La Seguridad en Definiciones de Trabajo y Contratacin

1. Descripcin del Cargo

Poltica: Deben incorporarse las responsabilidades especficas sobre la seguridad informtica en todas las descripciones de cargo donde los trabajadores tengan acceso a informacin confidencial, valiosa o crtica. Comentario:Esta poltica requiere que la gerencia reconozca las responsabilidades de seguridad informtica en todas las descripciones de cargo de aquellos trabajadores que manejen informacin confidencial, valiosa o crtica.

2. Evaluaciones de Desempeo

Poltica: Se debe considerar el cumplimiento de las polticas y procedimientos de seguridad informtica en todas las evaluaciones de desempeo de los empleados. Comentario:Esta poltica requiere que la gerencia decida, al momento de hacer las evaluaciones, si el empleado tiene alguna responsabilidad sobre seguridad informtica y, si la repuesta es s, debe determinar si el empleado ha acatado la poltica y los procedimientos.

Seleccin de Personal y la Poltica

1. Informacin de Empleado Potencial

Poltica: No se debe recopilar informacin personal sobre un empleado potencial, a menos que sta sea necesaria para tomar decisiones pertinentes al cargo. Comentario:Esta poltica sostiene la privacidad de los posibles nuevos empleados y mantiene los registros de personal en orden. Esta poltica evita reclamos sobre discriminacin ilegal.

2. Verificaciones de Historia Crediticia de Empleados Potenciales

Poltica: Se debe notificar a todos los candidatos si sus referencias crediticias o sus antecedentes sern investigados como parte del proceso de reclutamiento y seleccin, y deben recibir la oportunidad de retirar su solicitud de empleo si no desean que la Empresa X conozca dicha informacin personal. Comentario:Esta poltica da a los empleados en potencia la oportunidad de decidir revelar cierta informacin personal a su futuro empleador. Si deciden no revelar tal informacin, ellos mismos se retiran de la competencia por el empleo.
3. Informacin Sobre Estilo de Vida del Empleado Potencial

Poltica: Los candidatos a emplearse con la Empresa X no deben estar supeditados a exmenes que revelen su estilo de vida, su afiliacin poltica o preferencias religiosas, a menos que esta informacin sea necesaria para determinar si el candidato es adecuado para el cargo. Comentario:Esta poltica evita que una organizacin utilice exmenes para determinar la informacin sobre los candidatos que ellos mismos no han querido revelar. La poltica protege la privacidad de los individuos que solicitan un cargo y, potencialmente, evita que la Empresa X sea demandada o reciba publicidad adversa.

4. Divulgacin de Informacin a Solicitantes de Empleo

Poltica: Los detalles tcnicos de sistemas informticos tales como direcciones de redes, diagramas de redes y software de seguridad utilizado, no deben ser revelados a los aspirantes al empleo mientras no hayan firmado un acuerdo de confidencialidad y tambin hasta que hayan sido empleados o contratados. Comentario:Esta poltica evita el uso de un nuevo tipo de ataque, en el cual la persona se hace pasar por un aspirante a un trabajo tcnico en sistemas informticos. El entrevistador har una serie de preguntas tcnicas sobre el ambiente de computacin, para determinar si el solicitante tiene las destrezas para el puesto.
5. Re-empleo de Empleados Despedidos

Poltica: No deben reengancharse o contratarse ex-empleados, ex-consultores y ex-contratistas despedidos, sin el consentimiento de un vicepresidente ejecutivo. Comentario:Entre otras cosas, esta poltica evita que empleados despedidos se conviertan en consultores o contratistas de la Empresa X. Debido a que estos individuos pueden sentir rencores hacia la organizacin, es conveniente evitar ubicarlos en posiciones de confianza en la que podran ocasionar serios daos.

6. Perodo de Prueba Para Trabajadores Nuevos

Poltica: Todos los nuevos trabajadores y aqullos que hayan sido reempleados o contratados despus de una evaluacin poco satisfactoria de su desempeo, deben ser colocados en un perodo de prueba de seis meses durante el cual la gerencia a quienes reportan debe seguir atentamente su desempeo y actitud, con el propsito de tomar la decisin de retenerlos o despedirlos. Comentario:Esta poltica brinda a la gerencia un perodo suficiente de tiempo para evaluar el desempeo de los empleados, y les permite despedirlos basndose en el mal desempeo, en su negativa a seguir los controles internos o porque de alguna forma no son considerados idneos. 7. Fianzas de Trabajadores

Poltica: Todos los trabajadores con cargos de confianza particularmente en el rea de computacin deben contar con una fianza por un mnimo de $1.000.000. Comentario:La fianza es un tipo de pliza de seguro contra delitos como estafas, desfalcos y espionaje industrial. Las fianzas a veces se conocen con el nombre de "fianza de fidelidad" o "pliza de fidelidad".

