Generalidades:
Dentro
de las organizaciones se encuentran varios riesgos de tipo legal y penal que
pueden llevar a acarrear multas, sanciones como el cierre total de la entidad y
retención de sus activos informáticos, por eso se tiene que llevar un control
constante frente a las posibles vulnerabilidades o amenazas a las que se
encuentra dicha empresa, para esto se
encuentran desarrolladas leyes y
normas que en algunos casos se conocen, pero no se aplican de la manera que se
encuentra estipulada, lo que se busca es dar a conocer en que pueden llegar a
incurrir las empresas y sus directos administrativos de la información como
pueden ser los ingenieros de sistemas o los que están encargados de la
información en la organización, para ello se quiere dar a conocer las siguientes
políticas que ayuden a estar preparadas
a las empresas y directos responsables de la información con el
conocimiento y aplicación propias del tema de la legislación, para evitar el incumplimiento de las obligaciones
legales, estatutarias y de reglamentación relacionadas con la seguridad de la
información, y así saber cuál es la presunta responsabilidad del ingeniero de
sistemas y demás tratantes de la información.
Alcance:
Estas políticas de información están desarrolladas para mitigar los riesgos legales
y penales de las organizaciones en directos implicados de la información como
son los ingenieros de sistemas en primer lugar y demás tratantes de la
información, basándose en el cumplimiento de las disposiciones legales vigentes
en Colombia con el objeto de asegurar el cumplimiento de la
confidencialidad, integridad,
disponibilidad, legalidad y confiabilidad de la información y los sistemas
informáticos.
Objetivos
de la Política:
·
Dar a conocer la responsabilidad civil y
penal del ingeniero de sistemas y demás tratantes de la información dentro de
una organización o empresa.
·
Presentar alternativas para mitigar los
riesgos civiles y penales que se puedan generar mediante los delitos
informáticos en una organización.
·
Actualizar y modificar las políticas de
información con lo más reciente en legislación y normatividad con respecto a la seguridad en información.
· Prevenir
el incumplimiento de las obligaciones legales y estatutarias de las
organizaciones y responsables de la información.
Responsabilidad:
Tanto
el área de gerencia, como los ingenieros de sistemas y demás tratantes de la información serán los
encargados de gestionar estas políticas
para mantener un conocimiento estricto
dentro de toda la legislación que regula
el campo de la seguridad en la información dentro de la empresa, deberán velar
los responsables de la información por el cumplimiento y modificación de las
políticas.
6.3.1 Identificación de la legislación aplicable
Política: Documentación de requisitos legales
Para cada sistema de
información en la organización se debe definir, documentar específicamente y
mantener actualizado los requisitos legales estatutarios y reglamentarios.
Política:
Administración de políticas jurídicas
Los gerentes de la empresa
son los encargados de la autorización y
modificación de la implementación de las políticas legales y jurídicas.
Es responsabilidad del
departamento gerencial dar a conocer las estrategias de capacitación de los
tratantes de los sistemas de información con respecto a la legislación
aplicable.
Los Ingenieros de sistemas y
profesionales afines, deberán estar capacitados con respecto a la legislación
aplicable, para poder divulgar y repartir el conocimiento a todos
los trabajadores de la entidad con una responsabilidad mayor a la hora de dar a
conocer dicha información con eficiencia y veracidad por ser ellos los de más
alta responsabilidad en el tema.
Política:
Asesores jurídicos o abogados
Serán los encargados de
asesorar a la organización y directores de
la información de cómo se debe
regir y regular las leyes y normas del estado para la protección de la
información.
Los funcionarios jurídicos
de la organización y usuarios de terceras partes deben estar informados de la legislación establecida, por medio de contratos
y clausulas.
Política:
Realización de auditorias periódicas
Dentro
de la empresa u organización debe existir una Oficina de Control Interno que es
responsable de practicar auditorías periódicas sobre los sistemas y actividades
vinculadas con la gestión de activos de información y la tecnología de
información. Es su responsabilidad informar sobre el cumplimiento de las
especificaciones y medidas de seguridad de la información establecidas por esta
política y por las normas, procedimientos y prácticas que de ella surjan.
