Controles de Seguridad de Datos de GDPR

John Kyriazoglou
Controles de seguridad
de datos de GDPR
Controles de seguridad para datos
personales– Libro 6
Controles de seguridad de datos de GDPR:
Controles de seguridad para datos personales– Libro 6
1 edición
© 2022 John Kyriazoglou & bookboon.com
ISBN 978-87-403-4074-7
2
CONTROLES DE SEGURIDAD
DE DATOS DE GDPR Contenido
CONTENIDO
Resumen 4
Prefacio 5
1 Controles de gobernanza de la seguridad 7
2 Controles físicos y ambientales 11
3 Controles de Comunicaciones de datos 15
4 Controles de equipos de oficina 21
Apéndice 1: Resumen del GDPR 23
Apéndice 2: Ejemplos de datos personales 32
Apéndice 3: Política de seguridad de la información 33
Apéndice 4: Política de protección de datos 37
Apéndice 5: Política de clasificación de datos 41
Apéndice 6: Política de cifrado de datos e información 42
Apéndice 7: Pautas de confidencialidad corporativa 46
Apéndice 8: Política de escritorio y pantalla limpios 49
Bibliografía 51
Descargo de responsabilidad 52
3
DE DATOS DE GDPR Resumen
RESUMEN
Este libro (el sexto de una serie de 10 libros) describe un conjunto de más de noventa
y nueve (99) controles de seguridad de datos (acciones de control) relacionados con más
de veinticinco (25) problemas de seguridad de la información y protección de datos de
conformidad con el GDPR (por ejemplo, física y ambiental, comunicaciones de datos,
Ordenadores personales, etc.). Los gerentes, el personal de TI, los usuarios finales, etc., pueden
implementarlos para garantizar que todos los datos personales y corporativos mantenidos
y utilizados por los sistemas y funciones comerciales de la empresa estén protegidos contra
daños, pérdidas y errores de la manera más efectiva.
Este libro se complementa con los siguientes libros de esta serie:

“Libro 1: Controles de la Organización de TI”
“Libro 2: Controles de la Administración de TI”
“Libro 3: Controles de la Arquitectura Empresarial”
“Libro 4: Controles Estratégicos de la TI”
“Libro 5: Controles del Desarrollo de Sistemas”
“Libro 7: Controles Operativos y de Apoyo del Centro de de Datos” “Libro 8: Controles
del software de sistemas”
“Libro 9: Controles de aplicaciones informáticas”
“Libro 10: Uso de Controles de TI en auditoría y consultoría”
4
DE DATOS DE GDPR Prefacio
PREFACIO
1. Introducción
Uno de los problemas más críticos en la protección de datos personales es la habilitación de
los derechos de las personas (sujetos de datos en términos de GDPR (Reglamento general de
protección de datos de la Unión Europea, consulte el Apéndice 1 para obtener un resumen)
para saber qué datos personales son procesados por una organización, mantenidos en ellos,
desafiar su precisión, limitar su uso y ser aseguró que la confidencialidad y la integridad se
mantienen en todo momento.
En todos los sistemas de información computarizados que recopilan, mantienen y procesan

datos personales valiosos y otra información corporativa, o brindan servicios a múltiples
usuarios al mismo tiempo, es necesario brindar salvaguardas de seguridad contra el acceso,
uso o modificación no autorizados de cualquier dato o archivo o TIC (Tecnología de la
información y las comunicaciones) componentes de la infraestructura.
Este es un problema muy difícil y complejo de resolver para todas las organizaciones en
todos los entornos.
Los sistemas de información computarizada y los componentes de la infraestructura de

las TIC también deben protegerse contra el uso o acceso indebidos o no autorizados de
los activos y recursos relacionados con la computadora, la interrupción de las operaciones
debido a una variedad de razones (clima, disturbios de los empleados, terrorismo, etc.) y
daños físicos.
El creciente número de aplicaciones computarizadas que involucran información valiosa y

datos o activos personales más el creciente número de acciones delictivas dirigidas contra
sistemas de información computarizados y componentes de infraestructura de TIC o
perpetradas mediante el uso de computadoras subrayan la necesidad de encontrar soluciones
efectivas al problema de seguridad informática.
Además, las preocupaciones por la privacidad y seguridad de los datos personales y el

cumplimiento de los requisitos de los nuevos marcos y regulaciones (GDPR, e-Privacy, etc.)
deben convertirse en parte integral de la planificación y el diseño de los sistemas informáticos
y sus aplicaciones para todas las organizaciones y corporaciones en todo el mundo.
5
DE DATOS DE GDPR Prefacio
2. La llegada del GDPR

Uno de los regímenes de protección de datos más recientes es, a partir de mayo de 2018,
el GDPR. El Reglamento General de Protección de Datos de la UE (GDPR) representa
un cambio significativo en el régimen de cumplimiento de la protección de datos para los
controladores de datos y procesadores de datos para los datos personales procesados para
los ciudadanos de la UE (unión Europea).
Los datos personales y otra información son activos importantes y valiosos para cualquier
organización. Los datos personales, en particular, se pueden utilizar por muchas razones
diferentes, por ejemplo, la administración del personal, la provisión de bienes o servicios
a los clientes, las estrategias de marketing, el desarrollo de un nuevo producto o servicio,
la prestación de una mejor atención médica a los pacientes, la prevención del blanqueo de
capitales, etc.
Todos estos datos necesitan protección y acciones para evitar multas y otras pérdidas
comerciales, como la desconfianza de los clientes, la reducción de la rotación, la decepción
de la marca, juicios, etc.
Para obtener un resumen de GDPR, consulte el Apéndice 1.
Estas acciones incluyen un conjunto de varios controles de seguridad que se describen a

continuación.
6
DE DATOS DE GDPR Controles de gobernanza de la seguridad
1 CONTROLES DE GOBERNANZA
DE LA SEGURIDAD
Resumen: Este capítulo incluye más de 23 acciones de control (controles) para cinco temas
relacionadas con los controles de gobernanza de seguridad (GC), tales como: Prácticas de
empleo del personal; Sensibilización y formación del personal en materia de seguridad;
Prácticas de seguridad de terceros; Controles de eliminación (registros y hardware); y controles
de respuesta a incidentes de seguridad (IC).
Tema #GC1: Prácticas de empleo del personal

GC 1.1. Verifique las referencias o verifique sus antecedentes antes de contratar empleados
que tendrán acceso a datos confidenciales.
GC 1.2. Solicite a cada nuevo empleado que firme un acuerdo para seguir los estándares de
confidencialidad y seguridad de su empresa para el manejo de datos confidenciales.
GC 1.3. Asegúrese de que comprendan que cumplir con el plan de seguridad de datos de
su empresa es una parte esencial de sus deberes.
GC 1.4. Sepa qué empleados tienen acceso a información y datos personales y sensibles.
Preste especial atención a datos como números de seguro social y números de cuenta, etc.
GC 1.5. Disponga de un procedimiento para asegurarse de que los trabajadores que dejen
su empleo o se trasladen a otra parte de la empresa ya no tengan acceso a información
confidencial.
GC 1.6. Termine sus contraseñas y recolecte llaves y tarjetas de identificación como parte
de la rutina de pago.
GC 1.7. Imponer premios relevantes para fomentar prácticas de seguridad y medidas

disciplinarias por violaciones a la política de seguridad.
7
Tema #GC2: Concientización y capacitación sobre seguridad del personal
Acción de control GC 2.1: Cultura de seguridad

a. Cree una “cultura de seguridad” en su empresa mediante el desarrollo e
implementación de un conjunto de políticas de seguridad (consulte el Apéndice
3 - 7)
b. Implemente un programa de capacitación en seguridad para empleados y
actualice a los empleados a medida que descubra nuevas amenazas, riesgos y
vulnerabilidades.
c. Asegúrese de que la capacitación incluya a todos sus empleados (regulares,
temporales, etc.).
d. Capacite a sus empleados para que reconozcan las amenazas a la seguridad y
cómo denunciar actividades sospechosas.
e. Recompense a sus empleados que le alertan sobre vulnerabilidades.
f. Informe a los empleados sobre las políticas de su empresa con respecto a
mantener la información segura y confidencial.
g. Coloque recordatorios en áreas donde se usa o almacena información sensible,
así como donde se congregan los empleados.
h. Asegúrese de que sus pólizas cubran a los empleados que trabajan a distancia o
acceden a datos confidenciales desde su casa o una ubicación fuera del sitio.
Acción de control GC 2.2: Suplantación de identidad

a. Enseñe a los empleados sobre los peligros del spear phishing.
b. Estos son correos electrónicos que contienen información que hace que los
correos electrónicos parezcan legítimos.
c. Estos correos electrónicos pueden parecer provenir de alguien dentro de su
empresa, generalmente alguien en una posición de autoridad.
d. Establecer como política de la oficina verificar de forma independiente cualquier
correo electrónico que solicite información confidencial.
e. Al verificar, no responda al correo electrónico y no utilice enlaces, números de
teléfono o sitios web incluidos en el correo electrónico.
f. Enseñe a los empleados sobre los peligros del phishing telefónico.
g. Capacítelos para que sospechen de personas desconocidas que afirmen necesitar
números de cuenta para procesar un pedido o que soliciten información de
contacto de clientes o empleados.
h. Establezca como política de la oficina verificar dos veces comunicándose con la
compañía usando un número de teléfono que sepa que es genuino.
8
Acción de control GC 2.3: Notificación

a. Solicite a los empleados que le notifiquen de inmediato si existe una posible
brecha de seguridad, como una computadora portátil perdida o robada.
Tema #GC3: Prácticas de seguridad de terceros

Acción de control GC 3.1. Antes de subcontratar cualquiera de sus funciones comerciales,
tales como: contabilidad, desarrollo de software, alojamiento web, operaciones del centro
de atención al cliente, procesamiento de datos, etc., haga lo siguiente:
a. Investigue las prácticas de seguridad de datos de la empresa (de terceros) y

compare sus estándares con los suyos.
b. Visitar y auditar sus instalaciones.
c. Abordar los problemas de seguridad para el tipo de datos que sus proveedores
de servicios manejan en su contrato con ellos.
d. Asegúrese de que sus proveedores de servicios le notifiquen sobre cualquier
incidente de seguridad que experimenten, incluso si es posible que los
incidentes no hayan llevado a un compromiso real de sus datos.
Tema #GC4: Controles de eliminación (registros y hardware)

