1 Estudio de Sophos sobre proteccin de datos versin 1 9_11

Ejemplos de polticas de usuario por las

que guiarse
Polticas de proteccin de datos para los usuarios

Los directores informticos de las empresas deben formar a los usuarios y proporcionarles
herramientas que fomenten su concienciacin y, al mismo tiempo, ayuden a reducir los riesgos para
la seguridad de los datos en el trabajo diario.

Los ejemplos de polticas incluidas en este kit pueden ayudarle a identificar las prcticas ms
adecuadas y a descubrir otras reas en las que desplegar polticas para los usuarios, los datos, el
cumplimiento de las normativas del sector, etc.

Este kit incluye tres polticas:

Requisitos para los empleados
Prevencin de fugas de datos (datos en movimiento)
Cifrado completo de discos en estaciones de trabajo

Las reas personalizables de estas polticas aparecen entre corchetes [ejemplo]. Si lo desea, puede
copiar las polticas y pegar el contenido de cada una de ellas en un mensaje de correo electrnico
para enviarlo a los usuarios de la empresa.
















2 Estudio de Sophos sobre proteccin de datos versin 1 9_11




Poltica de proteccin de datos:
Requisitos para los empleados


Cmo utilizar esta poltica
Esta poltica de ejemplo describe el comportamiento que se espera de los empleados a la
hora de manejar datos y ofrece una clasificacin de los tipos de datos con los que deben
tener especial cuidado. Incluya esta poltica con la poltica de uso aceptable de la empresa,
los programas de formacin sobre seguridad y la poltica de proteccin de datos para
proporcionar a los usuarios pautas sobre los comportamientos exigidos.

1.0 Objetivo
[Empresa X] debe proteger los datos confidenciales, restringidos o delicados para evitar que
posibles fugas daen el prestigio o afecten de forma negativa a los clientes. Tanto la proteccin de
estos datos como la flexibilidad para acceder a ellos y la conservacin de la productividad son
requisitos crticos para la empresa.

Este control tecnolgico no est diseado para evitar robos maliciosos o detectar todos los datos.
Su principal objetivo es fomentar la concienciacin de los usuarios para evitar fugas accidentales.
En esta poltica se describen los requisitos para la prevencin de fugas de datos, las razones para
su uso y su finalidad.

2.0 Alcance
1. Todos los empleados, contratistas o usuarios con acceso a los datos o a los sistemas de
[empresa X].
2. Definicin de los datos protegidos (identifique los tipos de datos y proporcione ejemplos a
los usuarios para que puedan detectarlos cuando los utilicen)
Informacin de identificacin personal
Datos financieros
Datos restringidos o delicados
Datos confidenciales
Direcciones IP
3.0 Poltica: requisitos para los empleados

1. Realice los cursos de concienciacin sobre seguridad de [empresa X] y compromtase a
adherirse a la poltica de uso aceptable.
2. Si se encuentra con algn individuo desconocido, sin escolta o no autorizado en [empresa
X], comunquelo inmediatamente a [introducir la informacin correspondiente].
3. Las personas que visiten [empresa X] deben estar acompaadas por algn empleado
autorizado en todo momento. Si est encargado de acompaar a las visitas, dirjalas
solamente a las zonas adecuadas.
4. No est permitido hacer referencia a temas o datos delicados y confidenciales en pblico o
a travs de sistemas o canales de comunicacin no controlados por [empresa X]. Por
ejemplo, est prohibido utilizar sistemas externos de correo electrnico no alojados por
[empresa X] para la distribucin de datos.
5. Mantenga su escritorio organizado. Para conservar la seguridad de la informacin, no deje
ningn dato englobado en esta poltica sin atender encima del escritorio.
6. Segn la poltica de contraseas, deber utilizar una contrasea segura en todos los
sistemas de [empresa X]. Dichas credenciales deben ser exclusivas y no deben utilizarse en
otros sistemas o servicios externos.