6.3.2 Protección de derechos de
propiedad intelectual
Política: Uso de software licenciado
Las organizaciones deben
encontrarse legalmente establecidas respecto al software que utilizan, primero
debe asegurarse de que los programas que se están utilizando sean originales,
es decir que no sean copias o el equipo que compro que no contenga programas
instalados sin la licencia correspondiente. Es importante que la empresa
utilice el software de la mejor forma y consulte y pida asesoría a las compañías
propietarias del software para que sus
aplicativos sean usados de la forma correcta.
Es función del gerente
llevar a cabo un proceso periódico sobre el personal encargado de los
diferentes programas de software, saber que se están utilizando dentro de la
organización y que todo esté debidamente documentado y actualizado.
Política:
Responsabilidad del departamento de licenciamiento
Para evitar el
incumplimiento de los derechos de propiedad intelectual, la empresa deberá
elaborar un departamento que cuente con una infraestructura adecuada y personal
capacitado en el tema, para manejar las licencias de los sistemas de cómputo.
Política:
Implantación de herramientas auditoras
Se debe hacer uso de herramientas
de auditoría adecuadas para identificar posibles fallas de programas no
licenciados.
Política:
Responsabilidad ética y profesional del ingeniero de sistemas
El ingeniero de
sistemas tiene la obligación de tipo
profesional y moral de utilizar e implementar software totalmente licenciado, además tiene la
responsabilidad de informar a las directivas de la empresa los posibles
procesos de actualización que se
requieran.
No se debe hacer uso de
programas desarrollados de propiedad intelectual del titular del derecho sin su
previo permiso y no deberá usar módulos
o aplicativos de software de otra entidad sin las debida autorización.
Para todos los tratantes de
la información es prohibida la distribución y utilización de programas
propietarios de la empresa, para uso lucrativo y demás actividades
profesionales externas a la organización.
Política:
Requerimientos de servicios de terceras personas
El ingeniero de sistemas
debe conseguir un acuerdo frente a la contratación por parte de empresas que
requieran sus servicios en la elaboración de algún programa de software para
que este trabajo no sea únicamente de la empresa, además evitar que se
trasfiera a otro sitio dentro o fuera de
la organización no establecido en el contrato.
Política:
Restricción de acceso a personal de la empresa:
Los empleados de la
organización que tienen un rol en el manejo de la información no tienen derecho
a instalar, modificar, actualizar o cambiar el software y demás programas
utilizados en la entidad para asuntos
laborales, para evitar el uso ilegal de programas dentro de la empresa.
6.3.3
Control de la Legislación aplicable en cuanto a la protección de registros
Política:
Administración de la protección de registros
El responsable de la
seguridad informática deberá implementar procesos adecuados para que los
registros establecidos en bases de datos se encuentren debidamente protegidos
evitando la perdida, destrucción, falsificación, acceso no autorizado y
liberación no autorizada.
Política:
Acceso no autorizado a los registros de datos
Se debe impedir el acceso no autorizado a los sistemas
de información, bases de datos y demás programas que contengan información de
vital importancia a personal de la empresa que no tenga un cargo asignado a
este departamento de tratamiento de la información.
Política:
Clausulas de responsabilidad
Se deberán firmar cláusulas
de responsabilidad sobre el manejo de información a todo el personal técnico y administrativo que define,
instala, administra y mantiene los permisos de acceso y las conexiones de red,
de igual manera al responsable de administrarlas.
Política:
Manejo del buen uso ético y profesional de programas informáticos
El personal encargado del
manejo de las bases de datos y demás programas de información deberá tener el
máximo cuidado de no borrar, modificar, eliminar o falsificar ninguno de los
datos o registros, en efecto no podrá divulgar
o compartir esta información con personas no autorizadas o que no sean
de la organización como tal.
Política:
Administrador de red de datos
El encargado de la Red de
Datos debe velar por la información contenida en todo el conjunto informático y
cumplir los requerimientos que en materia de derecho penal en cuanto a la
protección de datos.
6.3.4
Protección y privacidad de datos personales
Política:
Responsabilidad de la Privacidad y protección de la información
Es responsabilidad de la
organización velar por la privacidad y la protección de los datos personales de
sus clientes contenida en bases de datos, archivos, ficheros, medios semejantes
por medio de controles estrictos.
Política:
Recolección de datos personales:
La recolección de datos personales dentro de una empresa debe
ser pertinente y coherente con respecto
a la finalidad en que son requeridos.
Política:
Autorización del uso de los datos personales
El responsable del manejo de
la información dentro de la organización deberá pedir la previa
autorización del titular de los datos
que en este caso es un cliente o usuario, se deberá informarle cuales son los
datos recolectados y su finalidad.
Es importante resaltar que
sin autorización del titular no se podrá sustraer los datos personales.
Política:
Documentación de la autorización del uso de los datos personales
Se debe establecer la documentación
adecuada en donde se establezca la autorización de los titulares de los datos
personales para el uso de estos.
Política:
Revocatoria de la autorización o modificación de los datos
La organización debe
establecer una persona encargada o departamento encargado para atender los
reclamos y sugerencias de la desautorización y del manejo de los datos
personales de sus clientes, la respuesta a sus peticiones tiene que ser lo más
pronto posible.
Política:
Limitación temporal del uso de los datos personales
Es deber de la empresa que
el uso de los datos personales sean utilizados dentro de un tiempo
predeterminado de acuerdo con la finalidad
par los cuales se adquirieron y dependiendo al campo desarrollado, ya
sea en el administrativo, contable,
jurídico he histórico de la información.
Política:
Documentación del manejo de la información
Todo debe estar debidamente
documentado en cuanto al manejo, conservación de los datos personales de los
usuarios, dependiendo de la disposición aplicada, así como las instrucciones
que presente la superintendencia de
industria y comercio.
Política:
Manejo de datos personales de niños, niñas y
La empresa u organización no
podrá utilizar los datos personales de niños, niñas y adolescentes dentro de sus sistemas de información,
excepto cuando sean datos públicos, el manejo de estos datos deben estar bajo
un responsable de la familia, que vele por el buen uso de la información del
menor y que se asegure el respeto y cumplimiento de sus derechos fundamentales.
Política:
Implementación de políticas de tratamiento de los datos personales de usuarios
Los encargados del manejo de
la información personal dentro de una organización deben desarrollar políticas
para el tratamiento de los datos personales, con el propósito que los usuarios
la conozcan y en esta miren las posibles modificaciones, y usos de su
información personal.
Esta política de incluir
como mínimo:
·
Nombre o razón social, dirección y teléfono
del responsable del manejo de esta política de tratamiento
·
El tratamiento que se implantaran a los datos
y su objetivo final
·
Los derechos que tiene como titular
·
Responsable del departamento o área de
reclamos y dudas, para poder modificar, conocer, actualizar, suprimir y
desautorizar el manejo de los datos personales del usuario.
·
Procedimiento específico para que los
titulares de los datos personales puedan acceder, modificar y borrar su
información
·
Fecha de la actualización de la política de
tratamiento de la información, y el tiempo que estará a disposición en la base
de datos.
En caso de que no sea
posible poner la disposición esta información por medio del encargado de
administrar esta política de
tratamiento de los datos personales, deberá poner a disposición del usuario un
aviso en donde indique la existencia de
estas políticas, en este aviso se debe indicar:
·
El nombre de la empresa
·
Datos de contacto del responsable de la
modificación de datos
·
El tratamiento en la cual va a ser expuestos
los datos personales
·
Los derechos de la persona titular
·
Se debe informar al titular como acceder a la
política de modificación de datos
personales
Política:
Transferencia y transmisión de datos
personales
Es responsabilidad de la
empresa la transferencia y transmisión internacional de los datos personales
que se encuentran en bases de datos, archivos, y demás programas de
almacenamiento de información, es deber
de los responsables del manejo de
la información salvaguardar la seguridad de las bases de datos en los que se
contengan datos personales y guardar la confidencialidad respecto al uso de
esta información personal.
Política:
Responsabilidad del ingeniero de sistemas o desarrollador informático
El ingeniero de sistemas o
desarrollador informático es responsable de la creación de páginas web y
sistemas de información, por lo tanto debe sujetarse a las normas de la
organización no utilizando este software con fines delictivos de la captación
de datos personales.