GC 4.1. Implemente controles adecuados para lo que ya no necesita.
GC 4.2. Deseche eficazmente los registros de papel triturándolos, quemándolos o pulverizándolos

antes de desecharlos.
GC 4.3. Haga que las trituradoras estén disponibles en todo el lugar de trabajo, incluso
junto a la fotocopiadora.
GC 4.4. Cuando deseche computadoras viejas y dispositivos de almacenamiento portátiles,

use un software para borrar datos de manera segura, generalmente llamado programas de
utilidad de borrado.
GC 4.5. Asegúrese de que los empleados que trabajan desde casa sigan los mismos
procedimientos para desechar documentos confidenciales y computadoras viejas y dispositivos
de almacenamiento portátiles.
9
GC 4.6. Si utiliza informes crediticios del consumidor para fines comerciales, puede estar
sujeto a varias normas gubernamentales de eliminación, aplicables en su país o región (por
ejemplo, la regla de eliminación de la FTC, la regla de eliminación de “Residuos de equipos
eléctricos y electrónicos” de la UE, etc.).
Tema #GC5: Controles de respuesta a incidentes de seguridad

GC 5.1. Disponga de un plan para responder a los incidentes de seguridad.
GC 5.2. Designe a un miembro de alto nivel de su personal para coordinar e implementar

el plan de respuesta.
GC 5.3. Si una computadora está comprometida, desconéctela inmediatamente de su red.
GC 5.4. Investigue los incidentes de seguridad de inmediato y tome medidas para cerrar
las vulnerabilidades o amenazas existentes a la información personal.
GC 5.5. Considere a quién notificar en caso de un incidente, tanto dentro como fuera de
su organización.
GC 5.6. Es posible que deba notificar a los consumidores, las fuerzas del orden público, los
clientes, las oficinas de crédito y otras empresas que puedan verse afectadas por la infracción.
GC 5.7. Además, muchos países, estados y autoridades gubernamentales y agencias reguladoras

tienen leyes o pautas que abordan las violaciones de datos. Consulte su función legal para
asegurarse de que su plan cumpla con todos estos.
10
DE DATOS DE GDPR Controles físicos y ambientales
2 CONTROLES FÍSICOS
Y AMBIENTALES
Resumen: Este capítulo incluye más de 27 acciones de control (controles) para doce
asuntos relacionados con los controles físicos y ambientales (PE), tales como: Controles de
acceso físico de oficinas y edificios; Controles de acceso físico al centro de datos; Controles
ambientales del centro de datos; Controles de seguridad contra incendios del centro de
datos; Controles de prevención de radiación del centro de datos; Controles de energía de
emergencia del centro de datos, etc.
Tema #PE1: Controles de acceso físico de oficinas y edificios

PE 1.1. Implemente controles de acceso físico apropiados y rentables para sus edificios,
oficinas y plantas u otras áreas de almacenamiento.
PE 1.2. Indique a sus empleados qué hacer y a quién llamar si ven a una persona desconocida
en las instalaciones.
Tema #PE2: Controles de acceso físico al centro de datos

PE 2.1. Limite el acceso al centro de datos (salas de computadoras, salas de redes, salas de
cableado, infraestructura de conductos de cables, bóvedas, cables de alimentación, servidores
LAN, etc.) únicamente al personal autorizado.
PE 2.2. Asegúrese de que el personal que trabaja en el centro de datos, así como los visitantes
autorizados, estén identificados y registrados en un registro de visitantes del centro de datos.
PE 2.3. Los visitantes deben ser acompañados mientras se encuentren dentro de las áreas
más sensibles.
PE 2.4. Lo mismo debería ocurrir con el personal de mantenimiento (tanto interno como
externo).
PE 2.5. Las medidas de protección adicionales para áreas muy sensibles son: puertas
resguardadas, tarjetas de identificación, tarjetas codificadas, registros formales (todos los
visitantes firman y salen registrando todos sus detalles) y monitores de circuito cerrado
conectados a un sistema monitoreado por personal de seguridad, etc.
11
Tema #PE3: Controles ambientales del centro de datos

PE 3.1. Las áreas de la computadora deben limpiarse y desempolvarse adecuadamente.
PE 3.2. Las instalaciones y el equipo deben protegerse contra los efectos adversos del clima
(sol, lluvia, nieve, viento, etc.), fugas en las tuberías y el calamitoso resultado de un incendio
mediante el uso de un sistema de prevención de incendios.
Tema #PE4: Controles de seguridad contra incendios del centro de datos

Los controles para reducir el daño causado por el fuego deben incluir:
PE 4.1. Cajas fuertes (para almacenamiento de documentos y medios con una clasificación
de fuego de más de cuatro horas):
PE 4.2. Medidas de protección de las instalaciones informáticas (paredes, pisos y techos

deben tener una clasificación de incendio de más de dos horas);
PE 4.3. Alarmas de incendio, en el sitio y fuera del sitio, bóvedas de seguridad contra
incendios (para guardar documentos críticos y medios de respaldo), detección de humo e
ionización, detección de agua, halón u otro sistema de extinción de incendios aprobado; y
PE 4.4. Medidas del código de construcción (instalaciones informáticas que se construirán

de acuerdo con los códigos de construcción y cableado aprobados).
Tema #PE5: Controles de prevención de radiación del centro de datos

PE 5.1. El equipo de cómputo, el cableado y las salas de cómputo deben estar blindados
para contener la radiación emanada por los computadores a fin de evitar que alguna parte
externa capte todas las comunicaciones críticas y los datos transmitidos desde la distancia
del centro de datos.
Tema #PE6: Controles de energía de emergencia del centro de datos

PE 6.1. Debe instalarse un SAI (sistema de alimentación ininterrumpida) a batería para proporcionar
un funcionamiento continuo en caso de una falla total o parcial de la energía eléctrica.
PE 6.2. Este SAI puede mantener la energía durante unos minutos hasta varias horas, según
las necesidades de la organización.
12
PE 6.3. En muchos casos, también se debe instalar un generador de energía independiente y

mantenerlo en buen estado operativo para el funcionamiento de I.T. sistemas (para bancos,
hospitales, aeropuertos, puertos navales, centros de emergencia, etc.).
Tema #PE7: Práctica de escritorio limpio

PE 7.1. Exija a sus empleados que guarden archivos, cierren la sesión de sus computadoras
y cierren sus archivadores y puertas de oficina al final del día.
PE 7.2. Implemente un proceso de apagado de pantallas cuando los empleados estén fuera
de su escritorio durante cualquier período del día.
Tema #PE8: Almacenamiento externo

PE 8.1. Limite el acceso de los empleados a sus instalaciones de almacenamiento fuera del
sitio a solo aquellos con una necesidad comercial legítima y solo con una aprobación por
escrito.
PE 8.2. Mantenga un registro de sus empleados o visitantes que acceden al sitio de

almacenamiento.
Tema #PE9: Archivos en papel

PE 9.1. Instruya a los empleados para que almacenen documentos o archivos en papel, así
como CD, disquetes, unidades zip, cintas y copias de seguridad que contengan información
de identificación personal en una habitación cerrada con llave o en un archivador cerrado
con llave.
PE 9.2. Limite el acceso a los empleados con una necesidad comercial legítima. Controla
quién tiene llaves y el número de llaves.
Tema #PE10: Datos personales

PE 10.1. Indique a los empleados que guarden archivos que contengan información de
identificación personal en archivadores cerrados con llave, excepto cuando un empleado
esté trabajando en el archivo.
13
PE 10.2. Recuerde a los empleados que no deben dejar documentos, datos o archivos
confidenciales en sus escritorios cuando estén lejos de sus estaciones de trabajo.
Tema #PE11: Información confidencial

PE 11.1. Cifre la información y los datos confidenciales cuando los envíe al exterior mediante
transportistas o contratistas, o por correo electrónico u otros medios de comunicación.
PE 11.2. Proteja sus dispositivos que recopilan información confidencial, como teclados de
PIN, etc., para que los ladrones de identidad no puedan manipularlos.
Tema #PE12: Inventario de activos de TI

PE 12.1. Verifique y realice un inventario de todos los dispositivos y activos de TI para
asegurarse de que nadie los haya cambiado o manipulado.
PE 12.2. Haga lo mismo con todos los dispositivos que contienen datos personales.
14
DE DATOS DE GDPR Controles de Comunicaciones de datos
3 CONTROLES DE
COMUNICACIONES DE DATOS
Resumen: Este capítulo incluye más de 37 acciones de control (controles) para varios
temas de comunicaciones de datos (DC), tales como: Administración de red; Gestión de
cortafuegos; Protección contra escuchas e intercepciones; Gestión de dispositivos de acceso
remoto; Gestión de contraseñas, etc.
Tema #DC1: Administración de red

DC 1.1. Identificación del equipo: identifique las computadoras, los servidores y los
medios y dispositivos de almacenamiento donde se almacena información y datos personales
confidenciales.
DC 1.2. Identificación de conexiones sensibles: identifique todas las conexiones a las

computadoras, Internet, cajas registradoras electrónicas, partes externas, otros dispositivos
(como fotocopiadoras digitales, dispositivos inalámbricos como teléfonos inteligentes, tabletas
o escáneres de inventario), etc., donde almacena información sensible.
DC 1.3. Evaluación de la vulnerabilidad: realice una evaluación de la vulnerabilidad de

cada conexión a los ataques comúnmente conocidos o razonablemente previsibles. En ciertos
casos, es posible que deba utilizar software especializado y un profesional independiente para
realizar una prueba y auditoría de penetración de seguridad a gran escala.
DC 1.4. Cifrado
a. Cifre la información y los datos confidenciales que envía a terceros a través de
redes públicas (como Internet);
b. Cifre la información y los datos confidenciales almacenados en su red
informática o en discos o dispositivos de almacenamiento portátiles utilizados
por sus empleados; y
c. Cifre las transmisiones de correo electrónico dentro de su empresa si contienen
datos e información de identificación personal.
DC 1.5. Anti-Malware: Ejecute regularmente programas antivirus y anti-spyware actualizados

en computadoras individuales y en servidores de su red.
15
DC 1.6. Software no autorizado: restrinja la capacidad de sus empleados para descargar

software no autorizado. El software descargado en dispositivos que se conectan a su red
(computadoras, teléfonos inteligentes y tabletas) podría usarse para distribuir malware.
DC 1.7. Servicios no utilizados: escanee computadoras en su red para identificar y perfilar

el sistema operativo y los servicios de red abiertos. Si encuentra servicios que no necesita,
desactívelos para evitar ataques u otros posibles problemas de seguridad.
DC 1.8. Conexión segura: cuando reciba o transmita información de tarjetas de crédito

u otros datos financieros y personales confidenciales, utilice Secure Sockets Layer (SSL) u
otra conexión segura que proteja la información en tránsito.
DC 1.9. Seguridad de las aplicaciones web:

a. Proteja la seguridad de sus aplicaciones web realizando pruebas de penetración e
implementando codificación segura.
b. La codificación segura es la práctica de escribir código para sistemas,
aplicaciones y páginas web de manera que se garantice la confidencialidad,
integridad y accesibilidad de los datos y la información relacionados con esos
sistemas.
c. Los programadores que dominan las prácticas de codificación segura pueden
evitar fallas de seguridad comunes en los lenguajes de programación y seguir las
mejores prácticas para ayudar a evitar el creciente número de ataques dirigidos
que se centran en las vulnerabilidades de las aplicaciones.
Tema #DC2: Administración de firewall