3 Estudio de Sophos sobre proteccin de datos versin 1 9_11



7. Al finalizar el contrato, los empleados debern devolver todos los registros (en cualquier
formato) que contengan informacin personal.
8. Si se produce el extravo de cualquier dispositivo que contenga datos englobados en esta
poltica (por ejemplo, telfonos mviles, porttiles, etc.), informe de inmediato a [introducir la
informacin correspondiente].
9. Si sospecha que algn sistema o proceso no cumple la poltica o pone en peligro la
seguridad de la informacin, tiene el deber de informar a [introducir la informacin
correspondiente] para que se tomen las medidas necesarias.
10. Si se le ha concedido la capacidad de trabajar de forma remota, tome medidas de
precaucin adicionales para asegurarse de que maneja los datos adecuadamente. Solicite
ayuda a [introducir la informacin correspondiente] si no est seguro de sus
responsabilidades.
11. Asegrese de no exponer de forma excesiva los activos que contengan datos englobados
en esta poltica, por ejemplo, a la vista en el asiento trasero del coche.
12. Las transferencias de datos dentro de [empresa X] deben realizarse solamente a travs de
los mecanismos seguros proporcionados por la empresa (por ejemplo, correo electrnico,
recursos compartidos, memorias USB cifradas, etc.). [Empresa X] le proporcionar los
sistemas o dispositivos correspondientes para tal fin. No utilice otros mecanismos para el
manejo de datos englobados en esta poltica. Si tiene alguna pregunta relacionada con el
uso de cualquier mecanismo de transferencia o detecta alguno que no cumpla los requisitos
empresariales, informe a [introducir la informacin correspondiente].
13. Toda informacin transferida a cualquier dispositivo mvil (por ejemplo, memorias USB u
ordenadores porttiles) debe estar cifrada de acuerdo con las prcticas recomendadas del
sector, y las leyes y normativas correspondientes. Si tiene alguna duda sobre los requisitos,
solicite ayuda a [introducir la informacin correspondiente].






4 Estudio de Sophos sobre proteccin de datos versin 1 9_11




Poltica de proteccin de datos:
Prevencin de fugas de datos (datos en movimiento)

Cmo utilizar esta poltica
Esta poltica de ejemplo tiene como finalidad servir de gua a aquellas empresas
que deseen implementar o actualizar los controles de prevencin de fugas de datos.
Adptela a los requisitos de usabilidad o segn las normativas o los datos que necesite
proteger. Esta poltica proporciona un marco para la clasificacin de los datos que desee
controlar. Ample dicha clasificacin para englobar los activos delicados presentes en la
empresa.


Principios fundamentales
La prevencin de fugas de datos est diseada para concienciar a los usuarios sobre la
naturaleza confidencial o las posibles restricciones de los datos que transfieren.

1.0 Objetivo
[Empresa X] debe proteger los datos confidenciales, restringidos o delicados para evitar que
posibles fugas daen el prestigio o afecten de forma negativa a los clientes. Tanto la proteccin de
estos datos como la flexibilidad para acceder a ellos y la conservacin de la productividad son
requisitos crticos para la empresa.

Este control tecnolgico no est diseado para evitar robos maliciosos o detectar todos los datos.
Su principal objetivo es fomentar la concienciacin de los usuarios para evitar fugas accidentales.
En esta poltica se describen los requisitos para la prevencin de fugas de datos, las razones para
su uso y su finalidad.

2.0 Alcance
1. Todos los dispositivos de [empresa X] en los que se manejen datos de clientes, delicados o
de la empresa, e informacin de identificacin personal. Todos los dispositivos utilizados de
forma habitual para acceder al correo electrnico e Internet, o realizar otras tareas
relacionadas con el trabajo de los usuarios, y que no estn exentos de forma especfica por
razones tecnolgicas o empresariales justificadas.
2. La poltica de proteccin de la informacin de [empresa X] definir los requisitos para el
manejo de informacin y el comportamiento de los usuarios. Esta poltica aade controles
tecnolgicos a la poltica de proteccin de la informacin.
3. Excepciones: en aquellos casos en los que ciertas necesidades empresariales exijan la
exencin de esta poltica (costes, complejidad o repercusiones en otros requisitos), debe
realizarse una evaluacin de los riesgos autorizada por la gestin de la seguridad. Consulte
el proceso de Evaluacin de riesgos (incluya aqu una referencia al proceso de evaluacin
de riesgos propio de la empresa).

