Política: Deben incorporarse las responsabilidades
específicas sobre la seguridad informática en todas las
descripciones de cargo donde los trabajadores tengan acceso a
información confidencial, valiosa o crítica.
Comentario:Esta política requiere que la gerencia
reconozca las responsabilidades de seguridad informática en todas
las descripciones de cargo de aquellos trabajadores que manejen
información confidencial, valiosa o crítica.
La Seguridad en Definiciones de Trabajo y Contratación
1. Descripción del Cargo
2. Evaluaciones de Desempeño
Política: Se debe considerar el cumplimiento de las políticas y
procedimientos de seguridad informática en todas las evaluaciones de
desempeño de los empleados.
Comentario:Esta política requiere que la gerencia decida, al
momento de hacer las evaluaciones, si el empleado tiene alguna
responsabilidad sobre seguridad informática y, si la repuesta es sí, debe
determinar si el empleado ha acatado la política y los procedimientos.
Selección de Personal y la Política
1. Información de Empleado Potencial
Política: No se debe recopilar información personal sobre un
empleado potencial, a menos que ésta sea necesaria para tomar
decisiones pertinentes al cargo.
Comentario:Esta política sostiene la privacidad de los posibles
nuevos empleados y mantiene los registros de personal en orden. Esta
política evita reclamos sobre discriminación ilegal.
2. Verificaciones de Historia Crediticia de Empleados Potenciales
Política: Se debe notificar a todos los candidatos si sus
referencias crediticias o sus antecedentes serán investigados como
parte del proceso de reclutamiento y selección, y deben recibir la
oportunidad de retirar su solicitud de empleo si no desean que la
Empresa X conozca dicha información personal.
Comentario:Esta política da a los empleados en potencia la
oportunidad de decidir revelar cierta información personal a su futuroempleador. Si deciden no revelar tal información, ellos mismos se retiran de la competencia por el empleo.
3. Información Sobre Estilo de Vida del Empleado Potencial
Política: Los candidatos a emplearse con la Empresa X no deben
estar supeditados a exámenes que revelen su estilo de vida, su afiliación
política o preferencias religiosas, a menos que esta información sea
necesaria para determinar si el candidato es adecuado para el cargo.
Comentario:Esta política evita que una organización utilice
exámenes para determinar la información sobre los candidatos que ellos
mismos no han querido revelar. La política protege la privacidad de los
individuos que solicitan un cargo y, potencialmente, evita que la Empresa
X sea demandada o reciba publicidad adversa.
4. Divulgación de Información a Solicitantes de Empleo
Política: Los detalles técnicos de sistemas informáticos tales
como direcciones de redes, diagramas de redes y software de seguridad
utilizado, no deben ser revelados a los aspirantes al empleo mientras no
hayan firmado un acuerdo de confidencialidad y también hasta que hayan
sido empleados o contratados.
Comentario:Esta política evita el uso de un nuevo tipo de
ataque, en el cual la persona se hace pasar por un aspirante a un trabajo
técnico en sistemas informáticos. El entrevistador hará una serie de
preguntas técnicas sobre el ambiente de computación, para determinar si
el solicitante tiene las destrezas para el puesto.
5. Re-empleo de Empleados Despedidos
Política: No deben reengancharse o contratarse ex-
empleados, ex-consultores y ex-contratistas despedidos, sin el
consentimiento de un vicepresidente ejecutivo.
Comentario:Entre otras cosas, esta política evita que empleados
despedidos se conviertan en consultores o contratistas de la Empresa X.
Debido a que estos individuos pueden sentir rencores hacia la
organización, es conveniente evitar ubicarlos en posiciones de confianza
en la que podrían ocasionar serios daños.
6. Período de Prueba Para Trabajadores Nuevos
Política: Todos los nuevos trabajadores y aquéllos que hayan sido re-
empleados o contratados después de una evaluación poco satisfactoria de su
desempeño, deben ser colocados en un período de prueba de seis meses
durante el cual la gerencia a quienes reportan debe seguir atentamente su
desempeño y actitud, con el propósito de tomar la decisión de retenerlos o
despedirlos.
Comentario:Esta política brinda a la gerencia un período suficiente de
tiempo para evaluar el desempeño de los empleados, y les permite despedirlos
basándose en el mal desempeño, en su negativa a seguir los controles internos
o porque de alguna forma no son considerados idóneos.