DC 2.1. Utilice el firewall como parte de un programa general de seguridad de la información
que incluye integridad de datos, integridad de aplicaciones y confidencialidad y autenticación
de datos.
DC 2.2. Identifique el tipo de firewall que mejor se adapta a las necesidades de seguridad
de la red de la organización.
DC 2.3. Seleccione el tipo de protección de firewall para la red de su empresa: «nivel de red»,
«nivel de circuito», «nivel de aplicación» y «multicapa con estado». Cada tipo tiene ventajas
y desventajas, que van desde la facilidad de implementación hasta un alto costo inicial.
16
DC 2.4. Agregue más firewalls para las aplicaciones, servidores y bases de datos que contienen
datos personales e información corporativa confidencial.
DC 2.5. Configure sus firewalls para protegerse contra inicios de sesión interactivos no
autenticados del mundo exterior.
DC 2.6. Supervise la actividad del firewall de forma continua para ayudar a mantener su
red segura frente a las amenazas en constante evolución.
Tema #DC3: Protección contra escuchas e intercepciones

DC 3.1. Programa de seguridad de voz: Desarrolle e implemente su propio programa de
seguridad de voz (estrategia, políticas, herramientas técnicas y hardware especial).
DC 3.2. Cifrado
a. Cifre todos los teléfonos o faxes y otras comunicaciones sensibles.

b. Instruya a su personal para que no discuta información confidencial por
teléfono o envíe por fax en cualquier línea no cifrada.
DC 3.3. Evite las palabras clave: para reducir las posibilidades de que su número de teléfono
aparezca en la lista de objetivos, evite las palabras o frases clave que los recopiladores de
inteligencia pueden usar en búsquedas automatizadas para identificar conversaciones de posible
interés de inteligencia para competidores y delincuentes. Algunos ejemplos son nombres
de organizaciones, nombres de códigos de proyectos, nombres de productos, nombres de
personal superior y etiquetas como confidencial y confidencial de la empresa.
DC 3.4. Dispositivos y sistemas anti-bugging:

a. Utilice dispositivos y sistemas anti-bugging estáticos. Son fáciles y rentables
y pueden ayudarlo a proteger su negocio y las instalaciones corporativas de
intentos de espionaje no deseados.
b. Cuando personas ajenas, equipadas con micrófonos secretos, se acerquen a usted
oa sus empleados, el detector de errores le alertará sobre estos dispositivos y
evitará cualquier divulgación no deseada de datos importantes privados o de la
empresa.
17
DC 3.5. Sistemas anti-espionaje para dispositivos móviles:

a. Utilice sistemas anti-espionaje para dispositivos móviles. Este tipo de detectores
sonarán si detectan transmisores y dispositivos móviles ocultos dentro de su
área, al igual que las utilidades antivirus cuando señalan y detectan virus y
malware en el sistema de su computadora.
b. Los detectores son importantes si desea asegurarse de que sus conversaciones se
mantengan en secreto y no se graben ni se espíen.
DC 3.6. Codificación telefónica: utilice métodos o dispositivos de codificación telefónica.

Ellos “revolverán” o mezclarán las conversaciones telefónicas de una manera que solo los
instrumentos especializados pueden leer. Los codificadores han demostrado ser herramientas
esenciales e indispensables para los empresarios.
DC 3.7. Ocultación de la señal del dispositivo: utilice utilidades y dispositivos de ocultación

de la señal del dispositivo. Estos dispositivos especializados pueden enmascarar las señales
que generan los aparatos de radio y los teléfonos móviles. A menudo son imprescindibles en
las oficinas de la empresa y las áreas de conferencias. Estos dispositivos funcionan generando
“ruido blanco” o sonido de fondo aleatorio que interfiere con los dispositivos de grabación
de audio o video.
DC 3.8. Actualización de software: el software de sus dispositivos (fax, sistema telefónico)

debe actualizarse constantemente. Esto aumenta la probabilidad de que los desarrolladores
hayan abordado las principales vulnerabilidades.
DC 3.9. Gestión de contraseñas: aplique contraseñas seguras para acceder a la bandeja de

entrada del correo de voz. Cambie inmediatamente la contraseña predeterminada por una
contraseña segura y cámbiela con la frecuencia que indique la política de su empresa para
cambiar las contraseñas de inicio de sesión y de correo electrónico.
DC 3.10. Mensajes confidenciales: elimine los mensajes confidenciales del correo de voz
tan pronto como los usuarios los hayan escuchado. No almacenar mensajes de voz es la
forma más fácil y eficaz de protegerlos.
DC 3.11. Anomalías: reporta inmediatamente las anomalías. Es posible que no sepa que un
teléfono ha sido pirateado hasta que un empleado informe un incidente extraño, como un
mensaje de correo de voz guardado que se ha eliminado o reenviado a un número inusual.
18
Tema #DC4: Administración de dispositivos de acceso remoto

DC 4.1. Mantenga un registro de sus dispositivos de acceso remoto como teléfonos
inteligentes, tabletas, teléfonos celulares, etc. que se conectan a su red informática o reciben
o transmiten datos personales e información confidencial.
DC 4.2. Limite las conexiones inalámbricas y los accesos a su red informática.
DC 4.3. Cifre las transmisiones desde dispositivos de acceso remoto a su red informática.
Tema #DC5: administración de contraseñas

DC 5.1. Controle el acceso a la información confidencial exigiendo a sus empleados que
utilicen contraseñas “seguras”.
DC 5.2. Explíqueles a sus empleados que no deben compartir sus contraseñas ni publicarlas
cerca de sus estaciones de trabajo.
DC 5.3. Utilice protectores de pantalla activados por contraseña para bloquear todas las
computadoras de los empleados después de un período de inactividad.
DC 5.4. Bloquee a los usuarios que no ingresen la contraseña correcta dentro de un número
designado de intentos de inicio de sesión.
DC 5.5. Capacite a sus empleados en técnicas de ingeniería social. Por ejemplo:
a. Cómo manejar una posible llamada de un ladrón de identidad que intenta

engañarlos para que proporcionen sus contraseñas haciéndose pasar por
miembros de su personal de TI, etc.
b. No se debe divulgar información confidencial a nadie por teléfono.
c. Los códigos de seguridad verbales deben usarse para identificar a las personas
autorizadas y autorizadas para obtener códigos confidenciales, contraseñas,
información financiera, detalles de sistemas de TI, software, redes, etc., de
su empresa.
d. La información del directorio interno no debe divulgarse por teléfono. Estas
solicitudes deben ser registradas y manejadas por la función de servicio
al cliente o el departamento solicitado. Cuando la divulgación se realiza
únicamente a personas autorizadas, se debe registrar e informar.
e. Todas las llamadas sospechosas deben ser documentadas por la persona que
recibe la llamada e informadas en consecuencia.
19
DC 5.6. Al instalar un nuevo software, cambie inmediatamente las contraseñas predeterminadas

proporcionadas por el proveedor por una contraseña segura más segura.
DC 5.7. Todas las contraseñas de los usuarios remotos deben entregarse personalmente y
publicarse con la firma de los propios usuarios autorizados. Todas estas acciones también
deben registrarse e informarse.
Tema #DC6: Monitoreo del tráfico de red
DC 6.1. Monitorea el tráfico de tu red:

a. Para el tráfico entrante de su red, busque señales de que alguien está intentando
ingresar; y
b. Esté atento a la actividad de nuevos usuarios, múltiples intentos de inicio de
sesión de usuarios o computadoras desconocidos y tráfico superior al promedio
en momentos inusuales del día.
c. Para su tráfico de red saliente, busque señales de una violación de datos;
d. Esté atento a la transmisión de cantidades inesperadamente grandes de datos
desde su sistema a un usuario desconocido.
e. Si se transmiten grandes cantidades de información desde su red, investigue
para asegurarse de que la transmisión esté autorizada.
DC 6.2. Infracciones de la red:

a. Para detectar brechas en la red cuando ocurran, considere la posibilidad de
utilizar un sistema de detección y prevención de intrusiones; y
b. Asegúrese de que se actualice con frecuencia para abordar los nuevos tipos de
piratería.
DC 6.3. Inicio sesión
a. Mantenga archivos de registro centrales de información relacionada con la

seguridad para monitorear la actividad en su red para que pueda detectar y
responder a los ataques.
b. Si hay un ataque en su red, el registro proporcionará información que puede
identificar las computadoras que se han visto comprometidas.
c. Disponer e implementar un plan de respuesta a violaciones.
20
DE DATOS DE GDPR Controles de equipos de oficina
4 CONTROLES DE EQUIPOS
DE OFICINA
Resumen: Este capítulo incluye más de 10 acciones de control (controles) para dos problemas
de equipos de oficina (OE) como: Computadoras personales, laptops y administración de
dispositivos inteligentes; y Gestión de Fax y Copiadoras Digitales.
Tema #OE1: Computadoras personales, laptops y

administración de dispositivos inteligentes
OE 1.1. Uso: Restrinja el uso de computadoras personales, laptops y dispositivos inteligentes
a aquellos empleados que los necesiten para realizar su trabajo. Mantenga un registro de lo
que todos tienen.
OE 1.2. Informacion delicada:

a. Evalúe si los datos confidenciales y la información personal realmente deben
almacenarse en estos dispositivos de hardware (computadoras personales,
computadoras portátiles y dispositivos inteligentes).
b. Si no es así, elimínelo con un programa especial (software de limpieza) que
sobrescribe los datos en la computadora portátil.
c. Instruir a los usuarios para que no almacenen datos personales e información
sensible en computadoras personales, computadoras portátiles y dispositivos
inteligentes, sino que solo accedan a ellos en una computadora central segura.
d. Bajo este enfoque, la información se almacena en una computadora central
segura y las computadoras portátiles y otros dispositivos funcionan como
terminales que muestran información de la computadora central, pero no la
almacenan.
e. La información podría protegerse aún más si se requiere el uso de un token,
contraseña, etc., para acceder a la computadora central.
f. Utilice el cifrado cuando las computadoras personales, portátiles y dispositivos
inteligentes contengan datos confidenciales y configure estos dispositivos
para que los usuarios no puedan descargar ningún software o cambiar la
configuración de seguridad sin la aprobación de sus especialistas en TI.
21
DE DATOS DE GDPR Controles de equipos de oficina
OE 1.3. Seguridad del dispositivo:

a. Exija a sus empleados que almacenen computadoras personales, laptops y
dispositivos inteligentes en un lugar seguro.
b. Capacite a sus empleados para que nunca dejen una computadora portátil a la
vista en un automóvil, en un puesto de equipaje de un hotel o en el equipaje
facturado, a menos que se lo indique el personal de seguridad del aeropuerto.
c. Si deben dejar una computadora portátil en un automóvil, debe estar bajo llave
en un baúl.
d. Cuando pasan por la seguridad del aeropuerto, deben vigilar su computadora
portátil mientras se coloca en el cinturón.
Tema #OE2: Gestión de fotocopiadoras digitales y fax

