Notas de seguridad de la información (octubre 2024) PDF
Document Details
2024
Tags
Related
Summary
Estas notas describen la seguridad de la información, incluyendo políticas, procedimientos y estrategias para evaluar, proteger, y gestionar programas de seguridad. Se incluyen temas como la evaluación de riesgos, mitigación, tecnología de protección, y la importancia de la seguridad de la información para las empresas.
Full Transcript
DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN (14% para 2023 - era 9%) 8 Tarea 1: Realizar estudios para evaluar el estado actual de programas de seguridad de la...
DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN (14% para 2023 - era 9%) 8 Tarea 1: Realizar estudios para evaluar el estado actual de programas de seguridad de la 12 información. 4- 22 Conocimientos de: PP 1. Elementos de un programa de seguridad de la información, que incluye seguridad C física; seguridad de procedimientos; seguridad de sistemas de información; sensibilización de empleados; y capacidades destrucción de información y – recuperación. SÉ 2. Técnicas de realización de estudios. JO 3. Evaluaciones cuantitativas y cualitativas de riesgo. 4. Estrategias de mitigación de riesgos (p. ej., tecnología, personal, proceso, diseño de instalaciones, etc.). O R 5. Métodos de análisis costo-beneficio. D 6. Tecnología, equipos y procedimientos de protección (p. ej., interoperabilidad) N 7. Amenazas de seguridad de la información. A 8. integración de instalaciones, planes del sistema, dibujos y esquemas. EJ AL Tarea 2: Desarrollar políticas y procedimientos para garantizar que se evalúe la información y se proteja contra vulnerabilidades y amenazas. A R Conocimientos de: VE ER 1. Principios de gestión de seguridad de la información 2. Teoría y terminología de seguridad de la información C 3. Estándares del sector de seguridad de la información (p. ej., ISO, Información T Personalmente Identificable (Personally Identifiable Information, PII), Control de IA Protocolos de Información (Protocol Control Information, PCI, etc.) EC 4. Leyes y reglamentos relacionados con la gestión de registros incluyendo, retención, conservaciones por razones legales y practica de disposición (p. ej., Reglamento PR general de protección de datos (GDPR), información biométrica) 5. Prácticas para proteger información patentada y propiedad intelectual 6. Medidas de protección de la información que incluye procesos de seguridad, sistemas para acceso físico, y gestión de datos DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 1 de 52 VERSIÓN: OCTUBRE 2024 RUFAC Tarea 3: Implementar y gestionar un programa integrado de seguridad de la información. Conocimientos de; 8 1. Seguridad de la información que incluye confidencialidad, integridad y disponibilidad 12 2. Metodología de sistemas de seguridad de la información 4- 3. Técnicas de autenticación (p. ej., multifactorial, biometría) 22 4. Programas de evaluación y mejora continua 5. Técnicas y prácticas de pruebas éticas de piratería y ataques PP 6. Técnicas de codificación y ocultación de datos (p. ej., criptografía) 7. Técnicas de integración de sistemas (p. ej., interoperabilidad, licencias, redes) C 8. Metodología de análisis costo-beneficio – 9. Técnicas de gestión de proyectos SÉ 10. Proceso de revisión del presupuesto (p. ej., ciclo de vida de desarrollo del sistema) 11. Proceso de evaluación y selección de proveedor JO 12. Aceptación final y procedimientos de pruebas O 13. Tecnología de protección e investigaciones forenses R 14. Programas de capacitación y sensibilización para mitigar amenazas y vulnerabilidades D (p. ej., phishing, ingeniería social, ransomware, amenazas internas) NA EJ DOMINIO 5: PROTECCIÓN A INFORMACIÓN SENSITIVA AL A I. DEFENSA DE LA INFORMACIÓN R VE La globalización de los negocios conlleva que la mayor parte de la información sensible, en su curso a los destinatarios, sea procesada o distribuida por diferente personal ER (técnicos, administrativos, comerciales, operadores de equipos informáticos y de C comunicaciones...) y circule por diferentes sistemas, redes o medios de transmisión. T La innovación, complejidad de los nuevos proyectos y diseños, así como la necesidad IA de comunicar y compartir información, obliga a que el capital intelectual y los datos relevantes EC estén disponibles y accesibles a diversas personas participantes en los negocios. PR Dentro de este mar de datos, no hay que olvidar que la alta tecnología (transferida y recibida con la aceptación expresa de su custodia, de su correcto uso y de su limitada exposición y de su reserva), así como el patrimonio intelectual, deben recibir la debida protección, evitando y neutralizando con ello las perturbaciones, las agresiones o las fugas informativas, y su revelación o descubrimiento. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 2 de 52 VERSIÓN: OCTUBRE 2024 RUFAC Aun cuando existe el derecho a la información, también se tiene el derecho natural de defenderse contra una agresión. Toda entidad tiene el derecho a poseer información de propiedad y secretos, así como la facultad y deber de protegerlos. 8 A.- ELEMENTOS PARA EL PROGRAMA DE SEGURIDAD A LA 12 INFORMACIÓN DE PROPIEDAD 4- 1. Un fundamento y Amparo legal, así como el apoyo de la Alta Dirección y de los 22 responsables de los programas, son la pieza clave en el programa de seguridad a la información. PP C 2. Una política y un programa de gestión y protección de información, razonable, lógico, relevante y bien redactado, organizado y desarrollado, ajustado a la realidad y a los – problemas básicos de interés de la organización. SÉ 3. La Sensibilización y cooperación del personal desde su inducción inicial a la Institución, JO hasta después de abandonar él puesto que ocupaba o la misma organización, pues la obligación legal de salvaguardar la información confidencial persiste aún después de O salir de la misma. R D 4. El Control de la ejecución del programa. A través de verificaciones periódicas, un N sistema de notificación, valoración, atención y seguimiento de incidentes, mecanismos A de respuestas, coordinación, etcétera. EJ 5. La adopción de sistemas y medios de seguridad física, tanto tecnológicos como AL humanos. A R B.- LA INFORMACIÓN Y LA EMPRESA, IMPORTANCIA DE LA VE INFORMACIÓN ER 1. Hoy en día la información se considera como un patrimonio estratégico de la empresa, C al igual que los demás recursos (humanos, materiales, políticos, financieros, tiempo), por lo que se hace necesario cuidarla y protegerla con las mismas o mayores T IA consideraciones. EC 2. En ciertas organizaciones, los departamentos de investigación y desarrollo demandan especial atención de seguridad, tanto física como operativa. PR 3. Para mantener su nivel competitivo en un mercado de permanente evolución, un negocio debe ser capaz de expandir y diversificar sus productos. Con frecuencia, el éxito de un negocio puede medirse, por su capacidad para anticiparse a los cambios del mercado y modificar a tiempo, o desarrollar nuevos procesos o productos antes de que lo haga la competencia. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 3 de 52 VERSIÓN: OCTUBRE 2024 RUFAC 4. Con la propia supervivencia en juego, tradicionalmente los gobiernos y actualmente las empresas, invierten mucho dinero en investigación y desarrollo; pero este gasto, además del tiempo y los recursos necesarios invertidos, puede resultar inútil si la nueva información se pierde y finalmente, beneficia a un contrincante o competidor. 8 12 5. Si una organización aspira a obtener beneficios de su inversión; las ideas innovadoras, 4- las estrategias, necesidades de producción, prototipos, los nuevos productos, y sus 22 bases de datos, deben de ser defendidas y protegidas, bajo un programa sistemático de identificación, clasificación, acceso, uso, control y difusión de la información PP sensitiva. C C.- TIPOS DE INFORMACIÓN – SÉ 1. Por cómo se produce, tradicionalmente se clasifica en oral, escrita y digitalizada. JO 2. La información oral tiene como principal característica que la información no es O permanente, puesto que solamente existe mientras se está originando; es una R información que una vez emitida no deja constancia, salvo en la memoria de quienes D la conocen, (excepto en los casos en que la conversación sea grabada). NA 3. La información escrita es aquella que está contenida sobre diversos documentos o EJ soportes tangibles; el más común de ellos es papel. Para llegar a conocer la AL información contenida en estos soportes es preciso tener acceso a ellos y poderlos leer. A R 4. Se entiende por documento cualquier constancia gráfica o de cualquier otra naturaleza, VE especialmente: impresos, manuscritos, papeles mecanografiados, planos, proyectos, ER esquemas, esbozos, diseños, bocetos, diagramas, cartas, croquis, mapas, fotografías y negativos, películas, grabaciones sonoras, planchas o moldes, matrices, C composiciones tipográficas, grabados, bandas escritas o perforadas, la memoria T transistorizada de un cerebro electrónico, y otro material usado para reproducir IA documentos. EC 5. La información computarizada es la que reside en computadoras u ordenadores, sus PR sistemas operativos o las memorias, así como la información que está procesándose o transfiriéndose en cada momento. Este proceso puede ser realizado por el propio ordenador o bien a través de medios y redes de comunicación (Internet, Intranet, otros.) DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 4 de 52 VERSIÓN: OCTUBRE 2024 RUFAC D.- ESTADOS DE VULNERABILIDAD DE LA INFORMACIÓN 1. Técnicamente hablando, se dice que para que un programa de protección a la información tenga éxito, se debe medir la vulnerabilidad de la información en los 6 procesos a los que está sujeta y que son: 8 12 4- OBTENCIÓN 22 TRANSMISIÓN PP REPRODUCCIÓN C – ALMACENAMIENTO SÉ USO JO DESTRUCCIÓN O R 2. En el estado de almacenamiento, la información permanece durante más D tiempo. La forma de asegurarse la información almacenada está basada en N medidas de seguridad física en los accesos donde está se almacena, y en el A tratamiento criptográfico o uso reservado de dicha información y medios. EJ AL 3. El proceso de uso y de transmisión son en los que más fácilmente puede desviarse la información, ya que no son válidos ninguno de los métodos de A seguridad física y “software” de acceso, por lo que resulta necesario utilizar R métodos criptográficos, de disuasión o de reserva, para conseguir un necesario VE grado de seguridad. ER 4. Si bien es un proceso relativamente corto en el tiempo, la información que se transmite a través de las redes de comunicaciones donde el acceso de personas C no autorizadas y con medios no demasiado sofisticados para escuchar registrar T o modificar información, es una tarea relativamente sencilla. IA 5. Dentro del sistema integral de protección de la información, donde puede EC adoptarse medidas físicas y de “software”; la criptografía ha representado un eslabón fundamental, ya que proporciona la mejor salvaguarda cuando el PR contenido de la información se encuentra en estado más vulnerable. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 5 de 52 VERSIÓN: OCTUBRE 2024 RUFAC E.- MÉTODOS PARA ASEGURAR LA INFORMACIÓN 1. La reducción a la problemática causada por la pérdida de la información se alcanza mediante la implantación de una metodología, basada en un planteamiento integral del sistema de defensa, en donde las medidas técnicas y organizativas se aplican 8 12 simultáneamente. 4- 2. Como principios básicos de la protección de la información oral, documental e 22 informática se consideran la restricción de accesos a las mismas y a los lugares de custodia, así como la discreción y la reserva, y fijar las responsabilidades del personal PP usuario. C 3. El alcance de la protección debe de extenderse a los locales, a las medidas de – seguridad, a la elaboración, a los prototipos, reproducciones, copias y duplicados, a la entrada, salida y distribución, al envío y transporte, a la transmisión, a la custodia, al SÉ inventario y archivo, y a la destrucción. JO 4. Referente a subcontratistas de proyectos reservados, la protección de la información se extiende desde el acercamiento inicial para solicitar una cotización del servicio o O producto, su aceptación y desarrollo, hasta incluso después que el objeto del contrato R sea entregado. D N 5. En cualquier caso, se debe mantener el control y la gestión de la información, fijando A niveles de distribución y de accesos a la misma, y efectuando auditorias e inspecciones EJ de seguridad. AL F.- GESTIÓN DE LA INFORMACIÓN A R 1. El conocimiento oportuno de la información, de las nuevas tecnologías, de las VE capacidades y de las estrategias de producción, financieras y comerciales, constituyen una ventaja competitiva dentro del mercado mundial. ER 2. Pero las experiencias prácticas revelan, que un exceso de datos almacenados y un C deficiente procedimiento para actualizar estos datos, producen indecisión, T obsolescencia y escasa confiabilidad. IA 3. No es lo mismo datos que información, un dato es una unidad mínima de EC características sobre un objeto o situación. Por si mismo no nos sirve para nada, pero PR si lo sujetamos al ciclo de la información podemos transformar el dato en información. 4. Una vez que los datos se colectan, organizan, clasifican, relacionan, evalúan y se concluyen, pasan a ser considerados como información y para que sea efectiva, la información debe ser actual y llegar a la persona adecuada en tiempo real, para ser utilizada. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 6 de 52 VERSIÓN: OCTUBRE 2024 RUFAC G.- ¿CÓMO MEJORAR LA GESTIÓN DE INFORMACIÓN PARA QUE SEA ÚTIL? 1. Diseñando los sistemas de información fluidos, no solo para responder a las 8 peticiones recibidas, sino para proporcionar inteligencia útil que ayude a las 12 personas a resolver problemas relacionados con su trabajo y afrontar las exigencias concretas de las situaciones. 4- 22 2. Incrementando el grado de conciencia sobre la naturaleza de la búsqueda y el proceso de información; lo que implica comprender los estilos y las limitaciones PP cognoscitivas, así como la forma en que las rutinas y las defensas emocionales pueden bloquear el aprendizaje. C – 3. Favoreciendo la comprensión por parte de todos los miembros de la organización, SÉ respecto a la gestión de la información en su calidad, cantidad, protección y reserva. JO 4. Desarrollando una cultura organizacional que valore y fomente la difusión de la información y el conocimiento, hasta el punto donde se mantengan seguros. O R D N H.