Como complemento a los dos posts anteriores sobre este asunto y con objeto de aportar también a este tema un enfoque práctico, en este post doy mi opinión sobre los objetivos que entiendo deben perseguirse con la implantación en las organizaciones de una normativa de este tipo, sobre los aspectos que considero más relevantes contemplar en ella, y sobre su efectiva implantación.
Asimismo, finalmente haré referencia a un ejemplo, que podemos encontrar en el sitio web de INTECO (Instituto Nacional de Tecnologías de la Comunicación), y que puede servir de base, adaptándolo a las características concretas de una organización, con objeto de establecer las directrices para una utilización adecuada de los recursos.
Dicho lo anterior, los capítulos más importantes, y las principales pautas a considerar en cada uno de ellos, que entiendo deben figurar en la normativa son los siguientes:
1. OBJETIVOS:
Capítulo en el que indicar los principales objetivos que se pretenden alcanzar con la implantación de la normativa.
En mi opinión los más importantes serían los siguientes:
- Proteger el prestigio y el buen nombre de la empresa.
- Evitar situaciones que puedan causar a la organización algún tipo de responsabilidad (civil, administrativa o penal) por la realización de actividades incorrectas o inadecuadas.
- Garantizar la seguridad, entendida ésta en sus vertientes de confidencialidad, integridad y disponibilidad, y un rendimiento óptimo, tanto de los sistemas de información de la propia organización como, si es el caso, de terceros.
- Facilitar el máximo aprovechamiento de los recursos informáticos y de comunicaciones, propiciando una gestión eficiente de los mismos.
- Asegurar que dichos recursos se utilizan para los fines propios de la empresa.
2. GLOSARIO DE TÉRMINOS:
Capítulo destinado a la definición de los términos empleados en la normativa (usuarios, administradores de sistemas, sistemas de información, recursos informáticos y de comunicaciones, etc.).
A la hora de establecer estas definiciones, en mi opinión es importante incluir entre los usuarios tanto a todo el personal interno que los use (incluidos los administradores de los sistemas) como al personal externo que coyunturalmente los pudiera utilizar.
Además, debe entenderse el término recurso informático o de comunicaciones en su acepción más amplia, es decir, como cualquier medio de cualquier naturaleza, físico o lógico, que interviene en los sistemas de información y/o de comunicaciones de la empresa (ordenadores de sobremesa, portátiles y dispositivos móviles, servidores, aplicaciones, ficheros de datos, redes, conexión a internet, sistema de correo electrónico, sistemas de almacenamiento de datos, sistemas de impresión, y, en general, cualquier otro componente de los sistemas).
3. ÁMBITO DE APLICACIÓN:
Lógicamente esta normativa será de aplicación a todos los usuarios de cualquier recurso informático o de comunicaciones propiedad o utilizado por la compañía, que tendrán la obligación de conocerla y cumplirla.
4. CONTROLES SOBRE LOS RECURSOS:
Se trata de especificar los controles que se vayan a establecer para garantizar el cumplimiento de la normativa, tanto preventivos (ejemplos: monitorización de los sistemas, filtrado de accesos a sitios web, medidas definidas sobre el tamaño máximo y número máximo de destinatarios de los mensajes de correo electrónico, eliminación de mensajes con anexos susceptibles de dañar los equipos, etc.), como que se puedan aplicar ante indicios claros de incumplimientos graves o reiterados de la normativa (ejemplo: auditoría de equipos, etc.).
Lógicamente, habrá que tener cuidado en que la aplicación de los controles esté justificada y que no sea desproporcionada, con objeto de que no pueda entenderse que con dicha aplicación se pueda vulnerar el derecho a la intimidad de los trabajadores.