OE 2.1. Mantenga un registro de todos sus faxes y fotocopiadoras digitales.
OE 2.2. Asigne la responsabilidad a un empleado específico que protege los datos de su

fax y fotocopiadoras digitales.
OE 2.3. Asegúrese de que su fax y fotocopiadoras digitales (compradas o alquiladas) tengan

funciones de seguridad de datos, como: cifrado y sobrescritura, y utilícelas según sea necesario.
OE 2.4. Indique a su personal que aproveche todas las funciones de seguridad del fax y las
fotocopiadoras digitales.
OE 2.5. Indique a su personal que sobrescriba los datos del disco duro cuando devuelva o
deseche un fax y una fotocopiadora digital.
OE 2.6. Indique a su personal que evite dejar documentos desatendidos mientras se transmiten
y que no dejen documentos en el fax y las fotocopiadoras digitales.
OE 2.7. Indique a su personal que imprima el informe de confirmación de actividad del

fax que muestre la hora a la que se envió el fax, el número de fax de destino y el número
de páginas transmitidas.
22
DE DATOS DE GDPR Apéndice 1: Resumen del GDPR
APÉNDICE 1: RESUMEN DEL GDPR
1. Introducción
El 25 de mayo de 2018, el Reglamento general de protección de datos de la UE («GDPR» o
«el Reglamento») está en plena vigencia, sin necesidad de leyes nacionales para implementar
sus disposiciones.
El Reglamento General de Protección de Datos de la UE (GDPR) representa un cambio

importante y una mejora radical en el régimen de cumplimiento de la protección de
datos personales para los controladores de datos y procesadores de datos para empresas y
organizaciones, llamadas «empresas» en términos de GDPR, que operan en la Unión Europea.
En la protección de datos personales es fundamental la protección de la privacidad de los

derechos de las personas, llamadas sujetos de datos en el idioma del RGPD.
Deben saber qué datos se mantienen en ellos, corregir y mejorar su precisión, limitar su
uso y tener la seguridad de que la confidencialidad y la integridad se mantienen en todo
momento.
Estos datos pueden ser procesados por empresas en sistemas manuales y computarizados
que mantienen y procesan información valiosa, o brindan servicios a múltiples usuarios al
mismo tiempo, sobre la base de la provisión de salvaguardas de seguridad contra el acceso,
uso o modificaciones no autorizados de cualquier dato.
Las empresas deben proteger los sistemas manuales y computarizados contra todo tipo de
riesgos de seguridad y privacidad, abuso de datos personales, uso no autorizado, errores,
intrusiones ilegales, interrupción de operaciones y daños físicos, entre otros.
El creciente número de aplicaciones informáticas que procesan transacciones comerciales que

implican el uso de información o activos valiosos y el número cada vez mayor de acciones
delictivas dirigidas contra ellos subrayan la necesidad de encontrar soluciones eficientes y
efectivas a los problemas de seguridad y privacidad de las computadoras.
En el futuro, la preocupación por la privacidad y la seguridad de los datos personales

debe convertirse en parte integral de la planificación y el diseño de sistemas manuales e
informáticos y sus aplicaciones.
23
Las personas apreciarán hacer negocios con empresas y organizaciones que demuestren
respeto por sus derechos de privacidad.
En última instancia, esto conducirá a una ventaja competitiva para las empresas. Las
empresas y organizaciones pueden ver esto como una oportunidad para revisar y mejorar sus
prácticas de manejo de información personal y proteger los datos personales que recopilan,
administran y procesan mejor.
2. Por qué proteger los datos personales

Hay varias razones para asignar recursos, gastar dinero, tiempo y esfuerzo y tomar medidas
preventivas e implementar controles de gestión para proteger los datos personales: Cumplimiento
normativo; Pérdidas financieras y de otro tipo; Operación las 24 horas; Productividad del
empleado; Toma de decisiones de gestión, etc.
3. Descripción general del GDPR

El Reglamento general europeo de protección de datos (GDPR para abreviar) se basa en
dos principios clave:
1. Dar a los interesados (clientes, pasajeros, empleados, miembros de la tripulación,

pacientes, ciudadanos, etc.) un mayor control de sus datos personales y
2. Simplificar las regulaciones para las empresas internacionales con una regulación
unificadora que se mantiene en toda la Unión Europea (UE).
Sin embargo, es muy importante tener en cuenta que el RGPD se aplica a cualquier negocio
establecido en la UE y puede aplicarse a empresas con sede fuera de la UE que procesan
los datos personales de ciudadanos de la UE en determinadas circunstancias.
El GDPR puede aplicarse a cualquier empresa que procese datos personales de ciudadanos
de la UE, incluidas aquellas con menos de 250 empleados.
Ser una Empresa pequeña y mediana (EPM) no significa que se quede fuera del alcance
del GDPR.
Se reconoce que las EPM pueden tener menos recursos y suponer un riesgo menor para la
protección de datos, por lo que la autoridad de protección de datos pertinente puede ser
más indulgente en relación con cualquier incumplimiento.
24
Sin embargo, querrá asegurarse de que cumple con los principios del GDPR. Esto se debe
a que su empresa aún debe cumplir si está involucrada en el procesamiento regular (que
incluye la recopilación, el almacenamiento y el uso) de datos personales. Es más fácil seguir
el RGPD y cumplir con la normativa, que dedicar tiempo a averiguar cómo puede evitar
la conformidad, especialmente si trabaja sin orientación legal.
4. Aspectos destacados del GDPR

Los aspectos más destacados de este reglamento se relacionan con:
(1) Definiciones de datos personales

1. El GDPR se aplica a todos los datos personales que se recopilan en la UE,
independientemente del lugar del mundo en el que se procesen. Cualquier base
de datos que contenga datos personales o sensibles recopilados dentro de la
UE estará dentro del alcance, al igual que cualquier medio que contenga datos
personales o sensibles. Cualquier empresa u organización que tenga dichos datos
en sus sistemas, independientemente del tamaño de la empresa o del sector,
deberá cumplir con el GDPR..
2. Los datos personales son cualquier cosa que pueda identificar a una “persona
física” (“sujeto de datos”); y puede incluir información como un nombre,
una foto, una dirección de correo electrónico (incluida la dirección de correo
electrónico del trabajo), datos bancarios, publicaciones en sitios web de redes
sociales, información médica o incluso una dirección IP, etc.
3. Esta definición es fundamental porque la ley de protección de datos de la UE
solo se aplica a los datos personales. La información que no entra dentro de la
definición de “datos personales” no está sujeta a la ley de protección de datos
de la UE.
4. “Datos personales sensibles” son datos personales que revelan el origen racial o
étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical;
datos sobre salud o vida sexual y orientación sexual; datos genéticos o datos
biométricos.
5. Ejemplos de datos personales. Algunos ejemplos indicativos de datos personales
son: Nombre, teléfono, dirección, etc., La dirección de correo electrónico
(Correo electrónico), Número de cuenta bancaria o tarjeta de crédito, etc. Para
más ejemplos, consulte el Apéndice 2.
25
Para conocer más términos del GDPR, consulte el siguiente documento:
https://www.researchgate.net/publication/344395634_GDPR_Terms.
(2) Principios de protección de datos

Las organizaciones deben asegurarse de que todas las operaciones de procesamiento de datos
personales deben adherirse y cumplir con los siguientes principios:
1. «Legalidad, equidad y transparencia»;

2. «Limitación de la finalidad»;
3. «Minimización de datos»;
4. «Precisión»;
5. «Limitación de almacenamiento»;
6. «Integridad y confidencialidad»; y
7. «Responsabilidad».
Para satisfacer los requisitos de estos principios, cada controlador y procesador de datos
personales debe implementar medidas y procedimientos técnicos y organizativos basados
en riesgos adecuados para garantizar el cumplimiento de GDPR.
Referencia: Artículos 5, 25 y 32 a 34 del GDPR y considerando 39.
(3) Recopilación de datos personales, consentimiento y base legal

Un controlador o procesador de datos no puede recopilar más datos personales de los
necesarios para el procesamiento y debe especificar la base legal para todo el procesamiento
de datos personales.
Cuando la base legal exige un consentimiento del interesado antes del procesamiento, este
(consentimiento) debe obtenerse de acuerdo con GDPR.
El consentimiento para procesar los datos debe ser otorgado libremente y para fines específicos
por parte de los interesados.
Los interesados deben ser informados de su derecho a retirar su consentimiento.
26
El consentimiento debe ser explícito en el caso de datos personales sensibles o flujos de

datos transfronterizos.
Referencia: Artículo 5 a 9 del GDPR y considerandos 32, 33, 38, 39, 42, 43, 46, 50 a 56
y 171.
(4) Informar a los interesados

El responsable del tratamiento está obligado a informar a los interesados sobre el tratamiento
de sus datos personales en cuanto a cómo, cuándo y dónde se tratan, la base legal, las
medidas de seguridad y los derechos del interesado, etc.
Referencia: Artículos 12 a 14 y 34 del GDPR considerandos 58 a 63 y 73.
(5) Cumplimiento de los derechos de los interesados

