuestras publicaciones y mensajes.

Respetarlas y aplicarlas hará que se lean con interés y respeto. Vulnerarlas

sistemáticamente puede implicar que nadie entre en nuestro blog o red social, o que
nuestros mensajes de correo electrónico sean eliminados por el receptor sin abrirlos
siquiera.

Estas son unas cuantas normas para un buen uso de esa maravillosa herramienta
que es el correo electrónico:

Con el correo electrónico ocurre lo mismo que con el resto de las relaciones
humanas, la primera impresión es la queda. Es importante el uso de un tono
correcto, no cometer faltas de ortografía ni de gramática. Antes de enviar un
mensaje, asegúrate de que está escrito con corrección y claridad. Debemos ser
siempre conscientes de que se trata de comunicación escrita, y como tal queda
registro de ella.

Usa un estilo de redacción adecuado. La forma de redacción debe adecuarse al

destinatario. Utiliza los emoticones con moderación y nunca para un mensaje
formal. Ten en cuenta siempre la diferencia de estilo que debe haber entre un
mensaje personal y otro profesional, entre uno informal y otro de carácter serio.
Saluda, indica el motivo del mensaje y despídete al final.

Utiliza siempre el campo "asunto": el destinatario puede decidir si leer o no un

mensaje basándose solo en el encabezamiento. Esto facilita la lectura, clasificación
y, por tanto, ahorra tiempo.

Envía tus mensajes en texto plano, no utilices estilos ni adornos innecesarios.

Además de más seguros, los mensajes en texto puro, sin colores, tamaños,
negritas, etc. son más pequeños, llegan y se descargan más rápido. Por supuesto,
puedes hacer uso de estos recursos sin abusar y cuando el contenido lo requiera.

No escribas en mayúsculas. Escribir en mayúsculas en Internet equivale a gritar. A

no ser que realmente quieras gritar una palabra o frase, escribe de manera normal,
con mayúsculas y minúsculas. Puedes utilizar las comillas, los asteriscos y guiones
bajos para *enfatizar* y subrayar.

Escribe por párrafos para que el mensaje quede mejor estructurado, y sepáralos
con líneas en blanco, para no cansar con su lectura. Tampoco escribas líneas de
más de 80 caracteres. Muchos monitores no permiten visualizar más en la pantalla.

Cuando respondas a un mensaje, incluye parte del mensaje original para situar el
contexto. De otra manera, tu(s) interlocutor(es) podría(n) no saber de qué estás
hablando o a qué estas contestando, especialmente si reciben mucho correo.
Normalmente basta con el asunto. Muchos servidores de correo integran ya esta
opción por defecto.
Reenvío de correos: Si recibes un correo electrónico interesante que deseas
reenviar a tus contactos, no olvides eliminar esas líneas heredadas de los mensajes
anteriores y las direcciones de correo del mensaje que has recibido. Puede que
alguno de los destinatarios del correo tenga un virus en su ordenador y que ese
virus capture las direcciones de correo de los mensajes que se reciben para luego
enviarlas a un spammer. Todas esas direcciones sufrirán a partir de ahora el molesto
correo basura.

Por el mismo motivo, cuando envíes copias de un correo a varias personas, pon la
lista de direcciones a enviar en el campo CCO (cuentas de correo ocultas). De esa
forma evitarás dar a conocer las direcciones de terceras personas, que no interesan
a nadie. Es una buena medida de seguridad para evitar virus y spam.

No reenvíes mensajes en cadena, falsas alarmas de virus, etc. Solo contribuirás a

aumentar el correo no solicitado.

Evita el envío de archivos adjuntos demasiado pesados. Mándalos solo cuando

sean necesarios y advierte sobre su contenido al remitente en el cuerpo del
mensaje.

Cuando envíes un archivo adjunto a alguien que recibe muchos como el tuyo, por
ejemplo, un(a) profesor(a), nómbralo con tu nombre_apellido_nombre_de_la_tarea
(minúscula, sin tildes i caracteres especiales, con las palabras unidas por guiones
bajos).

Como destinatario debes también tener algunas precauciones:

No respondas al correo no solicitado y de origen desconocido. Es una forma de

aumentar la cantidad de correo basura en nuestro buzón ya que indica al remitente
que la cuenta es leída. Los mensajes no deseados deben borrarse lo antes posible.

No abras ficheros que no esperas. Aunque procedan aparentemente de personas

conocidas no debemos abrir adjuntos no esperados: pueden contener virus.
No proporciones tu dirección de correo en sitios que no conozcas bien o que puedan
enviarte publicidad no deseada. Es una buena idea disponer de una cuenta gratuita
para registrarnos en este tipo de sitios.

Limita el tamaño de las firmas automáticas: Las firmas automáticas deben ser lo
más claras y breves posible. No incluyas imágenes o información innecesaria.
Nunca dejes de identificarte con nombre y apellidos cuando te dirijas a personas
desconocidas.

Si usas webmail, como Gmail, utiliza claves seguras (más de 8 dígitos, conteniendo
letras y números) y configura la pregunta secreta de una forma que no sea
adivinable, ya que esta es la forma más común de robar una cuenta de otra persona.