7. Fianzas de Trabajadores
Política: Todos los trabajadores con cargos de confianza
particularmente en el área de computación deben contar con una fianza por un
mínimo de $1.000.000.
Comentario:La fianza es un tipo de póliza de seguro contra delitos
como estafas, desfalcos y espionaje industrial. Las fianzas a veces se conocen
con el nombre de "fianza de fidelidad" o "póliza de fidelidad".
8. Trabajo en Proyectos Sensibles
Política: Sólo empleados con desempeño de bueno a excelente y con
antigüedad de por lo menos dos años en la Empresa X, pueden trabajar en el
desarrollo de nuevos productos y otros proyectos de alta sensibilidad.
Comentario:Esta política define quiénes pueden trabajar con la
información más confidencial, limitando los cargos a aquéllos menos propensos a
caer en sobornos, ser manipulados por un espía industrial o aprovecharse de su
posición para obtener información para luego venderla fuera de la Empresa X.
9. Convictos Violentos
Política: No deben hacerse ofertas de trabajo a individuos que hayan
sido condenados judicialmente por crímenes violentos que, de
repetirse, representarían un daño físico para los empleados o la propiedad de la
Empresa X.
Comentario:Esta política garantiza que la fuerza laboral estará
compuesta de empleados seguros y respetuosos de las leyes. La política también
asegura que los trabajadores no estarán indebidamente expuestos a la violencia
en el trabajo.
10. Cargos de Confianza en el Area de Computación
Política: Las personas que hayan sido condenadas por delitos judiciales
no deben ser empleados, contratados, promovidos o mantenidos en cargos de
confianza en el área de computación.
Comentario:Esta política asegura que las personas de quienes depende
la Empresa X son verdaderamente confiables. A pesar de que muchas personas no
están de acuerdo, argumentando que esta política no da a los delincuentes
convictos la oportunidad de reintegrarse al resto de la sociedad, la política es firme
en cuanto a no emplear a quienes no son confiables.
11. Revisión de Antecedentes
Política: Todos los trabajadores en consideración para ser colocados en
posiciones de confianza en el área de computación deben pasar la revisión de
antecedentes, la cual incluye la verificación de prontuarios
policiales, demandas, problemas crediticios, multas de tránsito y empleos
anteriores.
Comentario:Esta política informa a la gerencia que deben conocer a
quienes están empleando o contratando. Por ejemplo, si una investigación de
antecedentes revela que un individuo tiene una historia de robo bancario, la
gerencia puede reconsiderar la decisión de emplearlo.
12. Pruebas con Polígrafos
Política: Todos los trabajadores de la Empresa X en consideración para ser
colocados en posiciones de confianza en el área de computación, deben pasar la
prueba del polígrafo antes de comenzar a trabajar en su nueva posición.
Comentario:Esta política garantiza que los administradores de sistemas, de
redes y de seguridad pasarán la prueba de detección de mentiras antes de recibir
acceso a los poderosos privilegios informáticos.
13. Acceso a Información Privada
Política: Los empleados deben pasar una investigación de antecedentes
antes de recibir el acceso a información privada.
Comentario:Esta política requiere una revisión de antecedentes adicional
a la efectuada en su verificación de pre-empleo, para cada trabajador que tendrá
acceso a información personal o privada. Esta política estipula que sólo un grupo
restringido de personal debe tener acceso a ese tipo de información.
14. Información Sensible de Productos
Política: Todos los trabajadores que tendrán acceso a información
sensible de productos, tales como planes de mercadeo, especificaciones de
ingeniería o procedimientos de manufactura, deben pasar la investigación normal
de antecedentes efectuada por el departamento de Recursos Humanos.
Comentario:Esta política selecciona los secretos industriales u otra
información que pertenezca a la Empresa, y otorga el acceso a información
sensible sólo a los trabajadores que han pasado las investigaciones de
antecedentes.
15. Huellas Digitales de Empleados
Política: Antes de comenzar a trabajar, se deben tomar las huellas
digitales de los empleados potenciales que tendrán acceso a información
sensible, las cuales se utilizarán para determinar si el empleado potencial posee
prontuario policial.
Comentario:Esta política obtiene datos específicos de identificación
sobre individuos, que pueden ser comparados con la base de datos
gubernamental de delincuentes conocidos.
16. Pruebas de Honestidad y Estabilidad Emocional
Política: Todos los trabajadores en consideración para ocupar posiciones
de confianza en computación deben pasar las pruebas de honestidad y estabilidad
emocional autorizadas por el departamento de Recursos Humanos.