Hay varios derechos, como:
1. El derecho al olvido, es decir, el derecho a solicitar a los responsables del

tratamiento que borren todos los datos personales sin demoras indebidas en
determinadas circunstancias.
2. El derecho a la portabilidad de los datos, es decir, el derecho de las personas
que han proporcionado datos personales a un proveedor de servicios, de exigir
al proveedor que transfiera o “transfiera” los datos a otro proveedor de servicios,
siempre que sea posible.
3. El derecho a oponerse a la elaboración de perfiles, es decir, el derecho a no estar
sujeto a una decisión basada únicamente en el procesamiento automatizado, etc.
Referencia: Artículos 12 a 22 del GDPR y considerandos 58 a 73.
(6) Delegado de Protección de Datos (DPO)

Algunas organizaciones deben designar un DPO independientemente de su tamaño, servicios
y productos ofrecidos, y número de empleados, clientes, etc.
27
Las empresas cuyas actividades impliquen un seguimiento “regular o sistemático” de los

interesados a gran escala (en otras palabras, el procesamiento de una gran cantidad de
información personal) o que impliquen el procesamiento de grandes volúmenes de “datos
de categoría especial” deben contratar a un responsable de protección de datos (DPO).
Su función será garantizar que la empresa cumpla con las obligaciones del RGPD. También
serán el contacto para cualquier consulta sobre protección de datos, etc. Para obtener más
detalles, consulte el Apéndice 4.
Referencia: Artículos 37 a 39 del GDPR y considerando 97.
(7) Controladores y procesadores

El GDPR se aplica tanto a los “controladores” como a los “procesadores”.
Un controlador es la entidad que decide el propósito de las actividades de procesamiento

de datos. Por ejemplo, si usted es una pequeña empresa que ofrece un servicio de plomería
y los datos de sus clientes se administran mediante un sistema de información del cliente
alojado por un tercero, esto generalmente lo convertiría en el controlador y el tercero en
el procesador.
Los controladores que emplean procesadores deben asegurarse de que estos procesadores
cumplan con el RGPD.
Para los procesadores, el GDPR conlleva un conjunto específico de obligaciones legales, algunas
de las cuales requieren que usted: mantenga actualizados los registros de datos personales
y los detalles de sus actividades y categorías de procesamiento, incluidos los detalles de sus
‘categorías de sujetos de datos’ (empleados, clientes). , proveedores, etc.) y las categorías
de procesamiento realizadas; mantener los detalles de cualquier transferencia a países fuera
del Espacio Económico Europeo (EEE); Implementar medidas de seguridad adecuadas,
que pueden incluir seudonimización y encriptación, y demostrar que está probando estas
medidas con regularidad. y esté preparado con una descripción general de las medidas de
seguridad técnicas y organizativas que mantiene, etc.
Referencia: Artículos 24 a 32 del GDPR considerandos 74 a 81 y 96, etc.
28
(8) Evaluaciones de impacto de protección de datos (DPIA)

Las organizaciones deben llevar a cabo DPIA cuando realicen un procesamiento de datos
personales riesgoso o a gran escala.
Referencia: artículos 35, 36 y considerandos 84, 89 a 96 del GDPR
(9) Notificación obligatoria de incumplimiento
1. Las organizaciones deben notificar a la autoridad supervisora las violaciones

de datos “sin demoras indebidas” o en un plazo de 72 horas, a menos que sea
poco probable que la violación suponga un riesgo para las personas.
2. Si existe un alto riesgo para los interesados, estos también deben ser
informados.
Referencia: artículos 33, 34 y considerandos 85 a 88 del GDPR.
29
(10) Protección de datos por diseño y por defecto

Las organizaciones deben diseñar la protección de datos en el desarrollo de procesos
comerciales y nuevos sistemas.
La privacidad debe tenerse en cuenta en todos los procesos todo el tiempo y, por defecto,
el diseño incluirá una evaluación del impacto de la protección de datos y riesgos para
operaciones específicas de alto riesgo.
Referencia: artículo 25 y considerando 78 del GDPR.
(11) Transferencias Internacionales PD

Si se transfieren datos personales a un tercer país o una organización internacional, la
organización debe asegurarse de que sus salvaguardas actuales cumplan con el GDPR, de
lo contrario, necesitarán desarrollar otras nuevas.
Referencia: artículos 44 a 50 del GDPR y considerandos 101 a 15 y 169.
(12) Multas administrativas por incumplimiento de GDPR

El artículo 83 de la GDPR incluye requisitos relacionados con las sanciones.
Las multas administrativas son de hasta 10.000.000 € o, en el caso de una empresa, de

hasta el 2% del volumen de negocios anual mundial total del ejercicio financiero anterior,
el que sea mayor, en caso de infracción de: Los artículos 8, 11, 25, 26, 27, 28, 29, 30, 31,
32, 33, 34, 35, 36, 37, 38, 39, 41, 42 y 43.
Las multas administrativas ascienden a 20.000.000 € o, en el caso de una empresa, hasta

el 4% del volumen de negocios anual mundial total del ejercicio financiero anterior, el que
sea mayor, en caso de infracción de: los artículos 5, 6, 7, 9, 12 a 22, 44 a 49 y Capítulo
IX (situaciones específicas de tramitación).
30
2.3. Migración al nuevo régimen de privacidad (GDPR)

Migrar de manera efectiva y eficiente al nuevo régimen de privacidad y protección de datos
(GDPR) será un desafío y requerirá:
1. Gran cantidad de recursos corporativos (Gerencia, legal, TI, recursos humanos y

financieros, etc.);
2. Energía espiritual, motivación e inspiración; y
3. Compromiso y participación plena de la dirección corporativa y los empleados.
2.4. ¿Cómo debería funcionar la protección de datos?

1. Debe haber límites sobre qué datos se recopilan y se entienden como datos
personales.
2. La información personal debe obtenerse por medios legales y legítimos, con el
consentimiento del individuo (sujeto de datos).
3. La información personal será correcta, relevante para los fines para los que se
utiliza, precisa, completa y actualizada, etc.
5. Efectos de una gestión incorrecta de los datos personales

El efecto de cualquier gestión incorrecta de los datos personales por parte de la dirección
y los empleados de la empresa y los resultados consiguientes incluyen lo siguiente (a modo
de ejemplo):
• Daño a la reputación de la empresa

• Pérdida de la confianza de inversores o clientes
• Pérdida de ventas
• Imposición de multas
• Otras decisiones de gestión incorrectas
• Pérdidas y errores en datos comerciales y personales importantes que reducen
la productividad general de los empleados, ya que requieren tiempo para
corregirlos, etc.
31
DE DATOS DE GDPR Apéndice 2: Ejemplos de datos personales
APÉNDICE 2: EJEMPLOS DE
DATOS PERSONALES
Edad o necesidades especiales de las personas físicas vulnerables
Denuncias de conducta criminal
Cualquier información recopilada durante los servicios de salud.
Número de cuenta bancaria o tarjeta de crédito
Identificador biométrico
Estados de cuenta de tarjetas de crédito
Condenas penales o delitos cometidos
Informes de investigación criminal
Número de cliente
Fecha de cumpleaños
Información de salud diagnóstica
Discapacidades
Facturas del doctor
Archivos de sueldos y recursos humanos de los empleados
Perfil financiero
Género
Posicion GPS
Trayectorias GPS
Direccion de casa
dirección IP
Ubicación derivada de los sistemas de telecomunicaciones
Historial médico
Identificadores nacionales (p. Ej., Código fiscal, número de pasaporte)
Número de carnet de conducir,
Dirección de correo electrónico personal
Números de identificación personal (PIN) o contraseñas
Intereses personales derivados del seguimiento del uso de sitios web de Internet
Perfil personal o conductual
Número de teléfono personal
Fotografía o video identificable para una persona física
Preferencias de productos y servicios
Origen racial o étnico
Creencias religiosas o filosóficas
Orientación sexual
Afiliación sindical
Recibos de servicios públicos
Metadatos (en «palabra» u otros documentos electrónicos, etc.)
32
CONTROLES DE SEGURIDAD APÉNDICE 3: POLÍTICA DE SEGURIDAD
DE DATOS DE GDPR DE LA INFORMACIÓN
APÉNDICE 3: POLÍTICA DE
SEGURIDAD DE LA INFORMACIÓN
1. Descripción
La Política de seguridad de la información de la empresa contiene instrucciones de alto
nivel que describen los objetivos generales de seguridad de la información de la empresa, las
responsabilidades de la administración de la empresa y lo que se debe hacer con respecto al
control de la protección de los Activos de información críticos. Esta política complementa
los controles establecidos en el Marco de Gobernanza de Datos, la Estrategia de Gestión
de DP y el Marco de Seguridad de la Información de la Compañía y está diseñada para
cumplir con los Requisitos del GDPR (artículo 32).
2. Definición de activos de información

Los activos de información son los activos críticos de la empresa, tales como: sistemas de
información, equipos, software, aplicaciones, instalaciones, edificios, infraestructuras, bases
de datos, redes, información, medios, archivos históricos y archivos generales y medios que
contienen información y datos mantenidos en la base de la tecnología informática, las redes
y las TI.
3. Alcance de la política
Esta política de seguridad se refiere a toda la información recopilada y procesada en el
contexto de los sistemas de información, las redes de comunicación y las infraestructuras
relacionadas de la empresa, así como el equipo, el software y los procedimientos utilizados
para procesar esta información.
4. Requisitos de seguridad de los activos de información

La seguridad de los activos de información de la empresa se basa en tres conceptos básicos que
son necesarios para el correcto funcionamiento de los sistemas, aplicaciones e infraestructuras
de información, y son los siguientes:
33
4.1. Integridad:
La integridad se refiere a la preservación de los sistemas de información, los datos, la
infraestructura y los recursos de la empresa en un estado conocido sin modificaciones,
eliminaciones o adiciones no deseadas por parte de personas no autorizadas, y para evitar
el acceso y / o uso de computadoras y redes del sistema informático por parte de personas
no autorizadas.
4.2. Disponibilidad:
La disponibilidad de datos y recursos informáticos es para garantizar que las computadoras,
redes y datos de la empresa estén disponibles para los usuarios siempre que se requiera que
los utilicen.
4.3. Confidencialidad:
Confidencialidad significa que la información sensible no debe ser revelada a personas o partes
no autorizadas. La filtración de información sensible se puede realizar mediante métodos
como la interceptación digital, la intrusión ilegal (piratería), el robo físico de equipos, el
uso no autorizado de contraseñas, etc.
5. Medidas de seguridad
Para proteger sus activos de información, incluidos los datos personales de los interesados,
de acuerdo con el marco de gobierno de datos, la estrategia de gestión de DP y el marco
de seguridad de la información (ver libros 1 y 2), la Compañía implementará las siguientes
medidas.
5.1. Organización de seguridad