Cuando utilices su correo electrónico en sitios públicos, no olvides cerrar tu correo

cuando termines de trabajar. No basta con cerrar la página: es necesario pulsar en
"salir" o "cerrar sesión.
18. Bibliografía.

Araujo, A., & Araujo, A. (2023, 13 octubre). Cómo hacer tu política de seguridad de
la información. Hackmetrix Blog. https://blog.hackmetrix.com/politica-de-
seguridad-de-la-informacion/
Ortega, C. (2023, 26 julio). Análisis de riesgos: Qué es y cómo realizarlo.
QuestionPro. https://www.questionpro.com/blog/es/analisis-de-riesgos/
Jimeno, J. (2012, 19 noviembre). Cómo crear la política de tu empresa: Definiciones,
requisitos y tipos de políticas – PDCA Home.
https://www.pdcahome.com/2551/como-crear-la-politica-de-tu-empresa-
definiciones-requisitos-y-tipos-de-politicas/
Pérez, A. (2023, 28 septiembre). ¿Sabes cómo identificar los recursos de tus
proyectos de forma adecuada? OBS Business School.
https://www.obsbusiness.school/blog/sabes-como-identificar-los-recursos-
de-tus-proyectos-de-forma-adecuada
Pérez, A. (2022, 3 agosto). ¿Cómo identificar las amenazas de una empresa? OBS
Business School. https://www.obsbusiness.school/blog/como-identificar-las-
amenazas-de-una-empresa
Sobre la importancia de la confidencialidad de la información – Lofton Servicios
Integrales | Despacho Contable y Jurídico. (s. f.).
https://loftonsc.com/juridico-laboral/confidencialidad-de-la-informacion/
Esneca, C. G. (2023, 4 mayo). Jerarquía empresarial: ¿qué tipos hay? Escuela
ELBS. https://escuelaelbs.com/jerarquia-
empresarial/#:~:text=La%20jerarqu%C3%ADa%20de%20una%20empresa
%20hace%20referencia%20a%20la%20organizaci%C3%B3n,y%20organiz
aci%C3%B3n%20de%20cualquier%20tipo.
Gasbarrino, S. (2023, 8 noviembre). Plan de contingencia de una empresa: qué es,
cómo hacerlo y ejemplos. https://blog.hubspot.es/sales/plan-contingencia-
empresas#:~:text=Un%20plan%20de%20contingencia%20empresarial%20
es%20un%20documento%20que%20contiene,la%20continuidad%20de%2
0la%20compa%C3%B1%C3%ADa. https://blog.hubspot.es/sales/plan-
contingencia-
 empresas#:~:text=Un%20plan%20de%20contingencia%20empresarial%20
es%20un%20documento%20que%20contiene,la%20continuidad%20de%2
0la%20compa%C3%B1%C3%ADa.
Valenzuela, L. (2021, 16 septiembre). Violaciones de seguridad en pymes ¿qué son
y cómo actuar?. - Umbra Abogados. Umbra Abogados.
https://www.umbraabogados.com/violaciones-de-seguridad-en-pymes-que-
son-y-como-actuar/
Elementos Clave de la Comunicación en Seguridad. (2023, 31 octubre).
https://www.joinmoment.mx/elementos-clave-de-la-comunicacion-en-
seguridad#:~:text=La%20comunicaci%C3%B3n%20en%20seguridad%20n
o,la%20seguridad%20en%20el%20trabajo.
Pymes, A. T. (2023, 23 enero). Acuerdo de confidencialidad con ejemplos y Modelo
descargable | NDA. https://es.linkedin.com/pulse/acuerdo-de-
confidencialidad-con-ejemplos-y-modelo-descargable-
#:~:text=Un%20acuerdo%20de%20confidencialidad%20es,de%20negocios
%2C%20inversiones%20y%20empleo.
QAwerk ES. (2024, 15 marzo). Vulnerabilidad de desconfiguración de seguridad |
QAwerk. QAwerk. https://qawerk.es/blog/mala-configuracion-de-
seguridad/#anch1_1_5
Motivos por los cuales la administración de cuentas es un elemento clave para el
éxito empresarial. (2020, 2 noviembre). Lucidchart.
https://www.lucidchart.com/blog/es/que-es-la-administracion-de-
cuentas#:~:text=La%20administraci%C3%B3n%20de%20cuentas%20es,cli
entes%20y%20aumentar%20esas%20oportunidades.
Métodos de recolección de información. (s. f.).
https://ori.hhs.gov/education/products/sdsu/espanol/eg_info.htm#:~:text=Alg
unos%20m%C3%A9todos%20de%20recolecci%C3%B3n%20de,registros%
20existentes%20y%20muestras%20biol%C3%B3gicas.
Política de cifrado - AWS Guía prescriptiva. (s. f.).
https://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/strategy-
data-at-rest-encryption/policy.html
Normas para el buen uso del Correo Electrónico. (s. f.).
https://www.juntadeandalucia.es/averroes/centros-
tic/14002984/helvia/aula/archivos/repositorio/2750/2994/html/buen_uso_cor
reo_electronico/index.htm