- MEDIDAS DE PROTECCIÓN DE LA INFORMACIÓN A EJ 1. Identificar de entre toda la información disponible, cuál es la información crítica. AL 2. Todo documento o información considerada crítica o vital debe estar debidamente A identificado con las marcas usuales de identificación de seguridad y protegida contra el R daño y el descubrimiento. VE 3. El tiempo que el material o documento esté en manos ajenas debe reducirse al mínimo, ER siempre que sea posible. C 4. Los documentos confidenciales que se encuentren en poder circunstancial del personal T especializado de apoyo que por razón de su función conoce de forma parcial un proyecto, IA informe, etc. deben estar especialmente identificados con marcas protectoras y otros EC datos que limiten su tránsito e identifiquen a la persona que lo posea. PR 5. El control de seguridad de la información también debe ser extensivo a las fases de preparación y elaboración de una nueva idea, diseño, plan, proyecto o actividad. 6. El personal autorizado o participante en un proyecto reservado tiene que quedar sometido a un control minucioso. Previamente son explorados y examinados sus antecedentes laborales y penales. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 7 de 52 VERSIÓN: OCTUBRE 2024 RUFAC 7. Al personal que circunstancialmente intervenga en la preparación de un proyecto, campaña publicitaria anterior al lanzamiento del producto, así como a los técnicos y especialistas que lo manipulan o confeccionan, deben fijárseles específicamente cuáles son sus compromisos de manera clara, firme y por escrito y ser aceptados bajo compromiso de cumplimiento. 8 12 8. Se procurará que nadie tenga conocimiento detallado, preciso y completo sobre el 4- funcionamiento y medios de trabajo. (COMPARTIMENTAR) 22 9. Se pretende que cada individuo conozca sólo su área de responsabilidad y, como máximo, PP la anexa y la que en caso de emergencia debe asumir o sustituir. C 10. El intercambio de información reservada entre el personal que elabora los nuevos planes, prototipos, estrategias, etc. con el personal que manipula la confección y el – perfeccionamiento, debe de ser cuidadosamente orientado y especialmente vigilado. SÉ 11. El intercambio profesional de ideas y conocimientos en reuniones, conferencias, JO entrevistas, cátedras, etc. en esa “necesidad de saber y conocer” deben ser, aunque no restringidos o prohibidos, sí orientados y entendidos. O R 12. Evitar discutir la información clasificada por teléfono, a menos que se sepa positivamente D con quién se habla y si el medio utilizado ofrece cierta invulnerabilidad (teléfono protegido) NA 13. Ser cuidadoso en las conversaciones casuales en los ascensores, vestíbulos, EJ restaurantes, tiendas, mientras se viaja o se toman unas copas, etc., pues tanto AL informadores, confidentes, como espías, no utilizan jamás a una sola persona, se sirven de muchas, usan procedimientos indirectos y no siempre buscan la misma clase de información. A R 14. Las áreas en donde se elabore y custodie la información clasificada deben restringirse, o VE prohibirse a aquellas personas no autorizadas. Para ello deben señalizarse claramente y ER protegerse incluso de las miradas indiscretas. C 15. El acceso, tránsito y estancia en estas áreas, debe estar claramente limitado y controlado, accediendo a las mismas sólo aquel personal debidamente autorizado, incluso T acompañado. IA EC 16. Las áreas mencionadas deben estar separadas de salones, oficinas y pasillos de tránsito libre. PR 17. Los locales, despachos, etc. que estén dentro de una zona o área declarada como protegida (restringida, reservada o prohibida) deben dar a un gran pasillo central interior y aislados entre sí para su mejor vigilancia. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 8 de 52 VERSIÓN: OCTUBRE 2024 RUFAC 18. Estas salas deben estar aisladas acústicamente para dificultar la escucha desde lugares o despachos adyacentes, en su defecto, se dispondrá continuamente de música ambiental o protección anti-escucha. 19. Si todo el edificio o complejo está considerado como área protegida, éste debe disponer 8 de dobles barreras físicas de detención alrededor de sí y ser vigilado día y noche, tanto 12 en su interior como en su periferia, por personal de seguridad armado. 4- 22 20. Se deberá disponer de distintos locales para el personal de seguridad de guarda y alerta o de descanso y de diversos controles, tanto en accesos como en interiores, y realizarlos PP en puntos fijos y móviles. C 21. El material de oficina utilizado para la elaboración de documentos, tales como cintas de máquinas electrónicas, disquetes y borradores, al término del horario de trabajo las – primeras deben quitarse de las máquinas o equipos y guardarse en lugar cerrado y los SÉ últimos destruirse. JO 22. Los prototipos, proyectos, dibujos de ingeniería, planos materiales de reproducción y otros papeles de trabajo, deben ser objeto de una especial atención y estar protegidos hasta el O momento de su destrucción o aceptación. R D 23. El material o copia sobrante, no considerado como aceptable, o aquellos documentos N caducados deben ser inmediatamente destruidos, por quien esté debidamente autorizado A y utilizando los medios establecidos previamente para tal fin (destructor o trituradores de EJ documentos, ácidos o líquidos especiales, hornos, etcétera). AL 24. Las fotocopiadoras deben de ser objeto de estricto control y su uso limitado. A 25. Las computadoras y equipos de telecomunicaciones deben ser utilizados de forma que un R observador casual, no pueda ver la información clasificada que aparece en la pantalla, en VE las hojas impresas o descubrir sus códigos de uso y acceso. ER 26. Las computadoras portátiles o lap-tops y los soportes magnéticos de información y de C datos (casetes y cintas magnéticas) deben almacenarse y guardarse en lugares a prueba de fuego y antimagnéticos, cerrados bajo llave y trasladarse al punto de trabajo sólo T cuando sea necesario. IA EC 27. Los usuarios o manipuladores del procesamiento electrónico de datos deben ser voluntariamente conscientes, de la necesidad de los controles impuestos al uso de PR microcomputadoras y el acceso a la información almacenada, y su vigilancia, incluso armada, puede llegar a ser altamente requerida y estricta. 28. Todo documento material considerado como “clasificado” una vez utilizado debe ser guardado cuidadosamente en cajas fuertes o muebles de alta seguridad o blindados. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 9 de 52 VERSIÓN: OCTUBRE 2024 RUFAC 29. En los lugares u oficinas en donde no se disponga de las mencionadas cajas fuertes con cerradura de seguridad, los citados documentos o materiales se colocarán en archivos o habitaciones cerradas con llave; sus puertas de acceso al local estarán siempre cerradas también con llave, u otro dispositivo de seguridad. En todo caso, sean o no casos de alto nivel de seguridad, debe utilizarse permanentemente un patrullaje de vigilancia. 