La gerencia de la empresa nombrará un gerente de seguridad de TI o asignará tareas de
seguridad al gerente de TI para la mejor implementación y seguridad de sus activos de
información.
34
5.2. Personal de Seguridad

1. La empresa proporcionará una formación adecuada y adecuada en temas de
seguridad y privacidad, en función del papel que desempeñe cada empleado en
el funcionamiento de sus sistemas e infraestructuras de información.
2. Todo el personal de la empresa está obligado:
• No exponer, con acciones u omisiones, los activos de información de la

Compañía a ningún riesgo, sea cual sea,
• Para proteger su contraseña y no divulgarla a terceros,
• No utilizar ningún software a menos que esté autorizado por la Compañía,
• Informar a los correspondientes niveles de dirección cualquier caso de
incumplimiento de la política de seguridad y cualquier otro evento que
consideren pueda poner en peligro la privacidad y seguridad de los activos de
información de la empresa.
5.3. Controles de seguridad de la instalación física y ambiental

La Compañía tomará medidas para la seguridad física y ambiental de las oficinas, instalaciones
y personas en las que operen su red y sistemas de información, tales como: Sistema de
Alarma, Sistema de Prevención de Incendios, Sala de Computación Dedicada, Controles
Ambientales (humedad, sistemas de prevención de clima, etc.), Bóveda de seguridad contra
incendios, Pautas y capacitación de evacuación de edificios, etc.
Otros controles físicos relacionados con la seguridad se detallan en la Política de seguridad

física de la Compañía.
5.4. Controles de acceso a los sistemas de información

Todo el personal de la Compañía tendrá acceso a los sistemas de información que se
consideren necesarios para la ejecución de las tareas y responsabilidades que le sean asignadas.
La gestión de este acceso será implementada por otras políticas más específicas, tales como:
Política de Contraseñas y Política de Autorización de Usuarios.
Otros controles relacionados con el acceso que los complementan se detallan en los Controles
de Ingeniería Social y los Controles de Administración de Personal de la Compañía.
35
5.5. Controles de gestión de software y equipos de ITC

Todo el equipo y software de ITC (Tecnología de la Información y Comunicaciones) comprado
o desarrollado por un tercero y puesto en servicio (es decir, incorporado en los sistemas y
la red) en nombre de la empresa, debe tener un nivel de seguridad suficiente, satisfactorio
y eficaz. Por esta razón, cuando todos los equipos deben ser respaldados por una empresa
de mantenimiento de equipos de renombre sobre la base de un contrato de mantenimiento
y administrados por un funcionario de la Compañía (por ejemplo, el Gerente de TI).
Además, todos los equipos y software se registrarán en un Inventario de Activos de TI y

serán administrados por el Gerente de TI de la Compañía.
5.6. Plan de recuperación ante desastres de TI

Para asegurar la continuidad de la operación de sus redes y sistemas de información críticos
después de un posible desastre, se desarrollará e implementará un Plan de Recuperación de
Desastres de TI, según sea necesario.
6. Aplicabilidad y sanciones
Esta política de seguridad es aplicable a todo el personal de la empresa, que procesa la
información y accede o gestiona los sistemas de TIC, la infraestructura de TIC y otros
activos de información. Todo el personal de la empresa es responsable de la seguridad de
los sistemas de ITC de la empresa, la infraestructura de ITC y otros activos de información.
La empresa se reserva el derecho de imponer penalidades, sanciones y emprender acciones

legales en los casos de incumplimiento de esta política.
Es responsabilidad de la empresa asegurar que todos los empleados involucrados, en la

ejecución de su trabajo y en la operación de los sistemas e infraestructura de información,
conozcan esta política de seguridad, su utilidad y la forma de su implementación.
Se realizarán inspecciones periódicas por parte de especialistas, auditores internos o de otro

tipo para asegurar la implementación de esta política.
7. Vinculación con otras políticas

Esta política de seguridad está acompañada y respaldada en su implementación completa
por un conjunto de políticas complementarias descritas en otros documentos, tales como:
política de privacidad, política de cumplimiento normativo, política de clasificación de
datos, procedimientos de copia de seguridad / recuperación, plan de desastres de TI, etc.
36
DE DATOS DE GDPR Apéndice 4: Política de protección de datos
PROTECCIÓN DE DATOS
1. Propósito
El propósito de esta Política es garantizar que la Compañía utilice un enfoque coherente
en la recopilación, procesamiento, almacenamiento y gestión de los datos personales de sus
interesados (por ejemplo, empleados, clientes, usuarios que acceden a sus sitios web y sistemas,
etc.) y de manera efectiva. cumpliendo con los requisitos legislativos de los Regímenes de
Protección de Datos, como el GDPR, etc.
Con esta política, nos aseguramos de que recopilamos, almacenamos y manejamos los
datos de manera justa, transparente y con respeto a los derechos individuales y tratamos la
información de los empleados, clientes, partes interesadas y otras partes interesadas con el
mayor cuidado y confidencialidad.
2. Aplicabilidad
Esta Política se aplica a todos los interesados (empleados, candidatos a puestos de trabajo,
clientes, usuarios del sitio web, proveedores, etc.) que proporcionan cualquier cantidad de
Datos personales a la Compañía.
Los empleados de la Compañía y todos los demás sujetos de datos (por ejemplo, usuarios
del sitio web, contratistas, consultores, socios y cualquier otro personal de la entidad externa)
también están cubiertos.
3. Responsabilidades de la gerencia
3.1. La alta dirección apoyará los principios de protección de datos en todos los niveles.
3.2. La alta dirección asumirá la responsabilidad específica de garantizar el cumplimiento de

las normas de protección de datos, por ejemplo, mediante el establecimiento de estructuras
y procedimientos organizativos adecuados, de modo que la dirección operativa disponga de
los medios y poderes para desempeñar el papel de responsable del tratamiento y garantizar
el cumplimiento de la privacidad de forma eficaz.
37
3.3. La alta dirección designará un responsable de protección de datos y le otorgará a esta

función un mandato para implementar políticas de protección de datos.
3.4. Las políticas, los procedimientos, así como las responsabilidades y funciones relacionadas
con la protección de datos serán monitoreados y mantenidos regularmente.
Para medidas, políticas y controles adicionales, consulte mis libros de privacidad en la

Bibliografía.
4. Directrices de la política de protección de datos (DPG)

Como parte de las operaciones de la Compañía, necesitamos obtener y procesar información
personal. Esta información incluye cualquier dato personal (PD) fuera de línea o en línea
que hace que una persona sea identificable, como nombres, direcciones, nombres de usuario
y contraseñas, huellas digitales, fotografías, números de seguro social, datos financieros,
etc. Nuestra empresa recopila esta información de manera transparente. y solo con la plena
cooperación, consentimiento y conocimiento de las partes interesadas, y aplicando las
siguientes reglas:
DPG1. La DP será precisa y se mantendrá actualizada.
DPG2. La DP se recopilará de manera justa y solo para fines legales.
DPG3. La DP será procesada por la empresa dentro de los límites legales y morales.
DPG4. PD estará protegido contra cualquier acceso no autorizado o ilegal por parte de e
internos o externos.
DPG5. La DP no se comunicará informalmente a nadie.
DPG6. Los datos personales no se almacenarán durante más de un período de tiempo

especificado.
DPG7. La DP no se transferirá a organizaciones, estados o países que no cuenten con

políticas de protección de datos adecuadas.
DPG8. Los datos personales no se distribuirán a ninguna otra parte que no sea la acordada por
el propietario de los datos (eximiendo las solicitudes legítimas de las autoridades policiales).
38
DPG9. La Compañía permitirá a los interesados saber cuáles de sus datos se recopilan y
cómo la Compañía procesará su DP.
DPG10. La Compañía informará a las personas sobre quién tiene acceso a su DP.
DPG11. La Compañía tendrá provisiones en casos de DP perdida, corrupta o comprometida.
DPG12. La Compañía atenderá las solicitudes de los interesados (acceso,

supresión,
modificación, portabilidad, etc.).
DPG13. La Compañía restringirá y monitoreará el acceso a la DP.
DPG14. La Compañía desarrollará procedimientos transparentes de recopilación de datos.
DPG15. La Compañía capacitará a los empleados en las medidas de seguridad y privacidad

en línea.
DPG16. La Compañía construirá redes seguras para proteger los datos en línea de los
ciberataques.
DPG17. La Compañía establecerá procedimientos claros para reportar violaciones de

privacidad o uso indebido de datos.
DPG18. La Compañía incluirá cláusulas contractuales o comunicará declaraciones sobre

cómo manejamos la DP.
DPG19. La Compañía establecerá prácticas de protección de datos (destrucción de documentos,

candados seguros, cifrado de datos, copias de seguridad frecuentes, autorización de acceso,
etc.).
DPG20. Los controles de protección de datos de la Compañía aparecerán en el sitio web

de la Compañía.
Para medidas, políticas y controles adicionales, consulte mis libros de privacidad en la

Bibliografía.
39
5. Cumplimiento de esta Política

Esta política no rescinde, reemplaza ni invalida ningún acuerdo específico que una persona
haya celebrado con la Compañía, incluida cualquier política o acuerdo sobre la confidencialidad
de la información.
6. Violación de esta política

La Compañía tomará medidas disciplinarias si se determina que algún empleado de la
Compañía infringe la Política de protección de datos. Estas acciones pueden incluir la
restricción y posible pérdida de privilegios de acceso y otras consecuencias más serias, hasta
e incluyendo la terminación del empleo y otras ramificaciones legales, según lo establecido
por las leyes nacionales y las regulaciones gubernamentales.
7. Declaración de empleado
Antes o después de asumir sus funciones oficiales, todos los empleados recibirán y firmarán
una copia de esta política, certificando que han leído y están de acuerdo en cumplir con los
estándares definidos. La Compañía distribuirá y pondrá a disposición de todos los empleados
su política de privacidad con respecto a la gestión de la información personal en su poder.
40
DE DATOS DE GDPR Apéndice 5: Política de clasificación de datos
CLASIFICACIÓN DE DATOS
1. Procedimiento
Los ejecutivos de la Compañía evaluarán la necesidad y criticidad de la información que
maneja la compañía en función de la evaluación de riesgos de los sistemas de información
y salvaguardas con base en las siguientes acciones.
Acción 1. La categorización de los datos seguirá estándares específicos basados en requisitos

de confidencialidad, integridad y disponibilidad para definir las salvaguardas de seguridad
adecuadas para su protección. La categorización cubrirá los siguientes temas:
1. Requisitos de seguridad de la información.