Comentario:Esta política garantiza que la baja gerencia aplicará pruebas
que aseguren que los trabajadores que serán ubicados en posiciones de
confianza en computación merecen dicha confianza.
17. Revisión de Antecedentes de No Empleados
Política: Los empleados temporales, los consultores, los contratistas y el
personal de organizaciones externas no deben recibir acceso a información
sensible o acceso a sistemas de información crítica, a menos que pasen por una
verificación de antecedentes proporcional a las efectuadas a los empleados
regulares.
Comentario:Esta política garantiza que los gerentes departamentales y
gerentes de proyectos no evadirán el proceso de verificación de antecedentes
exigido para todos los empleados.
18. Extranjeros
Política: No deben trabajar extranjeros en los sistemas informáticos de la
Empresa X .
Comentario:Esta política garantiza que las personas que trabajan en
sistemas informáticos internos son dignas de confianza.
19. Antiguos Hackers y Delincuentes Reformados
Política: La Empresa X no debe emplear antiguos hackers ni
delincuentes reformados para trabajar en seguridad informática o realizar trabajos
forenses.
Comentario:Esta política proporciona una clara e inequívoca guía de
reclutamiento a la gerencia. Al emplear a ex-hackers o delincuentes reformados se
asume el riesgo que estas personas vuelvan a traicionar la confianza dada.
20. Aumento Significativo de Riqueza
Política: En caso de que un trabajador de la Empresa X demuestre uninexplicable aumento de riqueza, la gerencia tiene el deber de investigar discretamenteel origen de dicha nueva riqueza.
Comentario:Esta política informa a la gerencia local que los aumentosinexplicables y significativos de riqueza pueden señalar fraude interno.
Acuerdos de Confidencialidad
1. Derechos de Propiedad
Política: Sin excepciones específicas escritas, todos los programas y la
documentación generados o proporcionados por cualquier trabajador en beneficio
de la Empresa X son propiedad de la Empresa X .
Comentario: Son frecuentes las controversias sobre la propiedad de los
programas y la documentación. Los programadores reclaman que tienen el derecho
de llevarse sus creaciones a su nuevo empleo o a clientes consultores externos.
2. Acuerdos de Confidencialidad —Organización
Política: Todos los empleados deben personalmente firmar un acuerdo de
confidencialidad con la Empresa X antes de comenzar a trabajar, o si un trabajador
ha estado trabajando sin dicho acuerdo, debe firmarlo como condición de empleo.
Comentario:La intención de esta política es evitar la divulgación de
información sensible a persona alguna, a menos que dicha persona haya
previamente firmado un acuerdo de confidencialidad (NDA, por sus siglas en
inglés).
3. Cambios en el Empleo
Política: Cuando haya cambios en la situación laboral o cambios en la
condición de trabajo de un trabajador externo, como un contratista, consultor o
temporal, el contenido del acuerdo de confidencialidad de la Empresa X debe ser
revisado con el gerente de la persona correspondiente.
Comentario: Esta política tiene la intención de recordar a los
trabajadores que ellos firmaron un acuerdo de confidencialidad, y que la Empresa
X intenta mantenerlos comprometidos con dichos términos y condiciones.
4. Acuerdos de Confidencialidad con Antiguos Patronos
Política: Los empleados que hayan trabajado en organizaciones de la
competencia deben ser alentados a respetar los acuerdos de confidencialidad que
firmaron con dichas organizaciones y ningún trabajador debe presionar a estos
empleados en el sentido de divulgar información que pueda ser beneficiosa para la
Empresa X.
Comentario: Esta política informa claramente que la Empresa X no tiene
intención de forzar a los nuevos empleados a divulgar información que es
propiedad del patrono anterior.
5. Convenios de No Competencia
Política: Al momento de emplearse en la Empresa X, todos los
empleados deben firmar un convenio de no competir con la Empresa X durante un
período de seis meses después de su separación de ella.
Comentario: Los convenios de no competir básicamente impiden a los
ex-trabajadores formar un negocio en competencia directa con su ex-patrono.
Términos y Condiciones de Empleo
1. Derechos de Propiedad Intelectual
Política: Mientras sean empleados de la Empresa X, todo el personal
debe otorgar a la Empresa X derechos exclusivos sobre las patentes, los
derechos de autor, los inventos u otra propiedad intelectual que originen o
desarrollen.