8. Trabajo en Proyectos Sensibles Poltica: Slo empleados con desempeo de bueno a excelente y con antigedad de por lo menos dos aos en la Empresa X, pueden trabajar en el desarrollo de nuevos productos y otros proyectos de alta sensibilidad. Comentario:Esta poltica define quines pueden trabajar con la informacin ms confidencial, limitando los cargos a aqullos menos propensos a caer en sobornos, ser manipulados por un espa industrial o aprovecharse de su posicin para obtener informacin para luego venderla fuera de la Empresa X. 9. Convictos Violentos Poltica: No deben hacerse ofertas de trabajo a individuos que hayan sido condenados judicialmente por crmenes violentos que, de repetirse, representaran un dao fsico para los empleados o la propiedad de la Empresa X. Comentario:Esta poltica garantiza que la fuerza laboral estar compuesta de empleados seguros y respetuosos de las leyes. La poltica tambin asegura que los trabajadores no estarn indebidamente expuestos a la violencia en el trabajo.

10. Cargos de Confianza en el Area de Computacin Poltica: Las personas que hayan sido condenadas por delitos judiciales no deben ser empleados, contratados, promovidos o mantenidos en cargos de confianza en el rea de computacin. Comentario:Esta poltica asegura que las personas de quienes depende la Empresa X son verdaderamente confiables. A pesar de que muchas personas no estn de acuerdo, argumentando que esta poltica no da a los delincuentes convictos la oportunidad de reintegrarse al resto de la sociedad, la poltica es firme en cuanto a no emplear a quienes no son confiables. 11. Revisin de Antecedentes

Poltica: Todos los trabajadores en consideracin para ser colocados en posiciones de confianza en el rea de computacin deben pasar la revisin de antecedentes, la cual incluye la verificacin de prontuarios policiales, demandas, problemas crediticios, multas de trnsito y empleos anteriores. Comentario:Esta poltica informa a la gerencia que deben conocer a quienes estn empleando o contratando. Por ejemplo, si una investigacin de antecedentes revela que un individuo tiene una historia de robo bancario, la gerencia puede reconsiderar la decisin de emplearlo.

12. Pruebas con Polgrafos Poltica: Todos los trabajadores de la Empresa X en consideracin para ser colocados en posiciones de confianza en el rea de computacin, deben pasar la prueba del polgrafo antes de comenzar a trabajar en su nueva posicin. Comentario:Esta poltica garantiza que los administradores de sistemas, de redes y de seguridad pasarn la prueba de deteccin de mentiras antes de recibir acceso a los poderosos privilegios informticos.

13. Acceso a Informacin Privada

Poltica: Los empleados deben pasar una investigacin de antecedentes antes de recibir el acceso a informacin privada. Comentario:Esta poltica requiere una revisin de antecedentes adicional a la efectuada en su verificacin de pre-empleo, para cada trabajador que tendr acceso a informacin personal o privada. Esta poltica estipula que slo un grupo restringido de personal debe tener acceso a ese tipo de informacin.

14. Informacin Sensible de Productos Poltica: Todos los trabajadores que tendrn acceso a informacin sensible de productos, tales como planes de mercadeo, especificaciones de ingeniera o procedimientos de manufactura, deben pasar la investigacin normal de antecedentes efectuada por el departamento de Recursos Humanos. Comentario:Esta poltica selecciona los secretos industriales u otra informacin que pertenezca a la Empresa, y otorga el acceso a informacin sensible slo a los trabajadores que han pasado las investigaciones de antecedentes. 15. Huellas Digitales de Empleados Poltica: Antes de comenzar a trabajar, se deben tomar las huellas digitales de los empleados potenciales que tendrn acceso a informacin sensible, las cuales se utilizarn para determinar si el empleado potencial posee prontuario policial. Comentario:Esta poltica obtiene datos especficos de identificacin sobre individuos, que pueden ser comparados con la base de datos gubernamental de delincuentes conocidos.