2. Definición de roles y responsabilidades.
3. Categorización de la información.
4. Proceso de clasificación de la información.
Acción 2. El proceso de clasificación de la información se describe a continuación.
2.1. Las categorías de información a gestionar por los sistemas de i
nformación de la empresa son las siguientes:
Alto secreto: Información y datos vitales para la empresa cuya divulgación y / o cambio no
autorizado tendrá efectos directos en las operaciones operativas.
Confidencial: Información y datos importantes para el funcionamiento de la empresa que deben

estar sujetos a controles estrictos y protegidos por las salvaguardias de seguridad adecuadas.
Datos sensibles: Información y datos sujetos a la legislación de protección de datos, cuya

divulgación requiere autorización explícita.
Público: Información y datos que se pueden comunicar y hacer públicos y que no requieren
ninguna protección.
2.2. Todos los datos e información gestionados por los sistemas de información de la empresa
estarán basados en esta metodología.
Acción 3. Anualmente, el gerente general de la empresa revisará la clasificación de la

información para reflejar cualquier cambio operativo y / o tecnológico.
41
CONTROLES DE SEGURIDAD APÉNDICE 6: POLÍTICA DE CIFRADO
DE DATOS DE GDPR DE DATOS E INFORMACIÓN
APÉNDICE 6: POLÍTICA DE CIFRADO

DE DATOS E INFORMACIÓN
1. Propósito
El propósito de la política de Cifrado de Información y Datos es brindar orientación sobre
el uso de tecnologías de cifrado para proteger la información o los datos de la empresa u
organización en los sistemas de almacenamiento, procesamiento y transmisión, para asegurar
su integridad, confidencialidad y disponibilidad.
2. Aplicación
Esta política cubre toda la información y los datos (datos ultrasecretos, confidenciales y
sensibles) que se almacenan en el equipo y se transmiten a través de redes o se procesan,
almacenan o comparten por cualquier medio.
3. Marco legal y regulatorio
La gestión y protección de los datos personales y los activos de información de la Compañía

está sujeta a los términos de esta política, así como a las disposiciones relevantes del
Reglamento General de Protección de Datos (GDPR) - 2016/679), para la protección de
datos personales.
4. Gestión
Los funcionarios autorizados (Propietarios de Sistemas de Información, Gerente de TI, etc.)
evaluarán la necesidad y criticidad de la información administrada por la empresa, en base
a la evaluación de riesgos de seguridad y privacidad de los datos personales, sistemas de
información y controles de seguridad y la ejecución de las siguientes acciones.
4.1. Emitir una declaración de la Compañía sobre el uso de cifrado y en qué medida.
4.2. Definición y selección del algoritmo de cifrado (uno o ambos) (cifrado simétrico, cifrado
asimétrico o de clave pública) a utilizar.
42
4.3. Identificar y determinar los datos (Datos ultrasecretos, confidenciales y sensibles) que
serán encriptados.
4.4. Determinar (a) el nivel de cifrado de los datos a cifrar (aplicación, campos específicos
y columnas de base de la base de datos, archivos completos y carpetas de archivos; y (b)
en qué mecanismos de almacenamiento y transferencia (almacenamiento de computadora,
bases de datos, red inalámbrica y dispositivos, dispositivos móviles, medios extraíbles, etc.).
4.5. Administre las claves de cifrado según el siguiente cuestionario de cifrado:
1. ¿Cómo se crearán las claves para diferentes sistemas criptográficos y diferentes

aplicaciones?
2. ¿Cómo se crearán y recibirán los certificados de clave pública?
3. ¿Cómo se distribuirán las claves a los usuarios previstos y cómo deberían activarse?
4. ¿Cómo se almacenarán las claves y cómo deben acceder los usuarios
autorizados?
5. ¿Cómo se cambiarán o actualizarán las claves y cuándo?
6. ¿Cómo se deben manejar las claves comprometidas?
7. ¿Cómo se deben recuperar, retirar o desactivar las llaves y cuándo
(especialmente cuando alguien se va)?
8. ¿Cómo se deben recuperar las claves perdidas o comprometidas para que
podamos leer la información cifrada con ellas?
9. ¿Cómo se deben archivar las claves cuando es posible que la información cifrada
deba descifrarse más tarde?
10. ¿Cómo se deben destruir las claves, con qué aprobaciones y cuándo?
11. ¿Cómo se deben registrar, monitorear y auditar las actividades relacionadas con
las claves?
4.6. Adquirir e implementar el software de encriptación basado en lo anterior.
4.7. Creación e implementación de un proceso de seguimiento de la actividad de cifrado.
4.8. Establecer e implementar un proceso para satisfacer solicitudes legítimas de acceso a

datos cifrados.
4.9. Definición de las responsabilidades de los ejecutivos para la gestión de la criptografía.
4.10. Definir cómo comunicarse en toda la empresa para gestionar el cifrado.
4.11. Capacitar a todo el personal responsable de gestionar todos los problemas de cifrado.
43
4.12. Añadiendo cifrado a las políticas de seguridad.
4.13. Definir el proceso de cumplimiento de leyes y regulaciones (por ejemplo, GDPR).
5. Cifrado de información y datos

Toda la información y los datos (datos ultrasecretos, confidenciales y sensibles) que se
almacenan en el equipo, se transmiten a través de redes o se comparten de cualquier
forma, deben estar encriptados de acuerdo con la Política de encriptación de la Compañía.
Especialmente para los datos sensibles sujetos al RGPD (artículos 6, 32 y 34), el cifrado es
absolutamente necesario.
Específicamente, para el equipo y la transferencia de datos, se deben seguir las siguientes

instrucciones.
(1) Equipo
Toda la información y los datos (datos ultrasecretos, confidenciales y sensibles) almacenados
en servidores web, computadoras de escritorio, computadoras portátiles, computadoras
móviles, dispositivos inteligentes, dispositivos de almacenamiento extraíbles, memorias USB,
etc., deben estar encriptados. Además, se deben aplicar otras medidas de seguridad físicas,
lógicas (por ejemplo, contraseñas, tokens, etc.) y ambientales de la empresa.
(2) Comunicación e intercambio

Toda la información y los datos (Top Secret, Confidential y Sensitive Data) que se envían a
través de comunicación electrónica (correo electrónico) o se transfieren a través de la red de
la empresa o a través de Internet, redes inalámbricas, etc., deben estar encriptados. Además,
se deben aplicar otras medidas de seguridad físicas, lógicas (por ejemplo, contraseñas, tokens,
aprobación de la administración, etc.) y ambientales.
44
6. Responsabilidad de la dirección y el RPD

Todo el personal de la empresa debe utilizar estas instrucciones para asegurarse de que todos
los datos y equipos de la empresa que hayan sido aprobados para el cifrado estén cifrados
en la medida de lo posible.
Es responsabilidad del Oficial de Protección de Datos brindar orientación a todo el personal

sobre el uso de estas pautas y asegurarse de que estas pautas se cumplan de acuerdo con el
RGPD y las políticas corporativas.
7. Declaración de empleado y usuario

una copia de esta política, certificando que han leído y están de acuerdo en cumplir con
los estándares definidos. Lo mismo se aplicará a todos los demás usuarios autorizados. La
Compañía distribuirá y pondrá a disposición de todos los empleados y usuarios autorizados su
política con respecto a los aspectos de cifrado de los activos y recursos de TI de la Compañía.
8. Violación de esta política

Si se descubre que algún usuario infringe la Política de cifrado, la Compañía tomará medidas
disciplinarias, incluidas la restricción y posible pérdida de privilegios de acceso y otras
consecuencias más graves, hasta e incluyendo la suspensión o despido de la Compañía y
otras ramificaciones legales. , según lo establecido por las leyes nacionales y los reglamentos
gubernamentales.
45
CONTROLES DE SEGURIDAD APÉNDICE 7: PAUTAS DE
DE DATOS DE GDPR CONFIDENCIALIDAD CORPORATIVA
APÉNDICE 7: PAUTAS DE
CONFIDENCIALIDAD CORPORATIVA
1. Responsabilidades de los empleados de la empresa (ER)

ER1. Bloquear o proteger la información confidencial en todo momento.
ER2. Triture los documentos confidenciales cuando ya no los necesite.
ER3. Asegúrese de que solo vean información confidencial en dispositivos seguros.
ER4. Solo divulgue información a otras personas autorizadas.
ER5. Mantenga los documentos confidenciales dentro de las instalaciones de nuestra empresa
a menos que sea absolutamente necesario moverlos.
ER6. NO use información confidencial para ningún beneficio personal.
ER7. NO revele información confidencial a nadie sin la aprobación de la gerencia.
ER8. NO copie documentos y archivos confidenciales y no los almacene en ningún dispositivo.
ER9. Devuelva los archivos confidenciales y elimínelos de sus dispositivos personales cuando
dejen de trabajar para nuestra empresa.
2. Responsabilidades del personal de administración de la empresa (MR)

MR1. Asegúrese de que los empleados de la Compañía que tienen acceso a información
confidencial conozcan su estado (es decir, la información debe marcarse como confidencial
cuando corresponda).
MR2. Asegúrese de que las copias físicas o digitales de los documentos relacionados con
transacciones confidenciales se almacenen de forma segura cuando no estén en uso y se
eliminen cuando ya no se necesiten, con acceso restringido solo al personal autorizado de
la Compañía y registrando todas las eliminaciones, etc.
46
MR3. Capacite al personal de la Compañía para que no lea documentos confidenciales de

la Compañía en lugares públicos (por ejemplo, aeropuertos, aviones) o tenga discusiones
confidenciales en lugares donde otros podrían escucharlos (por ejemplo, ascensores, taxis,
autobuses, trenes, aviones, etc.)
MR4. Asegúrese de que los empleados de la Compañía no realicen copias físicas o electrónicas
no autorizadas de la información confidencial de la Compañía.
MR5. Asegurar que se adopten las medidas de seguridad adecuadas cuando sea necesario
que los empleados de la Compañía eliminen o accedan a copias físicas o electrónicas de
información confidencial fuera de su lugar de trabajo.
MR6. Implemente contraseñas independientes cuando transfiera documentos confidenciales

de la empresa de forma electrónica.
MR7. Cifre los documentos confidenciales de la empresa.
MR8. Almacene información confidencial en los sistemas de la Compañía que implementan