8 12 4- 30. Cuando se deban llevar ciertos documentos clasificados como secretos para entregarlos 22 a otro organismo o entidad, o para mostrarlos en una reunión oficial, debe existir un pase especial de autorización y que este sea registrado por el personal de seguridad. La PP autorización debe especificar el tiempo concedido, una vez fenecido el plazo debe existir un sistema de alertamiento que notifique el NO retorno de la información. C 31. El personal que porta documentos sensibles, deberá ser acompañado cuando viaja en su – coche particular. No debe permitirse que viajen solos, sobre todo si llevan consigo SÉ documentos secretos. JO 32. Los documentos deberán ser transportados en una bolsa, portafolio o cartera con llave y al fin de la reunión, deben devolverse, aunque sea de noche, ya sea a la misma caja fuerte O o al destinatario, el cual le extenderá un recibo. Nunca se debe llevar al propio domicilio R particular, ni a lugar de acceso público. D N 33. Durante el proceso de desarrollo de conceptos o productos, éstos deben estar controlados A por códigos numéricos ilógicos. EJ AL 34. Durante el almacenaje o embarque de un nuevo equipo, deben tomarse las medidas de seguridad necesarias que, sin despertar sospechas, protejan dicha maniobra. A 35. El transporte o almacenaje transitorio debe también estar debidamente protegido y R custodiado. VE ER 36. Los embalajes o contenedores no deben marcarse con etiquetas que muestren el nombre, ni los códigos numéricos que lo contiene; éstos deben estar sellados con etiquetas o C precintos de seguridad numerados. T 37. La terminología usada en los documentos de embalaje o tránsito, al igual que los precintos, IA deben de ser de uso corriente y nunca usar leyendas de secreto o confidencial. EC 38. Los vehículos de transporte no deben poseer ningún tipo de marcas de identificación, solo PR aquellas del todo imprescindibles. 39. Los medios y medidas usuales de protección pueden ser tanto el uso responsable de códigos secretos, que se varían con frecuencia regular, como la protección física y las contramedidas electrónicas. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 10 de 52 VERSIÓN: OCTUBRE 2024 RUFAC 40. Deben protegerse las líneas telefónicas con detectores de escuchas y con sistemas de defensa, tales como, distorsionadores de línea, cambiadores de voz; etc. radio detectores de alta sensibilidad, capaces de descubrir las ondas que clandestinamente envían emisoras fraudulentas o espías y situados en lugares estratégicos fijos o móviles, así como aquellos otros equipos de contramedidas necesarios. 8 12 41. Como medidas complementarias de necesaria existencia, se ve la posibilidad de disponer 4- de personal y equipos que detecte las emisoras radiofónicas o los emisores o grabadores 22 ocultos, descifre códigos cifrados, cree nuevos códigos propios, localice las estaciones de escucha ilícitas, se diseñen mensajes cifrados y controle todo el uso de claves, estudie PP problemas de criptoanálisis con cerebros electrónicos, conciba, investigue y desarrolle nuevos medios electrónicos y contramedidas. C 42. El área de seguridad podría tener el control y monitoreo del personal en previsión de – chantajes, sobornos, traiciones, fugas, agentes dobles, etc. se puede servir, entre otros SÉ múltiples medios de control, para realizar una constante y rigurosa vigilancia tanto de objetos como de personas. Este personal no tiene por qué tener acceso a la lectura o JO conocimiento del material o equipos clasificados; es más, por motivos de su propia seguridad, no le interesa conocer de su contenido, ni de las claves que lo interpretan. O R 43. El personal conocedor del contenido de los documentos o de las claves que lo interpretan, D no deben de tener acceso a los locales o áreas protegidas sin previo control, autorización N y vigilancia del personal de seguridad física, canalizando o retardando con ello cualquier A intento de intrusión y fuga. EJ AL 44. En aquellas áreas protegidas, consideradas como prohibidas por contener, manipular o elaborar documentación o material considerado como “Máximo Secreto” todas las A medidas enumeradas anteriormente se aumentarán hasta el extremo que, sin rayar con R lo ilógico o inhumano, mantengan la debida protección. VE ER 45. El personal autorizado a circular o permanecer en esa área deberá sujetarse a múltiples y minuciosos controles y registros, tanto a la entrada como a la salida, por C diferentes sistemas de detección y diferente personal de seguridad. Esto último también es de aplicación para aquellos vigilantes que prestan servicio en los controles. T IA 46. La mayor protección de la información recae en la integridad de las personas, EC debiendo éstas, estar totalmente conscientes de su función y protegerse; y ser protegidas contra cualquier perturbación, ya que el espionaje puede servirse de la traición, chantaje PR y el soborno, como medios viables para husmear y sustraer datos conservados con el mayor celo y secreto. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 11 de 52 VERSIÓN: OCTUBRE 2024 RUFAC II. INFORMACIÓN SENSIBLE, PATENTES Y SECRETOS COMERCIALES 8 2.1.- INFORMACIÓN DE PROPIEDAD 12 4- 22 A. Hay muchas clases de información que a una compañía le gustaría mantener con carácter confidencial, pero no toda esta información podría clasificarse como “secretos PP comerciales”. C B. “Información de propiedad” es la información de valor, propiedad de una compañía, o – que ha sido confiada a ésta, con relación a las operaciones de la compañía y que no ha sido dada a conocer de manera pública. SÉ JO 1. Los fiduciarios, o personas que ocupan puestos especiales de confianza, tienen el deber de no divulgar información de propiedad o usar la información de propiedad para su propio beneficio sin el consentimiento del dueño. O R C. El derecho consuetudinario en los E.U.A., emplea dos enfoques para tratar la D información de propiedad: N A 1. El “concepto de propiedad” que considera que la información tiene un valor EJ independiente en caso de que se trate de un secreto comercial. AL 2. Las personas que ocupan puestos especiales de confianza tienen el deber A de no divulgar información de propiedad, o usar la información de propiedad R para su propio beneficio sin el consentimiento del dueño. Existe por tanto, VE imposición de deberes sobre estas personas, que requiere el previo conocimiento del propietario, para usar o divulgar información. Este enfoque ER trata a estas personas como “fiduciarias”, porque las consideran de especial confianza. C D. Algunos de los derechos para proteger la información de propiedad en el derecho T IA consuetudinario de los E.U.A. son: EC 1. Derecho para demandar por daños por concepto de pérdida o destrucción. PR 2. Derecho para recuperar utilidades de acuerdo con la teoría de equidad de “enriquecimiento injusto”. 3. Derecho a restringir a otro con respecto al uso de la propiedad. 4. Derecho para conservar el uso exclusivo sobre la propiedad. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 12 de 52 VERSIÓN: OCTUBRE 2024 RUFAC E. Las dos formas generales de remuneración en caso de un litigio son: 1. compensación en dinero e 2. Interdictos u órdenes judiciales de dar, o hacer. 8 12 F. Toda la información de propiedad puede ser confidencial; pero no toda la información 4- confidencial es de propiedad. 22 G. La diferencia más importante está, entre los secretos comerciales y los otros tipos de PP información de propiedad o confidencial. C H. Hay 3 amenazas amplias para la información de propiedad: – 1. Puede perderse a través de una divulgación inadvertida. SÉ 2. Puede ser robada deliberadamente por una persona externa. JO 3. Puede ser robada deliberadamente por una persona interna. O I. La “divulgación inadvertida” y la actuación negligente son las razones principales de la R pérdida de información sobre operaciones delicadas. D N A J. Una medida de protección muy importante que se utiliza para proteger datos delicados, EJ es dar a conocer los mismos solamente según se necesita conocerlos. AL K. Uno de los mayores problemas al diseñar un programa de protección de información A de propiedad es ocasionado por la gran cantidad de datos vitales procesados y R analizados electrónicamente. VE ER 2.2.- SECRETOS COMERCIALES E INDUSTRIALES E.U.A. C A. La ley de daños de los E.U.A. señala: “Un secreto comercial puede ser cualquier fórmula, patrón, dispositivo, o recopilación de información usado en una empresa y que T IA le da al dueño la oportunidad de obtener ventaja sobre los competidores, que no lo usan o no tienen conocimiento de ello. Puede ser la fórmula para un compuesto EC químico, un proceso de manufactura, tratamiento o preservación de materiales, un patrón para una máquina u otro dispositivo, o una lista de clientes. PR B. Los secretos comerciales tienen, por ley, más protección que los otros tipos de información de propiedad. Por ejemplo, una compañía puede por medio de un interdicto protegerse contra la amenaza de divulgación de un secreto comercial. Si la información no es un secreto comercial, la compensación es por daños posteriores a la divulgación y, para poder recuperar los daños, es necesario demostrar que en efecto hubo daños reales. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 13 de 52 VERSIÓN: OCTUBRE 2024 RUFAC C. Se distingue de otra información secreta porque no es un dato singular o evento efímero. Un secreto comercial es un proceso o dispositivo de uso continuo en la operación de la empresa o negocio”. 8 D. Una definición de “secreto comercial” es la “información que incluye a una fórmula, 12 patrón, recopilación, programa, dispositivo, método, técnica o proceso que: 4- 22 1. Deriva un valor económico independiente, real o potencial, al no ser conocido de manera general por otras personas que puedan lograr un valor económico PP de su divulgación o uso, que no puede ser determinada con facilidad mediante medios apropiados por otras personas; y C 2. Es objeto de esfuerzos para mantener su “condición secreta”, que son – razonables bajo las circunstancias. SÉ E. Un “secreto industrial o comercial” es parte de la información de propiedad de una JO compañía, pero no toda la información de propiedad encaja necesariamente en la definición de información que constituye un “secreto comercial”. O R F. De manera general, un secreto comercial se relaciona con la producción de bienes, D por ejemplo, una máquina o fórmula para la producción de un artículo. Puede también N relacionarse con operaciones en el campo comercial, tal como una clave para A determinar descuentos y rebajas, así como una lista de clientes o método de EJ contaduría. AL G. En los E.U.A., a los “secretos comerciales” se les proporciona un grado mayor de protección legal que a otra información de propiedad. A R VE H. La información debe cumplir con los requisitos siguientes para encajar en la definición ER requerida de un secreto comercial o industrial. C 1. Debe ser identificable de manera específica. T 2. No puede encontrarse en fuentes accesibles públicamente. IA EC 3. Debe ser dada a conocer por el propietario solamente a aquellos bajo un deber de proteger el carácter secreto (carácter fiduciario). PR 4. Las personas a las que se les permite el conocimiento de información secreta, deben saber expresamente que es confidencial. 5. Los propietarios deben poder mostrar que han establecido medidas de protección para salvaguardar el carácter secreto de los datos. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 14 de 52 VERSIÓN: OCTUBRE 2024 RUFAC I. Algunos factores que deben considerarse para determinar si existe efectivamente un secreto comercial son: 1. ¿A qué grado conoce el mundo exterior los datos? 8 2. ¿A qué grado conocen los empleados de usted los datos? 12 3. ¿Qué tipo de medidas de protección ha tomado usted para proteger el 4- carácter secreto de sus datos? 22 4. ¿Cuál es el valor de la información para usted y la competencia? PP 5. ¿Qué tanto esfuerzo y/o dinero se invirtió para desarrollar los datos? C 6. ¿Qué tan fácilmente podría la competencia adquirir legítimamente estos – datos? SÉ J. A menos que el propietario de un secreto comercial pueda proporcionar prueba de un JO cuidado diligente en la protección de un secreto comercial, dicho secreto comercial puede perderse. O R D K. No todos los datos delicados son secretos comerciales. Como ejemplo, la siguiente N información es sensible, pero no se considera secreto comercial: A EJ 1. La información sobre salarios. AL 2. Las encuestas sobre jerarquías. A 3. La evaluación de uso de clientes. R 4. Márgenes de rendimientos (obtención de utilidades) VE 5. Costos unitarios. ER 6. Cambios de personal C T L. En los Estados Unidos de Norteamérica, Los tribunales tienden a dictaminar en contra IA EC de aquellos que han actuado de mala fe, cuando está implicado el uso de información confidencial, pero debe mostrarse que el propietario hizo el mayor esfuerzo posible PR para preservar el carácter secreto de la información. M. La amenaza interna más grave a los secretos comerciales es el empleado. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 15 de 52 VERSIÓN: OCTUBRE 2024 RUFAC 2.3.- PATENTES A. Las leyes sobre patentes, marcas y propiedad industrial e intelectual, son la protección 8 gubernamental, que prevé que un inventor que desarrolle primero una nueva máquina, 12 proceso de fabricación, composición o materia, planta o diseño, que sea suficientemente novedoso y útil, puede solicitar y recibir un derecho exclusivo con 4- respecto a esa invención durante un período de 20 años en los E.U.A. 22 PP B. Tome nota de que la protección de patentes expira después de 20 años en los E.U.A, después de lo cual el mundo está en libertad de usar la invención. Por otra parte, el C secreto comercial puede aplicarse indefinidamente en tanto que continúe cumpliendo – con las pruebas con respecto a secretos comerciales. SÉ JO C. Una patente es un otorgamiento que efectúa el gobierno a un inventor, que le traspasa y otorga el derecho exclusivo a hacer, usar y vender su invención por un término de 20 O años, en los E.U.A, y 20 para México también. R D D. Las principales distinciones entre patentes y secretos comerciales son: NA EJ 1. Los requisitos para obtener una patente son específicos. AL 2. Para calificar para una patente, la invención debe ser más que novedosa y útil. Debe representar una contribución positiva, más allá de la habilidad del A promedio de las personas. R VE 3. Se requiere un nivel de novedad mucho menor en el caso de un secreto comercial. ER C 4. Un secreto comercial sigue siendo secreto en tanto que continúe T satisfaciendo las pruebas de secreto comercial, pero el derecho exclusivo IA para la protección de una patente expira después de 20 años en E.U.A. EC PR 5. Como cualquiera puede comprar una patente, no hay objetivo de espionaje industrial en una invención patentada. 