16. Pruebas de Honestidad y Estabilidad Emocional

Poltica: Todos los trabajadores en consideracin para ocupar posiciones de confianza en computacin deben pasar las pruebas de honestidad y estabilidad emocional autorizadas por el departamento de Recursos Humanos. Comentario:Esta poltica garantiza que la baja gerencia aplicar pruebas que aseguren que los trabajadores que sern ubicados en posiciones de confianza en computacin merecen dicha confianza.
17. Revisin de Antecedentes de No Empleados Poltica: Los empleados temporales, los consultores, los contratistas y el personal de organizaciones externas no deben recibir acceso a informacin sensible o acceso a sistemas de informacin crtica, a menos que pasen por una verificacin de antecedentes proporcional a las efectuadas a los empleados regulares. Comentario:Esta poltica garantiza que los gerentes departamentales y gerentes de proyectos no evadirn el proceso de verificacin de antecedentes exigido para todos los empleados.

18. Extranjeros

Poltica: No deben trabajar extranjeros en los sistemas informticos de la Empresa X . Comentario:Esta poltica garantiza que las personas que trabajan en sistemas informticos internos son dignas de confianza. 19. Antiguos Hackers y Delincuentes Reformados
Poltica: La Empresa X no debe emplear antiguos hackers ni delincuentes reformados para trabajar en seguridad informtica o realizar trabajos forenses. Comentario:Esta poltica proporciona una clara e inequvoca gua de reclutamiento a la gerencia. Al emplear a ex-hackers o delincuentes reformados se asume el riesgo que estas personas vuelvan a traicionar la confianza dada. 20. Aumento Significativo de Riqueza Poltica: En caso de que un trabajador de la Empresa X demuestre un inexplicable aumento de riqueza, la gerencia tiene el deber de investigar discretamente el origen de dicha nueva riqueza. Comentario:Esta poltica informa a la gerencia local que los aumentos inexplicables y significativos de riqueza pueden sealar fraude interno.

Acuerdos de Confidencialidad
1. Derechos de Propiedad Poltica: Sin excepciones especficas escritas, todos los programas y la documentacin generados o proporcionados por cualquier trabajador en beneficio de la Empresa X son propiedad de la Empresa X . Comentario: Son frecuentes las controversias sobre la propiedad de los programas y la documentacin. Los programadores reclaman que tienen el derecho de llevarse sus creaciones a su nuevo empleo o a clientes consultores externos. 2. Acuerdos de Confidencialidad Organizacin Poltica: Todos los empleados deben personalmente firmar un acuerdo de confidencialidad con la Empresa X antes de comenzar a trabajar, o si un trabajador ha estado trabajando sin dicho acuerdo, debe firmarlo como condicin de empleo. Comentario:La intencin de esta poltica es evitar la divulgacin de informacin sensible a persona alguna, a menos que dicha persona haya previamente firmado un acuerdo de confidencialidad (NDA, por sus siglas en ingls).

3. Cambios en el Empleo Poltica: Cuando haya cambios en la situacin laboral o cambios en la condicin de trabajo de un trabajador externo, como un contratista, consultor o temporal, el contenido del acuerdo de confidencialidad de la Empresa X debe ser revisado con el gerente de la persona correspondiente. Comentario: Esta poltica tiene la intencin de recordar a los trabajadores que ellos firmaron un acuerdo de confidencialidad, y que la Empresa X intenta mantenerlos comprometidos con dichos trminos y condiciones. 4. Acuerdos de Confidencialidad con Antiguos Patronos Poltica: Los empleados que hayan trabajado en organizaciones de la competencia deben ser alentados a respetar los acuerdos de confidencialidad que firmaron con dichas organizaciones y ningn trabajador debe presionar a estos empleados en el sentido de divulgar informacin que pueda ser beneficiosa para la Empresa X. Comentario: Esta poltica informa claramente que la Empresa X no tiene intencin de forzar a los nuevos empleados a divulgar informacin que es propiedad del patrono anterior.

5. Convenios de No Competencia Poltica: Al momento de emplearse en la Empresa X, todos los empleados deben firmar un convenio de no competir con la Empresa X durante un perodo de seis meses despus de su separacin de ella. Comentario: Los convenios de no competir bsicamente impiden a los ex-trabajadores formar un negocio en competencia directa con su ex-patrono.

Trminos y Condiciones de Empleo

1. Derechos de Propiedad Intelectual Poltica: Mientras sean empleados de la Empresa X, todo el personal debe otorgar a la Empresa X derechos exclusivos sobre las patentes, los derechos de autor, los inventos u otra propiedad intelectual que originen o desarrollen. Comentario:Esta poltica asigna al empleador los derechos a toda propiedad intelectual generada por los empleados. Algunos convenios de consultores y contratistas tambin contienen provisiones al efecto.

2. Recuperacin de la Propiedad de la Organizacin Poltica: Los empleados, los temporales, los contratistas y los consultores no deben recibir su pago final hasta que no hayan devuelto todo el hardware, software, materiales de trabajo, informacin confidencial y cualquier otra propiedad de la Empresa X. Comentario: Esta poltica garantiza la devolucin de la informacin confidencial, computadores personales y cualquier otra propiedad de la Empresa X.

3. Empleados Que Viajan Conjuntamente Poltica: Los empleados no deben abordar el mismo avin si ello implica que tres o ms directivos, cinco o ms empleados, o dos o ms ingenieros del mismo departamento estaran en el mismo vuelo. Comentario: Esta poltica implcitamente reconoce que uno de los ms importantes activos de una organizacin es el conocimiento de sus empleados.

4. Informantes Internos Poltica: De vez en cuando la Empresa X utiliza informantes, quienes pueden ser ubicados en diversas posiciones internas y que aparentan ser como cualquier otro trabajador, pero sin notificarles a otros trabajadores su presencia o la naturaleza del trabajo que efectan tales informantes. Comentario: Esta poltica disuade a los trabajadores de cometer delitos, abusos y otros actos contrarios a la poltica organizacional o las leyes locales. 5. Inteligencia Competitiva Poltica: Cuando se recopile informacin sobre la competencia, el personal de la Empresa X, o cualquier persona designada para recoger dicha informacin en representacin del personal de la Empresa X, no debe mentir nunca o falsificar su identidad. Comentario: Esta poltica evita algunas prcticas cuestionables en donde la persona posa como si fuera legtimamente elegible para recibir cierta informacin, cuando en realidad no lo es.

6. Distribucin de los Registros del Personal Poltica: Con el fin de permitir a cada empleado familiarizarse con la informacin y garantizar que no contenga errores, cada empleado debe recibir una copia de su archivo personal una vez al ao. Comentario: Suministrar al empleado una copia gratis de su propio archivo es una forma de reducir los reclamos sobre reportes inexactos, y una manera de garantizar que la informacin est actualizada y es exacta.

7. Informacin Sobre Salud y Seguridad Poltica: La gerencia debe dar a conocer plenamente a los trabajadores correspondientes, los resultados de las pruebas de sustancias txicas y cualquier otra informacin relacionada con la salud y seguridad de los trabajadores. Comentario: Esta poltica est relacionada con la poltica del "derecho del trabajador a estar informado" sobre peligros en el sitio de trabajo. Esta poltica evita las demandas.

Adiestramiento de Usuarios
Educacin y Adiestramiento en Seguridad Informtica
1. Exmenes Sobre las Polticas Poltica: Los usuarios no deben tener acceso a los sistemas informticos de la Empresa X, a menos que hayan ledo la Poltica de Seguridad Informtica y tomado un pequeo examen que demuestre claramente que entienden el material descrito en dicha poltica. Comentario: Uno de los mayores problemas con las polticas de seguridad informtica gira en torno a saber si los usuarios han ledo y entendido las polticas. 2. Polticas y Procedimientos Relativos a la Privacidad Poltica: Con excepcin de los relativos al manejo de datos privados de las personas, las polticas y procedimientos de seguridad informtica deben ser revelados slo a los trabajadores de la Empresa X y a terceros seleccionados, tales como los auditores, quienes tienen una necesidad legtima de negocio sobre esta informacin. Comentario: Esta poltica tiene que ver con la poltica aparentemente contradictoria que establece que la informacin sobre seguridad debe ser restringida solamente a los internos, pero puede ser revelada a los externos.

3. Adiestramiento para Acceso Remoto Poltica: Los trabajadores de la Empresa X deben completar y aprobar un curso de adiestramiento de acceso remoto a los sistemas, antes de recibir el privilegio de acceso a una red conmutada. Comentario: Al reconocer los problemas de seguridad asociados con el sistema de teletrabajo y otros tipos de sistema de acceso remotos, esta poltica insiste que todos los usuarios de las facilidades de acceso remoto a la Empresa X deben estar adecuadamente adiestrados.