3.0 Poltica
1. La tecnologa de prevencin de fugas de datos (DLP) de [empresa X] detecta datos en
movimiento.
2. La tecnologa DLP identifica grandes volmenes de datos englobados en la poltica (con alto
riesgo de contener informacin delicada y que pueden provocar graves consecuencias si se
manejan de forma inadecuada). Se consideran grandes volmenes de datos aquellos que
superan los [introducir la cantidad correspondiente] registros (ajuste la cantidad al tamao
de su empresa, por ejemplo, 1 000 registros).



5 Estudio de Sophos sobre proteccin de datos versin 1 9_11



Se consideran datos englobados en la poltica: (incluya los datos vinculados a normativas o
aquellos que puedan afectar ms a su empresa. Los ejemplos siguientes resultan
adecuados para la mayora de las empresas).
a. Datos de tarjetas de crdito, nmeros de cuentas bancarias y dems informacin
financiera
b. Direcciones de correo electrnico, nombres, direcciones postales y otras
combinaciones de datos de identificacin personal
c. Documentos marcados de forma explcita como informacin confidencial de
[empresa X].
d. La prevencin de fugas de datos identifica contenido especfico como, por ejemplo:
i. Datos de ventas (principalmente, previsiones, listas de renovaciones y
listados de clientes)
ii. Informacin de identificacin personal exportada fuera de los sistemas
controlados (incluya en esta categora los datos que ms le preocupen y
que desee asegurarse de que se detectan mediante la poltica de
prevencin de fugas de datos).

3. La prevencin de fugas de datos se configurar para advertir a los usuarios cuando se
sospeche que estn transfiriendo datos delicados. Los usuarios podrn autorizar o denegar
las transferencias. De esta forma, los usuarios tienen la oportunidad de tomar las decisiones
adecuadas para proteger los datos sin afectar al funcionamiento de la empresa.
La configuracin de la solucin de prevencin de fugas de datos se modificar segn el
proceso de cambios informticos de [empresa X] y bajo la autorizacin de los encargados
de la gestin de la seguridad para identificar los ajustes necesarios en la poltica de
proteccin de la informacin y las comunicaciones de los empleados.
4. La solucin de prevencin de fugas de datos registrar los incidentes de forma centralizada
para facilitar su revisin. El departamento informtico evaluar los eventos para identificar
los datos que pueden ser delicados, las situaciones en las que se autoriz su transferencia
y los posibles usos inadecuados. El departamento de recursos humanos recibir
notificaciones sobre dichos eventos para ocuparse de ellos segn los procesos habituales y
proteger a los empleados. (Ajuste este apartado a su empresa. En algunos casos, los
encargados de realizar las evaluaciones son los propietarios de la empresa, en lugar del
departamento informtico).
5. Si cree que se ha producido una filtracin de datos, siga el procedimiento de gestin de
incidentes informticos e informe a [introducir la informacin correspondiente] (por ejemplo,
el departamento de recursos humanos, legal o encargado de la seguridad).
6. El acceso a los eventos de prevencin de fugas de datos estar restringido a una serie de
individuos concretos para proteger la privacidad de los empleados. Dichos eventos no
deben utilizarse como prueba de que un empleado haya provocado de forma accidental o
intencionada una fuga de datos, pero pueden servir como base de las investigaciones para
asegurarse de que los datos se han protegido adecuadamente.

4.0 Pautas tcnicas
Las pautas tcnicas sirven para identificar los requisitos de implementacin tcnica y suelen estar
relacionados con las tecnologas.
1. La tecnologa elegida es [introducir la informacin correspondiente].
2. El producto se configurar para detectar el movimiento de datos en navegadores,
programas de mensajera instantnea, clientes de correo electrnico, dispositivos de
almacenamiento y medios de escritura ptica.
5.0 Informes
Informes de incidentes semanales a [introducir la informacin correspondiente]
Los incidentes de alta prioridad descubiertos por el departamento informtico deben
comunicarse de forma inmediata a [introducir la informacin correspondiente]
Informes mensuales sobre el porcentaje de dispositivos que cumplen la poltica de
prevencin de fugas de datos



6 Estudio de Sophos sobre proteccin de datos versin 1 9_11








7 Estudio de Sophos sobre proteccin de datos versin 1 9_11




Poltica de proteccin de datos:
Poltica de cifrado completo de discos en estaciones de
trabajo

Cmo utilizar esta poltica
Esta poltica de ejemplo tiene como finalidad servir de gua a aquellas empresas que deseen
implementar o actualizar la poltica de control del cifrado completo de discos. Adptela a los
requisitos de usabilidad o segn las normativas o los datos que necesite proteger.

Principios fundamentales
Hoy en da, el cifrado completo de discos es una tecnologa fundamental para la mejora de
la privacidad y un requisito obligatorio de muchas normativas.

1.0 Objetivo
[Empresa X] debe proteger los datos confidenciales, restringidos o delicados para evitar que
posibles fugas daen el prestigio o afecten de forma negativa a los clientes. Adems, existen
diferentes normativas generales (tales como [introducir la informacin correspondiente]) que obligan
a la proteccin de una gran variedad de datos. Esta poltica ayuda a cumplir dichas normativas
mediante la restriccin del acceso a los datos alojados en los dispositivos [introducir la informacin
correspondiente].

Segn las definiciones incluidas en diferentes estndares de cumplimiento y prcticas
recomendadas del sector, el cifrado completo de los discos es necesario para evitar la divulgacin
de los datos si se extrava un activo. En esta poltica se definen los requisitos del cifrado completo
de discos como medida de control, adems de los procesos relacionados.

2.0 Alcance
1. Todas las estaciones de [empresa X]: ordenadores de escritorio y porttiles (segn los tipos
de datos almacenados y los mtodos fsicos de proteccin, en algunas empresas, esta
poltica afecta a los ordenadores porttiles).
2. Todos los equipos virtuales de [empresa X].
3. Excepciones: en aquellos casos en los que ciertas necesidades empresariales exijan la
exencin de esta poltica (costes, complejidad o repercusiones en otros requisitos), debe
realizarse una evaluacin de los riesgos autorizada por la gestin de la seguridad. Consulte
el proceso de Evaluacin de riesgos (referencia al proceso de evaluacin de riesgos
propio de la empresa).

3.0 Poltica
1. Todos los dispositivos englobados en la poltica debern tener activado el cifrado completo
del disco.
2. La poltica de uso aceptable de [empresa X] y los cursos de concienciacin sobre la
seguridad deben obligar a que los usuarios informen a [introducir la informacin
correspondiente] si creen que no cumplen esta poltica.
3. La poltica de uso aceptable y los cursos de concienciacin sobre la seguridad deben
obligar a que los usuarios informen a [introducir la informacin correspondiente] si se
produce el robo o extravo de cualquier dispositivo.
4. La administracin y la evaluacin del cumplimiento de la poltica de cifrado son
responsabilidad de [introducir la informacin correspondiente]. Los equipos deben enviar
informes a la infraestructura central de gestin para poder demostrar el cumplimiento
mediante registros de auditoras cuando sea necesario.



8 Estudio de Sophos sobre proteccin de datos versin 1 9_11



5. Si no es posible realizar una gestin centralizada y se utilizan funciones independientes de
cifrado (siempre y cuando la evaluacin de riesgos lo autorice), el usuario del dispositivo
debe proporcionar una copia de la clave de cifrado activa al departamento informtico.
6. [Introducir la informacin correspondiente] est autorizado a acceder a los dispositivos
cifrados para realizar tareas de investigacin, mantenimiento o en el caso de que el
empleado principal con derechos de acceso al sistema de archivos no est presente.
[Introducir la informacin correspondiente], la poltica de uso aceptable y los cursos de
concienciacin sobre la seguridad deben advertir a los usuarios sobre este requisito.
(Modifique este requisito segn la poltica de uso aceptable de la empresa o los acuerdos
con los empleados).
7. La tecnologa de cifrado debe configurarse de acuerdo a las prcticas recomendadas del
sector para que resulte efectiva contra los posibles ataques.
8. [Introducir la informacin correspondiente] registrar y auditar todos los eventos
relacionados con la seguridad para detectar accesos inadecuados a los sistemas u otros
usos malintencionados.
9. El servicio de asistencia de [introducir la informacin correspondiente] tiene permiso para
emitir desafos y respuestas fuera de banda con el fin de acceder a los sistemas en caso de
fallos, prdidas de credenciales u otros requisitos que impidan la continuidad del negocio.
Los desafos y respuestas se proporcionarn solamente en aquellos casos en los que la
identidad del usuario pueda determinarse mediante los atributos documentados en la
poltica de contraseas.
10. (Algunas empresas pueden contar con requisitos que obliguen a utilizar mtodos graduales
para la proteccin de los datos. Es posible que ciertos usuarios manejen datos
especialmente delicados y necesiten medidas de seguridad ms estrictas. Si no es el caso
de su empresa, puede eliminar este punto).
La poltica de restriccin de datos determinar un grupo de datos delicados y usuarios
especiales. Los usuarios de dicho grupo necesitarn la autorizacin de algn miembro de
[introducir la informacin correspondiente] (por ejemplo, el director informtico) para cambiar
claves o emitir desafos y respuestas. El servicio de asistencia no podr acceder a dichos
sistemas sin autorizacin. Estos sistemas tienen acceso a datos muy delicados y de uso
restringido y deben permanecer separados. Cuando la poltica de restriccin de datos y
autenticacin as lo determine, los sistemas y los usuarios debern utilizar autenticaciones
de doble factor segn el estndar [introducir la informacin correspondiente] definido. La
autenticacin tendr lugar en el entorno previo al arranque.
11. Los cambios en la configuracin se realizarn mediante el proceso de control de cambios de
[introducir la informacin correspondiente] para identificar riesgos y cambios de
implementacin importantes en la gestin de la seguridad.
4.0 Pautas tcnicas
Las pautas tcnicas sirven para identificar los requisitos de implementacin tcnica y suelen
estar relacionados con las tecnologas.
1. [Introducir la informacin correspondiente] es el producto estndar.
2. Deben utilizarse estndares criptogrficos slidos y recomendados en el sector. AES-256 es
una implementacin aprobada.
3. La BIOS se configurar con una contrasea segura (segn lo definido en la poltica de
contraseas) almacenada por el departamento informtico. El disco duro cifrado contar con
un orden de arranque fijo. Si un usuario solicita anularlo por razones de urgencia o
mantenimiento, el servicio de asistencia puede autenticar al usuario y proporcionarle la
contrasea de la BIOS. El objetivo es evitar que los usuarios no autorizados puedan
arrancar y atacar el sistema.
4. Se configurar la sincronizacin de las credenciales de Windows para que el entorno de
arranque coincida con las credenciales del usuario y solo sea necesario iniciar sesin una
vez.
5. Se utilizar un entorno de arranque previo para la autenticacin. Se utilizarn credenciales
para la autenticacin del usuario segn la poltica de proteccin de contraseas de
[introducir la informacin correspondiente]. (Si su empresa obliga a utilizar autenticaciones
de doble factor, indquelo).



9 Estudio de Sophos sobre proteccin de datos versin 1 9_11



5.0 Informes
Informe mensual del porcentaje de sistemas cifrados en comparacin con los activos
englobados en la poltica
Informe mensual del estado del cumplimiento de los sistemas cifrados y administrados
Informe mensual del nmero de activos extraviados y de la evaluacin del manejo adecuado
de dichos dispositivos