6. Los secretos comerciales constituyen frecuentemente objetivo del espionaje comercial DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 16 de 52 VERSIÓN: OCTUBRE 2024 RUFAC E. Las tres categorías de amenazas existentes en la protección de bienes de información son: 1. Las intencionales, 8 2. las naturales y 12 3. Las involuntarias. 4- 22 4. Los Nuevos emprendimientos (startups), empresas en etapa inicial y empresas PP pequeñas y medianas, ricas en activos intangibles, son particularmente vulnerables a C la falsificación y la piratería. – SÉ 5. Los prototipos, modelos y elementos de prueba obsoletos deben ser destruidos, a JO modo que no se pueda realizar ingeniería inversa. O R D 6. Una marca comercial es la protección legal para palabras, nombres, símbolos, N dispositivos o imágenes aplicadas a productos o usadas en relación a bienes o A EJ servicios para identificar su origen. AL A 7. Los derechos de autor es la protección legal de la expresión de ideas en obras R literarias, artísticas y musicales. VE ER 8. La mejor manera de comenzar a abordar la seguridad por infracciones sobre C patentes, derechos de autor y marcas comerciales, es registrando esos derechos. T IA EC 9. En las fases intermedias de un proyecto, es más vulnerable la información crítica. PR 10. Es apropiado reciclar documentos que contienen información propietaria, cuando los materiales se han destruido adecuadamente. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 17 de 52 VERSIÓN: OCTUBRE 2024 RUFAC 2.4.- MECANISMOS DE PROTECCIÓN: A. Un método importante para la protección de información delicada es instrumentar un “programa de Concientización” para asegurar que todos los empleados sepan de la existencia de datos delicados en la compañía y sus responsabilidades sobre la 8 12 protección de los mismos. 4- B. La idea fundamental detrás de un sistema de gestión de seguridad de la información 22 (ISMS) es la Mejora continua. PP C. Los programas de protección de información de propiedad deben considerar: C – 1. Política formal y procedimientos. SÉ 2. Identificación, clasificación y marcado de material sensitivo, agrupando al JO menos dos categorías de información que: a. Sea crucial para la viabilidad de la empresa; O R b. No deba ser divulgada al público. D N 3. La información debe dividirse en unidades lo más pequeñas posible. A EJ 4. Nombrar empleados capacitados y autorizados para clasificar la información. AL 5. Marcar y registrar la identificación de la información o los datos. A R D. El objetivo de un programa de protección a la información de propiedad, es prevenir la VE pérdida o divulgación indebida de información. ER E. Un dispositivo de protección importante usado en los E.U.A son los “convenios de C ninguna divulgación” con empleados, en los que los empleados reconocen su responsabilidad fiduciaria. (NDA) T IA F. Un “convenio de ninguna competencia” es un acuerdo por parte del empleado para EC que al abandonar el empleo en una compañía, el empleado no acepte empleo con un competidor definido, durante un período de tiempo establecido. PR G. Cuando la información de propiedad es obtenida ilícitamente por una persona y divulgada en tal manera que otras personas obtienen conocimiento de la misma sin saber que es información secreta, o que era el secreto de otra persona, la única persona a la que el dueño puede reclamar responsabilidad legalmente es al divulgador ilícito. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 18 de 52 VERSIÓN: OCTUBRE 2024 RUFAC H. A pesar de lo señalado, si la información en cuestión es un secreto comercial, son pocas las personas que supieron de la misma, y se les notifica que tienen conocimiento de un secreto comercial, antes de que cambien de parecer en cuanto al uso de la información, es posible que se pueda mantener protegido el secreto. 8 12 4- I. También, los terceros que han sido avisados, pueden ser demandados, al igual que el 22 divulgador ilícito, si divulgan o usan la información secreta. PP J. Una vez que la información llega a manos de terceros inocentes, sin aviso para ellos C sobre su naturaleza secreta, se pierde generalmente. – SÉ K. En el caso de secretos comerciales establecidos, el dueño puede protegerse mediante el carácter “fiduciario” del empleado o un acuerdo escrito con él. JO O L. Al reconocer que la amenaza interna más grave para los secretos comerciales es el R empleado, se puede establecer medidas de protección por medio del uso de convenios D sobre carácter confidencial y patentes con los empleados. Estos convenios restringen N la capacidad del empleado para dar a conocer información sin la autorización de la A compañía. EJ AL M. Es importante que los empleados sean informados (publicitación) sobre cual es la información delicada, que es estrictamente definida como secreto comercial, así como A de la posibilidad de que su empleador o patrón puedan proceder mediante una orden R judicial para proteger la amenaza de divulgación de los secretos comerciales. VE ER N. En caso de que no se trate de un secreto comercial, la opción es la reparación de C daños después de la divulgación y, a fin de lograr la recuperación, es necesario demostrar judicialmente que ocurrió algún daño real. T IA EC O. Para la protección de los secretos comerciales será necesario probar todos los elementos siguientes: PR a. El carácter secreto de la información. b. El valor o ventaja que proporciona c. El uso en la actividad comercial del propietario. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 19 de 52 VERSIÓN: OCTUBRE 2024 RUFAC P. Los medios de prueba de los elementos necesarios de un secreto comercial varían de acuerdo con la jurisdicción territorial. Q. Antes de entablar litigio con respecto a casos de secretos comerciales que implican a 8 extrabajadores, que ahora laboran para un competidor, deben considerarse las 12 siguientes amenazas posibles: 4- 22 1. El propietario puede tener que exponer los mismos secretos que está PP intentando proteger. C 2. El costo del litigio puede ser demasiado elevado. – 3. El propietario del secreto comercial puede perder el caso legal. SÉ JO R. Las 5 contramedidas para la gestión de la infraestructura de los sistemas de información son: O R D 1. Gestión de vulnerabilidades, brechas (gaps) y parches, NA 2. Monitoreo del sistema y revisión de registros, EJ 3. Métricas de seguridad del sistema de información, AL 4. Seguridad física de la infraestructura del sistema de información, A 5. Capacitación del personal de TI en seguridad de la información. R VE S. Las normas ISO 27001 Y 27002 son las primeras normas reconocidas a nivel mundial ER para identificar un código de prácticas para la gestión de la seguridad de la C información. T IA T. De acuerdo con ISO 27002, los tres elementos de guía que deberían incluir las políticas EC de seguridad de la información, como mínimo son: PR 1. Definición de seguridad de la información y sus objetivos o alcances 2. Declaración de las intenciones de la gerencia 3. Breve explicación de las políticas, principios y normas importantes para la organización. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 20 de 52 VERSIÓN: OCTUBRE 2024 RUFAC III. DERECHOS DE AUTOR Y MARCAS REGISTRADAS: A. Los derechos de la propiedad literaria o intelectual según sea el caso son reconocidos 8 y sancionados por las leyes internacionales, federales y estatales. 12 4- B. Material identificado por el símbolo de autor © (copy rigth) Significa la marca de 22 autenticidad por la que un producto se identifica como hecho por un fabricante en PP particular y que lo distingue de todos los demás. C C. Productos o servicios identificados por un diseño único de marca registrada o el – símbolo de marca registrada “TM” (Trade Mark). Por ejemplo, el símbolo de los arcos SÉ dorados de McDonald’s ®, Coca Cola ®. JO O R IV. ACCIONES PARA LA INTELIGENCIA COMPETITIVA. D N A. La recolección y análisis de información sobre un competidor ocurren diariamente. Se A emplean generalmente técnicas legales y éticas. (BENCHMARKING) EJ AL B. La función más importante de la inteligencia con relación a la competencia es alertar a la gerencia de más alta jerarquía, respecto a cambios en el mercado a fin de evitar A sorpresas. R VE C. La recopilación y análisis de muchos elementos provenientes de muchas fuentes pueden ER proveer un cuadro exacto sobre la información de propiedad, sumamente delicado. C D. La información disponible o deseada puede buscarse o encontrarse en: T IA 1. Publicidad clasificada en periódicos diarios: EC a. Tipo de trabajadores que se necesitan; PR b. Habilidades y estudios específicos requeridos; c. El marco de tiempo para la contratación. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 21 de 52 VERSIÓN: OCTUBRE 2024 RUFAC 2. Planos y solicitudes de permisos presentados a las autoridades locales: a. Distribución exterior de las instalaciones; 8 I. Número de empleados previstos (Tamaño de los 12 estacionamientos); 4- 22 II. Capacidad de expansión futura (Tamaño de las instalaciones de tratamiento de desechos); PP III. Producción prevista (Número de puertas para embarque y C recepción); – IV. Proceso de fabricación (Permisos ambientales para descarga de SÉ afluentes). JO b. Distribución interior de las instalaciones: O I. Número de empleados previstos (Número de instalaciones R sanitarias); D N II. Capacidad de fabricación (Distribución de la línea de fabricación); A EJ III. Producción prevista (Tamaño de los espacios para embarque y AL almacenamiento); 3. Artículos de publicaciones técnicas (Procesos de fabricación que se emplearán); A R 4. Conversación con los trabajadores de los locales de ferias comerciales (Nuevos VE productos en proceso); ER 5. Presentaciones públicas por parte de ejecutivos de la más alta jerarquía (Planes C de la firma); T 6. Conversación con los trabajadores de la Construcción (Distribución de fabricación). IA EC E. En las conversaciones personales o telefónicas con empleados de la compañía, el recolector de inteligencia puede emplear con frecuencia “ingeniería social”. La anterior PR es la extracción sutil de información sin revelar el propósito verdadero de la plática. (“sacar la sopa”) F. Una vertiente rica de datos, es la información proporcionada a las dependencias gubernamentales. Es común que para reducir el esfuerzo administrativo, los empleados responsables de trámites, proporcionen un expediente entero e incluso sobrado, en lugar de la información requerida solamente. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 22 de 52 VERSIÓN: OCTUBRE 2024 RUFAC G. Recomendaciones para la información que se proporciona a instituciones gubernamentales 1. Proporcione solamente la información solicitada o requerida. 8 12 2. Según sea posible, omita toda la información delicada o de propiedad. 4- 3. Identifique la información delicada o de propiedad que se proporciona. 22 4. Obtenga un convenio con la dependencia gubernamental, en la medida de PP lo posible, para que no se revele la información delicada. 5. Antes de la entrega, haga que el personal directivo responsable, C familiarizado con la información en cuestión, revise minuciosamente el – SÉ documento. JO H. Una gran cantidad de información se da a conocer innecesariamente, debido a que las personas que la poseen, no se percatan del valor de la información con la que cuentan. O R I. Una regla básica que debe difundirse y vigilarse para todos los empleados: No revele D nunca información a nadie, que no revelaría usted a un competidor. A N J. El espionaje industrial es la obtención de información por medios ilegales. Es más EJ peligroso que la divulgación inadvertida por parte de los empleados, en el sentido de que AL se roba información sumamente valiosa para entrega a otros, quienes planean explotarla. A K. Técnicas de espionaje industrial. R VE 1. Ofertas de mejor empleo al personal ER 2. Revisión de la basura (Basurología) C 3. Intrusión o escucha electrónica (“Melladura” o Hacking) T 4. Intercepciones en cable, micrófonos y otros dispositivos para escuchar. IA 5. Infiltración o acceso no autorizado – frecuentemente con el uso de un ardid. EC 6. Involucrarse social, sentimental o sexualmente con empleados. PR 7. Ingeniería social; y 8. Acceso electrónico no autorizado (“Hacking”). DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 23 de 52 VERSIÓN: OCTUBRE 2024 RUFAC L. Según el FBI, los seis pasos para proteger una empresa del espionaje son: 1. Reconocer la amenaza (internas o externas) 2. Identificar y valorar secretos comerciales 8 3. Implementar un plan proactivo para proteger los secretos comerciales. 12 4. Dar seguridad a versiones físicas y electrónicas de los secretos comerciales 4- 5. Delimitar el conocimiento intelectual, de la “Necesidad de Saber” 22 6. Capacitar a los empleados sobre el plan de propiedad intelectual y de PP seguridad de la compañía C M. La protección por capas a la protección de la información, aplica múltiples niveles de – protección a los activos de información, garantiza que los sucesivos niveles de protección, SÉ se complementen en lugar de estar en conflicto y elabora una estrategia coordinada, que JO integre familias o grupos de medidas de protección (por ejemplo: control de acceso, O seguridad física y seguridad técnica incluye equipos y software). R D N N. El acceso a información interna se reserva solo para personal de la compañía, que hayan A firmado un acuerdo de confidencialidad. EJ AL V. PROGRAMAS DE PROTECCIÓN A LA INFORMACIÓN A R VE A. La evaluación de la vulnerabilidad se efectúa desde la perspectiva del competidor y debe considerar aspectos como: ER 1. Qué información crítica existe. C T IA 2. El período de tiempo cuando la información es crítica. Puede ser un período EC corto o puede ser durante la vida de un producto. PR 3. La identidad de los empleados y asociados indirectos que tienen acceso a la información, entre ellos consultores, proveedores, clientes, distribuidores y otros. Qué información tienen, con inclusión de estrategias, planes, operaciones, capacidades y puntos débiles de la compañía. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 24 de 52 VERSIÓN: OCTUBRE 2024 RUFAC B. Dele importancia particular a cierta información con respecto a: 1. Producción de bienes y servicios, con inclusión de: 8 I. Datos básicos de fabricación y manuales de diseño; 12 II. Instrucciones para operación de la planta y resultados de pruebas en la 4- planta; 22 III. Reportes de producción; IV. Especificaciones de materias primas; e PP V. Investigación y desarrollo. C 2. Localización y retención de clientes, con inclusión de: – SÉ I. Planes de mercadotecnia; JO II. Listas de clientes, y III. Precios y márgenes de utilidad. O R D C. Control de información en los momentos de : AN 1. Origen EJ 2. Transmisión (LAN, mensajero, servicio postal, servicio de envíos). AL a. Tecnología para encriptar voz, datos, transmisión de faxes. A R 3. Reproducción (máquinas copiadoras, imprentas). VE 4. Almacenamiento (escritorios, gabinetes de archivos, terminal de datos ER o acceso a computadoras). 5. Uso (escritorio abierto, estación de trabajo, sala de conferencias). C T 6. Destrucción (trituradora, desintegrador, borrado de datos). IA EC D. Contramedidas que deben ponerse en práctica: PR 1. Declaraciones específicas, políticas y procedimientos, incluyendo: I. Política de escritorios despejados; II. Reconocimiento, clasificación, manejo y destrucción de información delicada; DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 25 de 52 VERSIÓN: OCTUBRE 2024 RUFAC III. Política sobre niveles de accesibilidad, IV. Aplicación del principio “necesidad de saber”. V. Procedimientos para clasificar información; 8 VI. Procedimientos para controlar la distribución de información. 12 4- 2. Firma de convenios de NO divulgación y sobre carácter confidencial con: 22 I. Empleados de tiempo completo, tiempo parcial y temporales; PP II. Contratistas; C III. Vendedores de otras compañías; – IV. Proveedores; y SÉ V. Visitantes. JO 3. Adopción de medidas de seguridad física: O R D I. Control de acceso, con inclusión de procedimientos de identificación A N y documentación del acceso físico; EJ II. Normas para contenedores de almacenamiento seguros; (quitar AL número de llave) III. Control de llaves y combinaciones de los contenedores A R IV. Controles de acceso electrónicos; VE V. Pruebas de intrusión y acceso electrónico (“hackers”). ER VI. Pantallas de advertencia en acceso a bases de datos con C información sensitiva. T VII. Uso de contramedidas tecnológicas de vigilancia y realizar IA periódicamente “barridos” de contramedidas electrónicas EC VIII. Identificación de todo el personal en las áreas sensitivas, (uso de PR códigos de colores). IX. Escolta de visitantes y solicitud de identificación a desconocidos. X. Destrucción supervisada de desechos y basura; XI. Cacheo (registro) a la salida y sistema de registro de propiedad particular. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 26 de 52 VERSIÓN: OCTUBRE 2024 RUFAC 4. Instrumentar programas de auditorías y/o inspecciones regulares, tanto internas como externas. 5. Monitoreo continuo de las actividades rutinarias en el campo comercial para 8 detectar la aparición de los datos delicados sobre la propia organización. 12 4- E. Los 5 tipos generales de vulnerabilidades de los sistemas de información son: 22 PP 1. Infraestructura de sistemas de información, C 2. Personas que utilizan la infraestructura, – SÉ 3. Personas que dan mantenimiento a la infraestructura, 4. Ejecutivos y miembros de la Alta dirección, JO 5. Procesos de gestión de la información. O R F. Controles administrativos sobre la información de propiedad clasificada: D N 1. Revisión previa a la publicación. A EJ 2. Procedimientos específicos para ferias comerciales y reuniones fuera de AL la empresa. A 3. Procedimientos para las relaciones y declaraciones con los medios de R difusión y el público. VE 4. Aviso a los nuevos empleadores del acceso y la responsabilidad que ER tenía el antiguo empleado respecto a la información. C 5. Fijar plazos de retención de los archivos y destruirlos según los plazos. T IA G. Medidas básicas sobre control de los Empleados en materia de seguridad en la EC información de propiedad PR 1. Verificación y evaluación de antecedentes previa a la contratación. 2. Firma de acuerdos de no-divulgación y no-competencia. 3. Información sobre las regulaciones de Protección de Información de Propiedad (PIP) en la inducción a empleados nuevos o temporales. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 27 de 52 VERSIÓN: OCTUBRE 2024 RUFAC 4. Información relativa a las regulaciones de Protección de Propiedad en el manual de operaciones de puesto de cada empleado. 5. Instrumentar programas para despertar la conciencia, en el momento de 8 dar el empleo y periódicamente. Los empleados deben firmar formas 12 que registren su asistencia y que entienden la naturaleza del material 4- clasificado como sensible, abarcando los puntos de: 22 I. Existencia y necesidad de un programa PIP PP II. Reconocimiento de información sensitiva a su cargo. C III. Uso y disposición adecuada de la información sensitiva. – IV. Denuncia de desviaciones e irregularidades sobre la SÉ información de propiedad de la Empresa JO V. Identificación y entrega de tarjetas con nombre y restricciones de seguridad sobre los empleados. O R VI. Procedimientos de seguridad y registro para llamadas D telefónicas, hacia y desde la empresa A N VII. Registro de documentos sensible a cargo de un empleado. EJ VIII. Preguntas relativas a la seguridad durante las entrevistas AL previas a la desvinculación del empleado a la empresa. A R 6. Procedimientos para monitorear el comportamiento de los empleados VE que ya ocupan cargos en la empresa ER H. Medidas básicas sobre control de otro tipo de personas, en materia de seguridad en la C información. T IA 1. Control documental y físico sobre todo visitante. EC 2. Acuerdos de no-divulgación con proveedores, contratistas y visitantes. PR 3. Investigaciones sobre antecedentes de “ debido desempeño ” (Due Diligence) con otros clientes de los prospectos a proveedor. 4. Considerar la difusión de las regulaciones sobre la Protección de Información de propiedad en las acciones de orientación de contratistas. DOMINIO 5: SEGURIDAD EN LA INFORMACIÓN Página 28 de 52 VERSIÓN: OCTUBRE 2024 RUFAC VI. CONSIDERACIONES SOBRE INFORMACIÓN DE PROPIEDAD COMPROMETIDA. 8 A. Evaluar el daño financiero. 12 4- 22 B. Abrir una investigación para: PP 1. Determinar el método de ocurrencia del hecho; C 2. Ayudar a recuperar o asegurar el material comprometido; e – 3. Identificar a las personas implicadas. SÉ JO C. Efectuar una acción para evitar que vuelva a ocurrir. O D. Emprender acción legal, según sea apropiado para:
