POLITICAS

Ejemplos de políticas de usuario por las que guiarse

Políticas de protección de datos para los usuarios

Los directores informáticos de las empresas deben formar a los usuarios y proporcionarles herramientas que fomenten su concienciación y, al mismo tiempo, ayuden a reducir los riesgos para la seguridad de los datos en el trabajo diario.

Los ejemplos de políticas incluidas en este kit pueden ayudarle a identificar las prácticas más adecuadas y a descubrir otras áreas en las que desplegar políticas para los usuarios, los datos, el cumplimiento de las normativas del sector, etc.

Este kit incluye tres políticas:

• Requisitos para los empleados

• Prevención de fugas de datos (datos en movimiento)

• Cifrado completo de discos en estaciones de trabajo

Las áreas personalizables de estas políticas aparecen entre corchetes [ejemplo]. Si lo desea, puede copiar las políticas y pegar el contenido de cada una de ellas en un mensaje de correo electrónico para enviarlo a los usuarios de la empresa.

Política de protección de datos:

Requisitos para los empleados

Cómo utilizar esta política

Esta política de ejemplo describe el comportamiento que se espera de los empleados a la hora de manejar datos y ofrece una clasificación de los tipos de datos con los que deben tener especial cuidado. Incluya esta política con la política de uso aceptable de la empresa, los programas de formación sobre seguridad y la política de protección de datos para proporcionar a los usuarios pautas sobre los comportamientos exigidos.

1.0 Objetivo

[Empresa X] debe proteger los datos confidenciales, restringidos o delicados para evitar que posibles fugas dañen el prestigio o afecten de forma negativa a los clientes. Tanto la protección de estos datos como la flexibilidad para acceder a ellos y la conservación de la productividad son requisitos críticos para la empresa.

Este control tecnológico no está diseñado para evitar robos maliciosos o detectar todos los datos. Su principal objetivo es fomentar la concienciación de los usuarios para evitar fugas accidentales. En esta política se describen los requisitos para la prevención de fugas de datos, las razones para su uso y su finalidad.

2.0 Alcance

1. Todos los empleados, contratistas o usuarios con acceso a los datos o a los sistemas de [empresa X].

2. Definición de los datos protegidos (identifique los tipos de datos y proporcione ejemplos a los usuarios para que puedan detectarlos cuando los utilicen)

• Información de identificación personal

• Datos financieros

• Datos restringidos o delicados

• Datos confidenciales

• Direcciones IP

3.0 Política: requisitos para los empleados

1. Realice los cursos de concienciación sobre seguridad de [empresa X] y comprométase a adherirse a la política de uso aceptable.

2. Si se encuentra con algún individuo desconocido, sin escolta o no autorizado en [empresa X], comuníquelo inmediatamente a [introducir la información correspondiente].

3. Las personas que visiten [empresa X] deben estar acompañadas por algún empleado autorizado en todo momento. Si está encargado de acompañar a las visitas, diríjalas solamente a las zonas adecuadas.

4. No está permitido hacer referencia a temas o datos delicados y confidenciales en público o a través de sistemas o canales de comunicación no controlados por [empresa X]. Por ejemplo, está prohibido utilizar sistemas externos de correo electrónico no alojados por [empresa X] para la distribución de datos.

5. Mantenga su escritorio organizado. Para conservar la seguridad de la información, no deje ningún dato englobado en esta política sin atender encima del escritorio.

6. Según la política de contraseñas, deberá utilizar una contraseña segura en todos los sistemas de [empresa X]. Dichas credenciales deben ser exclusivas y no deben utilizarse en otros sistemas o servicios externos.

7. Al finalizar el contrato, los empleados deberán devolver todos los registros (en cualquier formato) que contengan información personal.

8. Si se produce el extravío de cualquier dispositivo que contenga datos englobados en esta política (por ejemplo, teléfonos móviles, portátiles, etc.), informe de inmediato a [introducir la información correspondiente].

9. Si sospecha que algún sistema o proceso no cumple la política o pone en peligro la seguridad de la información, tiene el deber de informar a [introducir la información correspondiente] para que se tomen las medidas necesarias.

10. Si se le ha concedido la capacidad de trabajar de forma remota, tome medidas de precaución adicionales para asegurarse de que maneja los datos adecuadamente. Solicite ayuda a [introducir la información correspondiente] si no está seguro de sus responsabilidades.

11. Asegúrese de no exponer de forma excesiva los activos que contengan datos englobados en esta política, por ejemplo, a la vista en el asiento trasero del coche.

12. Las transferencias de datos dentro de [empresa X] deben realizarse solamente a través de los mecanismos seguros proporcionados por la empresa (por ejemplo, correo electrónico, recursos compartidos, memorias USB cifradas, etc.). [Empresa X] le proporcionará los sistemas o dispositivos correspondientes para tal fin. No utilice otros mecanismos para el manejo de datos englobados en esta política. Si tiene alguna pregunta relacionada con el uso de cualquier mecanismo de transferencia o detecta alguno que no cumpla los requisitos empresariales, informe a [introducir la información correspondiente].

13. Toda información transferida a cualquier dispositivo móvil (por ejemplo, memorias USB u ordenadores portátiles) debe estar cifrada de acuerdo con las prácticas recomendadas del sector, y las leyes y normativas correspondientes. Si tiene alguna duda sobre los requisitos, solicite ayuda a [introducir la información correspondiente].

Política de protección de datos:

Prevención de fugas de datos (datos en movimiento)

Cómo utilizar esta política

Esta política de ejemplo tiene como finalidad servir de guía a aquellas empresas que deseen implementar o actualizar los controles de prevención de fugas de datos. Adáptela a los requisitos de usabilidad o según las normativas o los datos que necesite proteger. Esta política proporciona un marco para la clasificación de los datos que desee controlar. Amplíe dicha clasificación para englobar los activos delicados presentes en la empresa.

Principios fundamentales

La prevención de fugas de datos está diseñada para concienciar a los usuarios sobre la naturaleza confidencial o las posibles restricciones de los datos que transfieren.

1.0 Objetivo

[Empresa X] debe proteger los datos confidenciales, restringidos o delicados para evitar que posibles fugas dañen el prestigio o afecten de forma negativa a los clientes. Tanto la protección de estos datos como la flexibilidad para acceder a ellos y la conservación de la productividad son requisitos críticos para la empresa.

Este control tecnológico no está diseñado para evitar robos maliciosos o detectar todos los datos. Su principal objetivo es fomentar la concienciación de los usuarios para evitar fugas accidentales. En esta política se describen los requisitos para la prevención de fugas de datos, las razones para su uso y su finalidad.

2.0 Alcance

1. Todos los dispositivos de [empresa X] en los que se manejen datos de clientes, delicados o de la empresa, e información de identificación personal. Todos los dispositivos utilizados de forma habitual para acceder al correo electrónico e Internet, o realizar otras tareas relacionadas con el trabajo de los usuarios, y que no estén exentos de forma específica por razones tecnológicas o empresariales justificadas.

2. La política de protección de la información de [empresa X] definirá los requisitos para el manejo de información y el comportamiento de los usuarios. Esta política añade controles tecnológicos a la política de protección de la información.

3. Excepciones: en aquellos casos en los que ciertas necesidades empresariales exijan la exención de esta política (costes, complejidad o repercusiones en otros requisitos), debe realizarse una evaluación de los riesgos autorizada por la gestión de la seguridad. Consulte el proceso de Evaluación de riesgos (incluya aquí una referencia al proceso de evaluación de riesgos propio de la empresa).

3.0 Política

1. La tecnología de prevención de fugas de datos (DLP) de [empresa X] detecta datos en movimiento.

2. La tecnología DLP identifica grandes volúmenes de datos englobados en la política (con alto riesgo de contener información delicada y que pueden provocar graves consecuencias si se manejan de forma inadecuada). Se consideran grandes volúmenes de datos aquellos que superan los [introducir la cantidad correspondiente] registros (ajuste la cantidad al tamaño de su empresa, por ejemplo, 1 000 registros).

Se consideran datos englobados en la política: (incluya los datos vinculados a normativas o aquellos que puedan afectar más a su empresa. Los ejemplos siguientes resultan adecuados para la mayoría de las empresas).

...