controles de acceso lógico y solo permiten el acceso al personal autorizado de la Compañía.
MR9. Asegúrese de que todos los documentos de la empresa estén protegidos con contraseña
desde el principio.
MR10. Instale mecanismos de protección por contraseña para todos los equipos y dispositivos
electrónicos.
MR11. Active el bloqueo automático después de períodos de inactividad en todos los

dispositivos.
MR12. Implementar controles sobre el acceso del personal al correo electrónico de otros
empleados.
MR13. Instale el software para que la información confidencial guardada en una tableta o
teléfono inteligente se pueda eliminar de forma remota, para evitar el acceso no autorizado
de terceros en caso de pérdida de la tableta o teléfono inteligente.
MR14. Operar un sistema de administración de documentos, dependiendo del tamaño y

los recursos de la empresa, que tenga la capacidad de registrar quién ha accedido a archivos
particulares y cuándo ocurrió el acceso.
47
MR15. Realizar revisiones periódicas para garantizar que el almacenamiento de datos y los
controles estén actualizados y seguros.
MR16. Asegúrese de que los empleados sigan las pautas anteriores y solucionen cualquier
problema.
MR17. Solicite a los empleados que firmen acuerdos de no competencia y / o no divulgación.
MR18. Solicite a auditoría interna que revise estos controles anualmente.
MR19. Solicite la autorización de la alta dirección para permitir que los empleados accedan
a cierta información confidencial.
MR20. Asegúrese de que la información confidencial solo se divulgue por razones legítimas,
como: una investigación o auditoría, etc. En tales casos, los empleados involucrados deben
documentar su procedimiento de divulgación y recopilar todas las autorizaciones necesarias,
según las reglas contenidas en la Política de autorización de divulgación de información.
48
CONTROLES DE SEGURIDAD APÉNDICE 8: POLÍTICA DE ESCRITORIO
DE DATOS DE GDPR Y PANTALLA LIMPIOS
ESCRITORIO Y PANTALLA LIMPIOS
La política de Escritorio Limpio y Pantalla, especifica cómo los empleados deben dejar su
lugar de trabajo (oficina, equipo, documentos, información, etc.) en un estado seguro al
salir de la oficina de la empresa durante el día y al final de cada jornada laboral.
Al final de la jornada laboral, todos los empleados de la empresa deben limpiar su escritorio
y asegurar tanto el equipo como cualquier documento relacionado con su trabajo.
Los documentos deben colocarse en el archivador o cajón apropiado.
Todo el material sensible debe guardarse en un archivo bloqueado.
Todos sin excepción deben observar las siguientes pautas:
1. Dedique un tiempo programado cada día para limpiar los papeles de su escritorio.
2. Desconéctese de su computadora cuando su área de trabajo esté desatendida.
3. Apague su computadora al final de la jornada laboral.
4. Elimine toda la información confidencial y de uso interno de su oficina y
guárdela en un armario, cajón o archivo cuando su estación de trabajo esté
desatendida y al final de la jornada laboral.
5. Guarde todos los documentos, manuales, facturas, contratos, etc., confidenciales
y para uso interno, en cajones o armarios, etc. Manténgalos siempre cerrados
con llave.
6. Asegure y cierre todos los gabinetes que contengan archivos confidenciales o
información de uso interno cuando no se utilicen o estén desatendidos.
7. Nunca deje las claves utilizadas para acceder a información confidencial o de
uso interno en un lugar de trabajo desatendido.
8. Guarde todo el equipo (computadoras portátiles, otros equipos, etc.) en un
cajón o armario cuando el área de trabajo esté desatendida o al final de la
jornada laboral.
9. No publique contraseñas encima o debajo de una computadora o cualquier otro
lugar accesible.
10. Retire copias de documentos que contengan información confidencial o de uso
interno inmediatamente de las impresoras y dispositivos de fax.
11. Cierre con llave los armarios de su oficina y su archivador al final del día o si
sale del lugar de trabajo durante el día.
49
CONTROLES DE SEGURIDAD APÉNDICE 8: POLÍTICA DE ESCRITORIO
DE DATOS DE GDPR Y PANTALLA LIMPIOS
12. Trate los dispositivos de almacenamiento masivo, como CD-ROM, DVD o

USB, etc., como sensibles y confidenciales y guárdelos en un cajón al final del
día o si abandona el espacio de trabajo durante el día.
13. Destruya todos los desperdicios de papel, informes y cintas de impresora
utilizando el equipo especial (trituradoras) que se encuentra disponible en todas
las oficinas de la empresa.
14. Destruya todos los dispositivos digitales y dispositivos de almacenamiento
masivo, como CD-ROM, DVD o unidades USB, etc., solo después de un
permiso por escrito y utilizando el equipo especial ubicado en todas las oficinas
de la empresa.
15. La destrucción de información confidencial, informes y medios digitales
requiere no solo una aprobación especial sino también el registro en el registro
especial de Destrucción de Activos de la Compañía.
Declaración de empleado
una copia de esta política, certificando que han leído y están de acuerdo en cumplir con los
estándares definidos. La Compañía distribuirá y pondrá a disposición de todos los empleados
su política de escritorio limpio con respecto a la administración de los activos y recursos
de TI de la Compañía.
50
DE DATOS DE GDPR Bibliografía
BIBLIOGRAFÍA
Libros escritos por John Kyriazoglou
https://bookboon.com/en/search?query=kyriazoglou
51
DE DATOS DE GDPR Descargo de responsabilidad
DESCARGO DE RESPONSABILIDAD
El material, conceptos, ideas, planes, políticas, procedimientos, formularios, métodos,
herramientas, etc., presentados, descritos y analizados en todos los capítulos y apéndices, son
únicamente para fines educativos y de capacitación. Estos pueden usarse sólo, posiblemente,
como un conjunto de base indicativo, y cada organización debe personalizarlos, después
de una reflexión cuidadosa y considerable en cuanto a las necesidades y requisitos de cada
organización, teniendo en cuenta las implicaciones y los aspectos de la normativa legal,
nacional, entornos y expectativas religiosos, filosóficos, culturales y sociales, dentro de los
cuales opera y existe cada organización.
Se han realizado todos los esfuerzos posibles para garantizar que la información contenida en
este libro sea precisa en el momento de su publicación, y los editores y el autor no pueden
aceptar responsabilidad por errores u omisiones, cualquiera que sea su causa. El editor o el
autor no aceptarán ninguna responsabilidad por pérdidas o daños ocasionados a cualquier
persona que actúe o se abstenga de actuar como resultado del material de esta publicación.
52

Controles de Seguridad de Datos de GDPR

Cargado por

Copyright:

Formatos disponibles

Controles de Seguridad de Datos de GDPR

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Controles de Seguridad de Datos de GDPR

Cargado por

Copyright:

Formatos disponibles

John Kyriazoglou

1 Controles de gobernanza de la seguridad 7

2 Controles físicos y ambientales 11

3 Controles de Comunicaciones de datos 15

4 Controles de equipos de oficina 21

Apéndice 1: Resumen del GDPR 23

Apéndice 2: Ejemplos de datos personales 32

Apéndice 3: Política de seguridad de la información 33

Apéndice 4: Política de protección de datos 37

Apéndice 5: Política de clasificación de datos 41

Apéndice 6: Política de cifrado de datos e información 42

Apéndice 7: Pautas de confidencialidad corporativa 46

Apéndice 8: Política de escritorio y pantalla limpios 49

Este libro se complementa con los siguientes libros de esta serie:

En todos los sistemas de información computarizados que recopilan, mantienen y procesan

Los sistemas de información computarizada y los componentes de la infraestructura de

El creciente número de aplicaciones computarizadas que involucran información valiosa y

Además, las preocupaciones por la privacidad y seguridad de los datos personales y el

2. La llegada del GDPR

Para obtener un resumen de GDPR, consulte el Apéndice 1.

Estas acciones incluyen un conjunto de varios controles de seguridad que se describen a

Tema #GC1: Prácticas de empleo del personal

GC 1.7. Imponer premios relevantes para fomentar prácticas de seguridad y medidas

Tema #GC2: Concientización y capacitación sobre seguridad del personal

Acción de control GC 2.1: Cultura de seguridad

Acción de control GC 2.2: Suplantación de identidad

Acción de control GC 2.3: Notificación

Tema #GC3: Prácticas de seguridad de terceros

a. Investigue las prácticas de seguridad de datos de la empresa (de terceros) y

Tema #GC4: Controles de eliminación (registros y hardware)

GC 4.2. Deseche eficazmente los registros de papel triturándolos, quemándolos o pulverizándolos

GC 4.4. Cuando deseche computadoras viejas y dispositivos de almacenamiento portátiles,

Tema #GC5: Controles de respuesta a incidentes de seguridad

GC 5.2. Designe a un miembro de alto nivel de su personal para coordinar e implementar

GC 5.3. Si una computadora está comprometida, desconéctela inmediatamente de su red.

GC 5.7. Además, muchos países, estados y autoridades gubernamentales y agencias reguladoras

Tema #PE1: Controles de acceso físico de oficinas y edificios

Tema #PE2: Controles de acceso físico al centro de datos

Tema #PE3: Controles ambientales del centro de datos

Tema #PE4: Controles de seguridad contra incendios del centro de datos

PE 4.2. Medidas de protección de las instalaciones informáticas (paredes, pisos y techos

PE 4.4. Medidas del código de construcción (instalaciones informáticas que se construirán

Tema #PE5: Controles de prevención de radiación del centro de datos

Tema #PE6: Controles de energía de emergencia del centro de datos

PE 6.3. En muchos casos, también se debe instalar un generador de energía independiente y

Tema #PE7: Práctica de escritorio limpio

Tema #PE8: Almacenamiento externo

PE 8.2. Mantenga un registro de sus empleados o visitantes que acceden al sitio de

Tema #PE9: Archivos en papel

Tema #PE10: Datos personales

Tema #PE11: Información confidencial

Tema #PE12: Inventario de activos de TI

Tema #DC1: Administración de red

DC 1.2. Identificación de conexiones sensibles: identifique todas las conexiones a las

DC 1.3. Evaluación de la vulnerabilidad: realice una evaluación de la vulnerabilidad de

DC 1.5. Anti-Malware: Ejecute regularmente programas antivirus y anti-spyware actualizados

DC 1.6. Software no autorizado: restrinja la capacidad de sus empleados para descargar

DC 1.7. Servicios no utilizados: escanee computadoras en su red para identificar y perfilar

DC 1.8. Conexión segura: cuando reciba o transmita información de tarjetas de crédito

1 Controles de gobernanza de la seguridad 7

2 Controles físicos y ambientales 11

3 Controles de Comunicaciones de datos 15

4 Controles de equipos de oficina 21