Comentario:Esta política asigna al empleador los derechos a toda
propiedad intelectual generada por los empleados. Algunos convenios de
consultores y contratistas también contienen provisiones al efecto.
2. Recuperación de la Propiedad de la Organización
Política: Los empleados, los temporales, los contratistas y los consultores
no deben recibir su pago final hasta que no hayan devuelto todo el
hardware, software, materiales de trabajo, información confidencial y cualquier otra
propiedad de la Empresa X.
Comentario: Esta política garantiza la devolución de la información
confidencial, computadores personales y cualquier otra propiedad de la Empresa X.
3. Empleados Que Viajan Conjuntamente
Política: Los empleados no deben abordar el mismo avión si ello implica
que tres o más directivos, cinco o más empleados, o dos o más ingenieros del
mismo departamento estarían en el mismo vuelo.
Comentario: Esta política implícitamente reconoce que uno de los más
importantes activos de una organización es el conocimiento de sus empleados.
4. Informantes Internos
Política: De vez en cuando la Empresa X utiliza informantes, quienes
pueden ser ubicados en diversas posiciones internas y que aparentan ser como
cualquier otro trabajador, pero sin notificarles a otros trabajadores su presencia o
la naturaleza del trabajo que efectúan tales informantes.
Comentario: Esta política disuade a los trabajadores de cometer
delitos, abusos y otros actos contrarios a la política organizacional o las leyes
locales.
5. Inteligencia Competitiva
Política: Cuando se recopile información sobre la competencia, el
personal de la Empresa X, o cualquier persona designada para recoger dicha
información en representación del personal de la Empresa X, no debe mentir nunca
o falsificar su identidad.
Comentario: Esta política evita algunas prácticas cuestionables en donde
la persona posa como si fuera legítimamente elegible para recibir cierta
información, cuando en realidad no lo es.
6. Distribución de los Registros del Personal
Política: Con el fin de permitir a cada empleado familiarizarse con la
información y garantizar que no contenga errores, cada empleado debe recibir una
copia de su archivo personal una vez al año.
Comentario: Suministrar al empleado una copia gratis de su propio
archivo es una forma de reducir los reclamos sobre reportes inexactos, y una
manera de garantizar que la información está actualizada y es exacta.
7. Información Sobre Salud y Seguridad
Política: La gerencia debe dar a conocer plenamente a los trabajadores
correspondientes, los resultados de las pruebas de sustancias tóxicas y cualquier
otra información relacionada con la salud y seguridad de los trabajadores.
Comentario: Esta política está relacionada con la política del "derecho
del trabajador a estar informado" sobre peligros en el sitio de trabajo. Esta política
evita las demandas.
Adiestramiento de Usuarios
Educación y Adiestramiento en Seguridad Informática
1. Exámenes Sobre las Políticas
Política: Los usuarios no deben tener acceso a los sistemas informáticos
de la Empresa X, a menos que hayan leído la Política de Seguridad Informática y
tomado un pequeño examen que demuestre claramente que entienden el material
descrito en dicha política.
Comentario: Uno de los mayores problemas con las políticas de
seguridad informática gira en torno a saber si los usuarios han leído y entendido las
políticas.
2. Políticas y Procedimientos Relativos a la Privacidad
Política: Con excepción de los relativos al manejo de datos privados de las
personas, las políticas y procedimientos de seguridad informática deben ser
revelados sólo a los trabajadores de la Empresa X y a terceros seleccionados, tales
como los auditores, quienes tienen una necesidad legítima de negocio sobre esta
información.
Comentario: Esta política tiene que ver con la política aparentemente
contradictoria que establece que la información sobre seguridad debe ser restringida
solamente a los internos, pero puede ser revelada a los externos.
3. Adiestramiento para Acceso Remoto
Política: Los trabajadores de la Empresa X deben completar y aprobar un
curso de adiestramiento de acceso remoto a los sistemas, antes de recibir el
privilegio de acceso a una red conmutada.
Comentario: Al reconocer los problemas de seguridad asociados con el
sistema de teletrabajo y otros tipos de sistema de acceso remotos, esta política
insiste que todos los usuarios de las facilidades de acceso remoto a la Empresa X
deben estar adecuadamente adiestrados.