5. NORMAS DE USO:
Antes de pasar a explicar el contenido que propongo para este capítulo, cabe decir, como ya indique en un post anterior, que entiendo que esta normativa excede del ámbito estricto de la protección de datos de carácter personal y de su normativa interna específica (fundamentalmente, el Documento de Seguridad), pero ambas tienen una conexión clara. Por ello, recomiendo indicar aquí las normas sobre el uso de los recursos referidas al ámbito general de los mismos y remitirse o hacer referencia al Documento de Seguridad en lo que se refiere a las funciones y obligaciones específicas de los usuarios en el tratamiento de datos de carácter personal.
Dicho lo anterior y a modo de ejemplo, a continuación indico una serie de apartados y el contenido que entiendo más relevante incluir en cada uno de ellos (lógicamente, existen otras muchas posibilidades, tanto en cuanto a apartados como a contenido, que podrían completar la normativa en función del alcance que finalmente se desee para la misma).
a) Criterios generales de utilización:
Creo que es importante que se recalque que, en cualquier caso, la utilización de los recursos informáticos y de comunicaciones se deberá ajustar a las previsiones generales del ordenamiento jurídico, especialmente en materia de protección de datos de carácter personal, propiedad intelectual e industrial y protección del honor e intimidad, y también a las propias de la organización (es decir, a las establecidas en esta normativa).
Como ejemplos de aspectos a contemplar a la hora de establecer los criterios generales se pueden indicar los siguientes:
- Prohibición de realizar actividades o de introducir contenidos en los sistemas de información o la red que sean contrarios al ordenamiento jurídico o que pueden ser comprometedores para la organización (como ejemplo se pueden citar: obscenos, sexistas, de incitación a la violencia o atentatorios contra los derechos humanos, amenazadores, inmorales, ofensivos, que perjudiquen los derechos a la intimidad, al honor o a la propia imagen, o contra la dignidad de las personas, aunque caben también otras posibilidades).
- Utilización de los recursos informáticos y de comunicaciones conforme a lo establecido en el Documento de Seguridad de la organización y en la normativa interna asociada, adoptando las medidas de seguridad exigidas y que en un futuro se puedan exigir por la normativa de la empresa en materia de protección de datos de carácter personal.
- Utilización de los recursos informáticos y de comunicaciones destinada al uso profesional de los usuarios y, por tanto, prohibición de su uso para actividades no relacionadas con las funciones propias del puesto de trabajo que desempeña cada usuario, salvo autorización expresa por parte de la organización.
- El acceso a los recursos y sistemas de información estará controlado por los administradores de sistemas debidamente autorizados y, por tanto, obligación de: utilizar única y exclusivamente los recursos informáticos y de comunicaciones para los que el usuario disponga de autorización, y, por consiguiente, prohibición de: utilizar el identificador de otra persona, compartir las cuentas de acceso a los recursos e intentar acceder a áreas restringidas de los sistemas de información, propios o de terceros, para las que no se cuente con acceso autorizado.
- Compromiso de respetar la integridad de los recursos y sistemas de información a los que se tenga acceso y , en consecuencia, obligación de: utilizar el software y versiones del mismo facilitados por la empresa o proveedor debidamente autorizado, y siempre siguiendo sus normas de uso, y prohibición de: alterar la configuración de los mismos (sistemas operativos, aplicaciones, conexiones, etc.), conectar a los recursos informáticos ningún tipo de equipo de comunicaciones que posibilite la conexión a la red corporativa, introducir voluntariamente software malicioso (programas, virus, etc.) o cualquier otro dispositivo lógico o físico que cause o pueda causar cualquier alteración o daño a los sistemas de información o comprometer la confidencialidad, integridad y disponibilidad de la información en ellos contenida, etc.
- Los mecanismos bajo los cuales se implementan los controles establecidos para garantizar el cumplimiento de esta normativa sólo podrán ser accedidos por administradores de sistemas debidamente autorizados y estarán bajo su exclusivo control y, por tanto, prohibición de: intentar acceder sin autorización, distorsionar o falsear los registros de actividad de los sistemas de información.