Todos los tratantes de la
información contenida en bases de datos, archivos y demás programas
informáticos no podrán extraer compartir, usar, ninguno de los datos personales
allí contenidos para su uso propio o de un tercero.
6.3.5
Controles criptográficos
Política:
Responsabilidad de la implantación de controles criptográficos
Es deber de la empresa u
organización hacer uso debido de controles criptográficos para evitar que la
información sea expuesta a riesgos, siendo así que esta sea de uso simple,
integra, privada y disponible.
Política:
Uso debido de controles criptográficos
Se hará uso de controles
criptográficos en los siguientes casos:
·
Para la protección de claves de acceso a
sistemas, datos y servicios.
·
Para el envío de información específica fuera
de la empresa u organización.
·
Para la protección de información, cuando así
surja de la evaluación de riesgos realizada por el Propietario de la
Información y el Responsable de Seguridad Informática.
Política:
Procedimientos de la administración de claves
Es de vital importancia
desarrollar métodos de procedimientos
para la administración de claves, incentivar al personal encargado de estas
claves de seguridad a que se utilicen de la mejor manera con sentido común y
responsabilidad.
Se deben establecer
procedimientos para la recuperación de información cifrada en caso de pérdida o
daños de las claves.
Es responsabilidad de los
administradores de las claves en cuanto se realice un remplazo de cifrado.
El encargado del área de
informática signara una política de los controles criptográficos y el uso de las
claves.
Política:
Procedimiento para la administración de cifrado
El propietario de la
información deberá examinar cuales son los riesgos que atañen con respecto al
uso de su información, y así el Responsable de Seguridad Informática, analizara
cual es nivel requerido de protección, tomando en cuenta el tipo y la calidad
del algoritmo de cifrado utilizado y la longitud de las claves criptográficas a
utilizar.
Al implementar la Política
del Organismo en materia criptográfica, se considerarán los controles
aplicables a la exportación e importación de tecnología, se debe obtener
asesoramiento antes de transferir a otro país información cifrada o controles
criptográficos. Para ello se puede consultar a la Dirección General de
Política, de la Secretaria de Asuntos Militares, Ministerio de Defensa, a fin
de saber si el material exportable requiere algún tratamiento especial.
Política:
Procedimiento para la administración de la firma digital
Se deberá implementar el uso
de la firma digital para proporcionar protección de la autenticidad de los
documentos electrónicos, puede aplicarse cualquier tipo de documento que se
procese electrónicamente.
Se debe tomar certificados
para proteger la confidencialidad de las claves privadas.
Asimismo, es importante
proteger la integridad de la clave pública. Esta protección se provee mediante
el uso de un certificado de clave pública.
Se recomienda que las claves
criptográficas utilizadas para firmar digitalmente no sean empleadas en
procedimientos de cifrado de información. Dichas claves deben ser resguardadas
bajo el control exclusivo de su titular.
El uso de la firma digital
es válida legalmente si cumple con los siguientes requisitos es:
·
Es única a la persona que la usa.
·
Es susceptible de ser verificada.
·
Está bajo el control exclusivo de la persona
que la usa.
·
Está ligada a la información o mensaje, de
tal manera que si éstos son cambiados, la firma digital es invalidada.
·
Está conforme a las reglamentaciones
adoptadas por el Gobierno Nacional.
Las entidades de
certificación de firma digital son responsables de velar por el cumplimiento de
la legislación actual, la Superintendencia de Industria y Comercio tiene la
facultad de imponer sanciones a estas entidades, cuando se presenten
actividades infractoras.
6.3.6
Sanciones
Política:
uso de sanciones dentro de la empresa u organización
Las sanciones que se
implantaran en caso de no cumplir con la política anterior mente descrita se
desarrollaran con respecto a la Normatividad de la empresa u organización que
las esté adquiriendo para el beneficio propio, salvo aquellas que estas
tipificadas en la Legislación Colombiana serán sancionas o penalizadas con
respecto al delito cometido.
No hay comentarios:
Publicar un comentario