4. Adiestramiento en Internet
Política: Los trabajadores pueden acceder a Internet a través de los
servicios de la Empresa X sólo si han sido autorizados por la gerencia del
departamento y han completado un curso de adiestramiento en políticas y
prácticas de Internet.
Comentario: Esta política evita el uso ilimitado de Internet por los
trabajadores de la Empresa X. Debido a que el uso de Internet presenta una
cantidad de problemas serios de seguridad, es apropiado un curso separado de
adiestramiento.
5. Panfleto sobre Políticas de Seguridad Informática
Política: Antes o en su primer día de trabajo, todos los nuevos
trabajadores de la Empresa X deben recibir una copia del folleto informativo de la
política de seguridad informática y hacerles saber que deben satisfacer los
requisitos descritos en el folleto.
Comentario: Esta política garantiza que todos los nuevos trabajadores
conocen las reglas de seguridad informática, las han leído y entienden que deben
cumplirlas.
6. Adiestramiento en Sistemas de Producción
Política: Los trabajadores de la Empresa X no deben utilizar software para
los procesos de producción del negocio, a menos que hayan completado y
aprobado el adiestramiento autorizado para dicho software.
Comentario: Esta política requiere que los trabajadores completen un
adiestramiento autorizado previo a la utilización del software que afecta las
operaciones de producción.
7. Adiestramiento Técnico y Educación Continua
Política: Todo el personal técnico de los sistemas informáticos debe tener
suficiente adiestramiento inicial y educación continua en todos los aspectos críticos
de su trabajo, incluyendo seguridad, aseguramiento de la calidad y relaciones con
el cliente.
Comentario: Esta política garantiza que el personal técnico de
informática obtendrá la educación y adiestramiento necesarios para efectuar un
trabajo adecuado, incluyendo el hecho de hacer su trabajo con la seguridad
adecuada.
8. Responsabilidad en la Seguridad Informática
Política: La responsabilidad de la seguridad informática del día a día
debe ser tarea de cada trabajador y no sólo del departamento de Seguridad de
Informática.
Comentario: El propósito de esta política es aclarar el hecho de que la
seguridad informática es multidisciplinaria, multidepartamental y
multiorganizacional por naturaleza.
Respuesta a Incidentes y Anomalías de Seguridad
Reporte de Incidentes de Seguridad
1. Pérdida o Divulgación de Información Sensible
Política: Si la información sensible se pierde o se divulga a personas no
autorizadas, o existe una sospecha de haberse perdido o divulgado a terceros no
autorizaInformática deben ser notificados inmediatamente.
Comentario: dos, tanto su Propietario como el personal apropiado de
Seguridad Es necesaria la pronta notificación de la pérdida o divulgación de la
información confidencial.
2. Divulgación de las Vulnerabilidades del Sistema Informático
Política: La información específica sobre las vulnerabilidades del sistema
informático, tales como los detalles de una reciente intromisión en el sistema, no
deben ser distribuidas a personas que no tienen una necesidad demostrada de
conocerla.
Comentario: Esta política permite saber a las pocas personas que tienen
acceso a la información sobre vulnerabilidades del sistema informático, que la
divulgación de esta información debe estar estrictamente controlada.
3. Explotación de la Vulnerabilidad del Sistema y Datos de la Víctima
Política: El personal de la Empresa X no debe divulgar información acerca
de individuos, organizaciones, métodos específicos utilizados para sacar
provecho, o sistemas específicos que han sido dañados por delitos y abusos en
computación.
Comentario: Esta política es apropiada para proveedores de productos y
servicios para sistemas informáticos.
4. Identidad del Informante de Violaciones y Problemas
Política: Los trabajadores que reporten al departamento de Seguridad un
problema de seguridad, vulnerabilidad, o una condición no ética dentro de la
Empresa X pueden, a su discreción, mantener su identidad en estricta reserva.
Comentario: Esta política estimula a los denunciantes a revelar
irregularidades, problemas de control y otros asuntos de seguridad.
5. Reportes Externos de Violaciones
Política: A menos que la ley o los reglamentos exijan reportar las
infracciones de seguridad informática a las autoridades externas, la
gerencia, conjuntamente con representantes del departamento Legal.
Comentario: Muchas organizaciones se abstienen de reportar delitos de
computación porque la vergüenza pública, el costo y la desviación de recursos de
personal sobrepasan los beneficios.
Arriola Cortes Wilfrido
Martínez Ovando Eriván
Auditoria en Informática
Top Related