- Deber del usuario de comunicar a un administrador de sistemas autorizado cualquier anomalía detectada en el uso o funcionamiento de los recursos.
- Obligación de los administradores de sistemas de actuar con absoluta diligencia y de guardar total confidencialidad sobre los datos, documentos y demás informaciones a las que pudiere tener acceso en el ejercicio de sus funciones.
- Etc.
b) Servicio de correo electrónico corporativo:
Como ejemplos de aspectos a considerar a la hora de establecer criterios específicos sobre la utilización del correo electrónico de la empresa se pueden citar los siguientes:
- Responsabilidad de los usuarios de todas las actividades realizadas con las cuentas de correo electrónico proporcionadas por la empresa.
- Prohibición de utilizar en las instalaciones y en los recursos de la empresa cuentas de correo no proporcionadas por ésta, salvo autorización expresa.
- Prohibición de envío o reenvío de la documentación e información propia de trabajo a cuentas de correo electrónico que no se encuentren bajo control directo de la empresa (cuentas personales de trabajadores) y/o a destinatarios no relacionados con la misma.
- Prohibición de difundir por correo electrónico cualquier contenido ofensivo, amenazante, ilegal, fraudulento o malicioso, y de utilización del mismo con fines lucrativos o comerciales de índole personal, para uso recreativo o cualquier otro fin que no guarde relación con la actividad laboral.
- Prohibición de utilización de mecanismos y sistemas que intenten ocultar o falsear la identidad del emisor de correo, y/o suplantar la identidad de otra persona en el envío de mensajes de correo electrónico.
- Prohibición del envío masivo de correos electrónicos sin autorización expresa por parte de las personas designadas para ello por la empresa, y obligación, en aquellos caso en los que se autorice y así se determine, de proteger las direcciones de correo electrónico en los mensajes dirigidos a múltiples destinatarios, utilizando el campo CCO: (con copia oculta).
- Compromiso del usuario de no continuar con el envío de correos electrónicos a personas que hayan manifestado su negativa a recibirlos.
- Recomendación de no abrir mensajes recibidos de remitentes desconocidos.
- Etc.
c) Servicio de acceso web:
Como ejemplos de aspectos a considerar a la hora de establecer criterios específicos sobre la utilización del acceso web se pueden citar los siguientes:
- Compromiso y responsabilidad de los usuarios en lo que se refiere a restringir la navegación a aquellas páginas que tengan relación con su actividad y sobre la exclusiva descarga de archivos que sean necesarios para el desempeño de sus funciones, y desde sitios web confiables.
- Notificación previa a un administrador de sistemas autorizado para la descarga de ficheros de tamaño elevado, ya que esto puede suponer una pérdida importante de calidad de servicio.
- Gestión correcta por parte de los usuarios de los datos de identificación y autenticación y de las 'cookies' almacenadas en sus equipo, dado que pueden suponer un problema de seguridad para ellos y la propia organización.
- Etc.
Hasta aquí los ejemplos de normas de uso, aunque como ya he mencionado caben otras muchas posibilidades de aspectos a considerar, e incluso de capítulos a incluir.
6. INCUMPLIMIENTO DE LA NORMATIVA:
Se trata de recoger brevemente las consecuencias que pudieran conllevar las actuaciones que no se ajusten a las previsiones establecidas en la normativa y de las que será considerado responsable el el usuario que realice las actividades tipificadas como prohibidas o inadecuadas.
En este sentido, cabe plantear, desde la advertencia o apercibimiento al usuario responsable, pasando por la suspensión temporal, con carácter cautelar, del acceso a los recursos, hasta las sanciones disciplinarias oportunas. Todo ello, sin perjuicio de las sanciones administrativas, civiles o penales que en su caso pudieran corresponder a la persona implicada en dicho incumplimiento.
