Gestión de riesgos legales-seguridad jurídica de los proyectos de los programas informáticos

[pic 1]

Gestión de riesgos legales: seguridad jurídica de los proyectos de los programas informáticos

Contenido

SECCIÓN 1. INTRODUCCIÓN        3

1.1 Objetivo        3

1.2 Contexto global        3

1.3 Alcance        4

SECCIÓN 2. CLASIFICACIÓN DE LOS ACTIVOS        6

2.1 Identificación de Activos        6

2.2 Valoración de los activos        7

SECCIÓN 3. EVALUACIÓN DEL RIESGO        8

3.1 Identificación de las amenazas        8

3.2 Identificación de las vulnerabilidades        12

3.3 Identificación de los controles existentes        13

SECCIÓN 4. CUANTIFICACIÓN DEL RIESGO        14

4.1 Nivel de exposición        14

4.2 Probabilidad de ocurrencia        14

4.3 Calculo del impacto        14

SECCIÓN 5. GESTIÓN/ TRATAMIENTO DEL RIESGO        16

BIBLIOGRAFÍA        17

Sección 1. Introducción

1.1 Objetivo

Identificar los riesgos en temas de seguridad de la información, privacidad y propiedad intelectual que pueden llegar a suceder, pues tus clientes no eliminan la información no necesaria y te hacen llegar sus equipos de diversas áreas con todo tipo de documentos.

1.2 Contexto global

Hoy en día, vivimos sumergidos en una sociedad que diariamente interactúa con las tecnologías de información como parte de sus actividades cotidianas, desde el envío de correos electrónicos, compras en línea, hasta la publicación de un tema en particular en nuestras redes sociales. Si bien es cierto que la privacidad es un derecho humano, el uso del correo electrónico, tarjetas de crédito y toda aquella actividad que utilice de manera electrónica nuestros datos, ya sea en equipos personales o en aquellos que utilizamos para desempeñar nuestras labores, requiere que la privacidad de la información de cada ser humano u organización sea protegida durante el uso de estos servicios. Es por ello que la presente actividad determine la identificación de riesgos por parte del director de seguridad de la información de una empresa de mantenimiento de equipo de cómputo (Outsourcing) que incluya cualquier todo tipo de organización pequeña, mediana o grande), de tal forma que involucre el manejo de información privada y/o de carácter confidencial, garantizando siempre la confidencialidad, integridad y disponibilidad en todo momento de aquellas organizaciones contratantes de este servicio.

El Outsourcing de tecnología surge de casos como el de una empresa manufacturera que no desea invertir capital en servidores para mantener su correo electrónico, en especial si puede contratar a un proveedor especializado.

Al tercerizar, cualquier organización arrienda los equipos o servicios que necesita en su operación, desde impresoras hasta computadores de escritorio y servidores, a una fracción del costo que tendría su adquisición. Y ahora, gracias a tecnologías como la virtualización y a tendencias como la computación en la nube también reciben servicios a través de internet, que incluyen programas de software y comunicaciones unificadas.

Lo anterior, requiere del establecimiento de métodos, políticas, controles y medidas que garanticen no solo la prestación correcta del servicio, sino también del resguardo de la información almacenada en los equipos, debido a que esta puede ser crítica para la operación y continuidad del negocio tal como lo es un banco, un hospital, o una trasnacional, misma que puede encontrarse desde un servidor de producción, hasta en el equipo personal de un directivo, un ejecutivo o de una asistente.

La problemática de este tipo de servicios reside en aquellos equipos a los cuales se les aplicara algún tipo de prestación, los cuales pueden ser efectuados dentro o fuera de la organización, permitiendo de cierta forma, un acceso libre y sin restricciones a la información por parte del proveedor, contenida en dispositivos tales como servidores, laptops, equipos de escritorio e impresoras.

1.3 Alcance

El presente documento se enfoca en la determinación de los riesgos en temas de seguridad de la información, privacidad y propiedad intelectual que pueden llegar a suceder al realizar el servicio requerido. Por lo anterior, se presentará una propuesta de un análisis de riesgos enfocado en los tres rubros siguientes:

1. Seguridad de la información. Información relacionada con redes de datos, tipología, segmentos de red; e información relacionada con sistemas tales como nombres de usuarios, contraseñas, claves de acceso, versiones de sistemas operativos, entre otros, mismos que pueden ser utilizados para actividades que deriven en un delito informático.

1. Privacidad. Información de carácter privado y/o confidencial (datos personales, direcciones de los empleados o proveedores, información relacionada con proyectos, nuevos lanzamientos, clientes, datos fiscales y bancarios, entre otros más), mismos que pueden ser utilizados para llevar a cabo conductas antijuridicas y fuera del marco legal para beneficiar a un empleado u a un tercero.

1. Propiedad Intelectual. Información altamente clasificada asociada con secretos industriales, patentes, modelos de utilidad, proyectos en desarrollo, y otros más, que deriven en la venta de información a terceros (mercado negro) o a la competencia, brindando una ventaja competitiva a sus adversarios.

Los riesgos citados anteriormente, pueden derivar en un impacto legal, sobre todo el segundo y el tercero (Privacidad y Propiedad Intelectual), que, de cometerse un delito que afecte a cualquiera de estos, se aplicaran los artículos (según sea el caso) estipulados en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, por sus siglas) y aquellos descritos tanto en el Código Penal Federal como en la Ley Federal de Propiedad Industrial

...