Riesgos Legales Programas Informáticos

Actividades[pic 1]

Actividad: Gestión de riesgos legales: seguridad jurídica de los proyectos de los programas informáticos

Eres el director de seguridad de la información en una empresa de mantenimiento de computadoras para grandes corporativos, como parte del servicio te llevas las máquinas a tus instalaciones para dar soporte o cambiarlas, generas respaldos de información en diversos medios y cambias equipo obsoleto por nuevo.

Identifica los riesgos en temas de seguridad de la información, privacidad y propiedad intelectual que pueden llegar a suceder, pues tus clientes no eliminan la información no necesaria y te hacen llegar sus equipos de diversas áreas con todo tipo de documentos.

Crea un sistema de gestión de riesgos enfocado a su identificación y atención.

Introducción

La presente actividad, describe la identificación de riesgos y un sistema de gestión de riesgos enfocados a su identificación y atención, de acuerdo al caso presentado en esta actividad, en el cual como director de seguridad de la información de una empresa de mantenimiento (Outsourcing) para empresas grandes, se tendrá que realizar la identificación de riesgos relacionados con las actividades en las cuales se involucra el manejo de información privada y/o confidencial de estas empresas, la cual se deberá garantizar su seguridad (integridad, confidencialidad, disponibilidad), a las empresas contratantes.

Contexto

Hoy en día las empresas de outsourcing en el área de soporte técnico y/o mantenimiento de equipos de cómputo, son comúnmente contratadas por las pequeñas e incluso, medianas y grandes empresas, lo cual involucra en estas, el establecimiento de métodos, políticas, controles y medidas que garanticen no solo la prestación correcta del servicio, sino también el aseguramiento de la información guardada en los equipos, que pueden ser tan crítica como sería la de un servidor de servicios de banca en línea, en el caso de una institución bancaria, o tan específica, como sería el caso de computadoras personales asignadas a empleados clave como directores o ejecutivos de cuentas.

Estas compañías de outsourcing realizan sus servicios tanto dentro de las instalaciones de la empresa, como fuera de, llevando en algunos casos, el traslado de equipo de cómputo (impresoras, pc, laptops, servidores) a estas compañías, estando expuesta sin las debidas medidas, la información contenida en estos.

Como se puede ver,  de acuerdo a este breve análisis anterior, a continuación se describen los siguientes riesgos a los que estas empresas están expuestas, riesgos que pueden perjudicar las diferentes actividades del negocio, o bien, hasta la existencia de la misma empresa.

Desarrollo

Los riesgos identificados de acuerdo al contexto anterior, se pueden clasificar enfocándose  en:

Alcance

1. Seguridad de la información

Información específica de redes y sistemas de cómputo (configuraciones, información de usuarios, accesos, permisos, contraseñas, detección de vulnerabilidades) que puede usarse para realizar actividades relacionadas con delitos informáticos.

1. Privacidad

Información privada y/o confidencial (datos personales, datos laborales como información de proyectos, clientes, datos fiscales, bancarios, etc.) que pueden permitir la realización de actividades perjudiciales tanto para la empresa como para su personal.

1. Propiedad intelectual

Información clasificada relacionada con productos y servicios tanto de inventiva en el caso de nuevos o de proyectos en desarrollo, como de aquellos que se encuentren ya en el mercado. Esta información puede estar expuesta a su revelación y mal uso por terceros.

Todos estos riesgos derivan en un riesgo legal, en el cual temas como el de la propiedad intelectual y la privacidad son muy claros.

Es fundamental el establecimiento de políticas como contratos con los proveedores de esta índole, con bases legales específicas, que permitan proteger la información y así evitar la exposición de esta, previniendo estos riesgos así como teniendo la metodología correcta del cómo proceder, en los casos contrarios.

En México, leyes como la de protección de datos personales en posesión de particulares, de la propiedad industrial, y como la del código penal federal, pueden fundamentar bien nuestras políticas en cuanto a la contratación y presentación de servicios de estas empresas de outsourcing de soporte técnico o mantenimiento de equipo de cómputo.

Los riesgos están asociados en gran parte, a delitos informáticos relacionados con la exposición de la información de los equipos de cómputo de la empresa, con personal de estas compañías, estos son descritos a continuación como son conocidos legalmente.

Identificación de riesgos

1. Seguridad de la información

1. Robo
2. Fraude
3. Espionaje
4. Suplantación o falsificación de identidad
5. Daño a propiedad privada (destrucción de información por ataque a TIC)

1. Privacidad

1. Divulgación de información privada y/o confidencial
2. Extorsión
3. Secuestro
4. Problemas legales (incumplimiento con cliente de convenios de secrecía o confidencialidad de la información)

1. Propiedad Intelectual

1.   Plagio
2. Piratería
3. Problemas legales (incumplimiento con cliente de convenios de secrecía o confidencialidad de la información )

Sistema de Gestión de Riesgos

Planificación

Primeramente, es de debida importancia para proteger adecuadamente la información de una organización y gestionar sus riesgos, empezar con 4 conceptos clave:

1. QUÉ

Que es lo que se debe proteger, en nuestro caso la información que se encuentra en los Activos de equipo de cómputo.

1. DÓNDE

Localización o ubicación de estos activos.

1. CÓMO

Métodos, políticas, controles y medidas para el aseguramiento de estos activos.

1. CUÁNDO

Casos específicos, como en este, en el cual equipo de cómputo es expuesto a terceros.

...