4. Adiestramiento en Internet
Poltica: Los trabajadores pueden acceder a Internet a travs de los servicios de la Empresa X slo si han sido autorizados por la gerencia del departamento y han completado un curso de adiestramiento en polticas y prcticas de Internet. Comentario: Esta poltica evita el uso ilimitado de Internet por los trabajadores de la Empresa X. Debido a que el uso de Internet presenta una cantidad de problemas serios de seguridad, es apropiado un curso separado de adiestramiento.

5. Panfleto sobre Polticas de Seguridad Informtica Poltica: Antes o en su primer da de trabajo, todos los nuevos trabajadores de la Empresa X deben recibir una copia del folleto informativo de la poltica de seguridad informtica y hacerles saber que deben satisfacer los requisitos descritos en el folleto. Comentario: Esta poltica garantiza que todos los nuevos trabajadores conocen las reglas de seguridad informtica, las han ledo y entienden que deben cumplirlas.

6. Adiestramiento en Sistemas de Produccin Poltica: Los trabajadores de la Empresa X no deben utilizar software para los procesos de produccin del negocio, a menos que hayan completado y aprobado el adiestramiento autorizado para dicho software. Comentario: Esta poltica requiere que los trabajadores completen un adiestramiento autorizado previo a la utilizacin del software que afecta las operaciones de produccin.

7. Adiestramiento Tcnico y Educacin Continua Poltica: Todo el personal tcnico de los sistemas informticos debe tener suficiente adiestramiento inicial y educacin continua en todos los aspectos crticos de su trabajo, incluyendo seguridad, aseguramiento de la calidad y relaciones con el cliente. Comentario: Esta poltica garantiza que el personal tcnico de informtica obtendr la educacin y adiestramiento necesarios para efectuar un trabajo adecuado, incluyendo el hecho de hacer su trabajo con la seguridad adecuada.

8. Responsabilidad en la Seguridad Informtica

Poltica: La responsabilidad de la seguridad informtica del da a da debe ser tarea de cada trabajador y no slo del departamento de Seguridad de Informtica. Comentario: El propsito de esta poltica es aclarar el hecho de que la seguridad informtica es multidisciplinaria, multidepartamental y multiorganizacional por naturaleza.

Respuesta a Incidentes y Anomalas de Seguridad

Reporte de Incidentes de Seguridad
1. Prdida o Divulgacin de Informacin Sensible

Poltica: Si la informacin sensible se pierde o se divulga a personas no autorizadas, o existe una sospecha de haberse perdido o divulgado a terceros no autorizaInformtica deben ser notificados inmediatamente. Comentario: dos, tanto su Propietario como el personal apropiado de Seguridad Es necesaria la pronta notificacin de la prdida o divulgacin de la informacin confidencial.

2. Divulgacin de las Vulnerabilidades del Sistema Informtico Poltica: La informacin especfica sobre las vulnerabilidades del sistema informtico, tales como los detalles de una reciente intromisin en el sistema, no deben ser distribuidas a personas que no tienen una necesidad demostrada de conocerla. Comentario: Esta poltica permite saber a las pocas personas que tienen acceso a la informacin sobre vulnerabilidades del sistema informtico, que la divulgacin de esta informacin debe estar estrictamente controlada.

3. Explotacin de la Vulnerabilidad del Sistema y Datos de la Vctima Poltica: El personal de la Empresa X no debe divulgar informacin acerca de individuos, organizaciones, mtodos especficos utilizados para sacar provecho, o sistemas especficos que han sido daados por delitos y abusos en computacin. Comentario: Esta poltica es apropiada para proveedores de productos y servicios para sistemas informticos.

4. Identidad del Informante de Violaciones y Problemas Poltica: Los trabajadores que reporten al departamento de Seguridad un problema de seguridad, vulnerabilidad, o una condicin no tica dentro de la Empresa X pueden, a su discrecin, mantener su identidad en estricta reserva. Comentario: Esta poltica estimula a los denunciantes a revelar irregularidades, problemas de control y otros asuntos de seguridad.

5. Reportes Externos de Violaciones Poltica: A menos que la ley o los reglamentos exijan reportar las infracciones de seguridad informtica a las autoridades externas, la gerencia, conjuntamente con representantes del departamento Legal. Comentario: Muchas organizaciones se abstienen de reportar delitos de computacin porque la vergenza pblica, el costo y la desviacin de recursos de personal sobrepasan los beneficios.

Arriola Cortes Wilfrido Martnez Ovando Erivn

Auditoria en Informtica