Por otra parte, los pasos que propongo se den de cara a la efectiva implantación de la normativa en una organización consisten en:
a) Información de la normativa a los trabajadores: consiste en publicar convenientemente la normativa elaborada entre todos los usuarios de recursos informáticas y de comunicaciones de la empresa (intranet, entrega de una copia impresa, etc.). En este sentido, un aspecto complementario puede ser el habilitar un texto informativo en el inicio de la sesión, para recordar al usuario que el uso de los recursos está sometido a la normativa interna existente y a la aplicación de una serie de controles con objeto de garantizar el cumplimiento de la misma.
b) Obtener el compromiso de los usuarios con respecto al cumplimiento de la normativa: consiste en elaborar un documento, a firmar por todos los usuarios de la empresa con acceso a los recursos, en el que estos declaren su condición de usuario de dichos recursos y su conocimiento de la normativa que regula su utilización, y mediante el cual, además, se comprometan a cumplir en su totalidad la normativa interna vigente y cuantas modificaciones pueda sufrir ésta en el futuro.
Para Finalizar, comentar que se pueden obtener fácilmente en internet diversos ejemplos de este tipo de normativas, y, como he indicado al principio, pongo el enlace al modelo que INTECO deja disponible en su sitio web:
http://www.inteco.es/Seguridad/Observatorio/area_juridica/Modelos_de_Contratos_Tecnologicos/ctto_med_tecn
Asimismo, finalmente haré referencia a un ejemplo, que podemos encontrar en el sitio web de INTECO (Instituto Nacional de Tecnologías de la Comunicación), y que puede servir de base, adaptándolo a las características concretas de una organización, con objeto de establecer las directrices para una utilización adecuada de los recursos.
Dicho lo anterior, los capítulos más importantes, y las principales pautas a considerar en cada uno de ellos, que entiendo deben figurar en la normativa son los siguientes:
1. OBJETIVOS:
Capítulo en el que indicar los principales objetivos que se pretenden alcanzar con la implantación de la normativa.
En mi opinión los más importantes serían los siguientes:
- Proteger el prestigio y el buen nombre de la empresa.
- Evitar situaciones que puedan causar a la organización algún tipo de responsabilidad (civil, administrativa o penal) por la realización de actividades incorrectas o inadecuadas.
- Garantizar la seguridad, entendida ésta en sus vertientes de confidencialidad, integridad y disponibilidad, y un rendimiento óptimo, tanto de los sistemas de información de la propia organización como, si es el caso, de terceros.
- Facilitar el máximo aprovechamiento de los recursos informáticos y de comunicaciones, propiciando una gestión eficiente de los mismos.
- Asegurar que dichos recursos se utilizan para los fines propios de la empresa.
2. GLOSARIO DE TÉRMINOS:
Capítulo destinado a la definición de los términos empleados en la normativa (usuarios, administradores de sistemas, sistemas de información, recursos informáticos y de comunicaciones, etc.).
A la hora de establecer estas definiciones, en mi opinión es importante incluir entre los usuarios tanto a todo el personal interno que los use (incluidos los administradores de los sistemas) como al personal externo que coyunturalmente los pudiera utilizar.
Además, debe entenderse el término recurso informático o de comunicaciones en su acepción más amplia, es decir, como cualquier medio de cualquier naturaleza, físico o lógico, que interviene en los sistemas de información y/o de comunicaciones de la empresa (ordenadores de sobremesa, portátiles y dispositivos móviles, servidores, aplicaciones, ficheros de datos, redes, conexión a internet, sistema de correo electrónico, sistemas de almacenamiento de datos, sistemas de impresión, y, en general, cualquier otro componente de los sistemas).
3. ÁMBITO DE APLICACIÓN:
Lógicamente esta normativa será de aplicación a todos los usuarios de cualquier recurso informático o de comunicaciones propiedad o utilizado por la compañía, que tendrán la obligación de conocerla y cumplirla.
4. CONTROLES SOBRE LOS RECURSOS:
Se trata de especificar los controles que se vayan a establecer para garantizar el cumplimiento de la normativa, tanto preventivos (ejemplos: monitorización de los sistemas, filtrado de accesos a sitios web, medidas definidas sobre el tamaño máximo y número máximo de destinatarios de los mensajes de correo electrónico, eliminación de mensajes con anexos susceptibles de dañar los equipos, etc.), como que se puedan aplicar ante indicios claros de incumplimientos graves o reiterados de la normativa (ejemplo: auditoría de equipos, etc.).
Lógicamente, habrá que tener cuidado en que la aplicación de los controles esté justificada y que no sea desproporcionada, con objeto de que no pueda entenderse que con dicha aplicación se pueda vulnerar el derecho a la intimidad de los trabajadores.
5. NORMAS DE USO:
Antes de pasar a explicar el contenido que propongo para este capítulo, cabe decir, como ya indique en un post anterior, que entiendo que esta normativa excede del ámbito estricto de la protección de datos de carácter personal y de su normativa interna específica (fundamentalmente, el Documento de Seguridad), pero ambas tienen una conexión clara. Por ello, recomiendo indicar aquí las normas sobre el uso de los recursos referidas al ámbito general de los mismos y remitirse o hacer referencia al Documento de Seguridad en lo que se refiere a las funciones y obligaciones específicas de los usuarios en el tratamiento de datos de carácter personal.
Dicho lo anterior y a modo de ejemplo, a continuación indico una serie de apartados y el contenido que entiendo más relevante incluir en cada uno de ellos (lógicamente, existen otras muchas posibilidades, tanto en cuanto a apartados como a contenido, que podrían completar la normativa en función del alcance que finalmente se desee para la misma).
a) Criterios generales de utilización:
Creo que es importante que se recalque que, en cualquier caso, la utilización de los recursos informáticos y de comunicaciones se deberá ajustar a las previsiones generales del ordenamiento jurídico, especialmente en materia de protección de datos de carácter personal, propiedad intelectual e industrial y protección del honor e intimidad, y también a las propias de la organización (es decir, a las establecidas en esta normativa).
Como ejemplos de aspectos a contemplar a la hora de establecer los criterios generales se pueden indicar los siguientes:
- Prohibición de realizar actividades o de introducir contenidos en los sistemas de información o la red que sean contrarios al ordenamiento jurídico o que pueden ser comprometedores para la organización (como ejemplo se pueden citar: obscenos, sexistas, de incitación a la violencia o atentatorios contra los derechos humanos, amenazadores, inmorales, ofensivos, que perjudiquen los derechos a la intimidad, al honor o a la propia imagen, o contra la dignidad de las personas, aunque caben también otras posibilidades).
- Utilización de los recursos informáticos y de comunicaciones conforme a lo establecido en el Documento de Seguridad de la organización y en la normativa interna asociada, adoptando las medidas de seguridad exigidas y que en un futuro se puedan exigir por la normativa de la empresa en materia de protección de datos de carácter personal.
- Utilización de los recursos informáticos y de comunicaciones destinada al uso profesional de los usuarios y, por tanto, prohibición de su uso para actividades no relacionadas con las funciones propias del puesto de trabajo que desempeña cada usuario, salvo autorización expresa por parte de la organización.
- El acceso a los recursos y sistemas de información estará controlado por los administradores de sistemas debidamente autorizados y, por tanto, obligación de: utilizar única y exclusivamente los recursos informáticos y de comunicaciones para los que el usuario disponga de autorización, y, por consiguiente, prohibición de: utilizar el identificador de otra persona, compartir las cuentas de acceso a los recursos e intentar acceder a áreas restringidas de los sistemas de información, propios o de terceros, para las que no se cuente con acceso autorizado.
- Compromiso de respetar la integridad de los recursos y sistemas de información a los que se tenga acceso y , en consecuencia, obligación de: utilizar el software y versiones del mismo facilitados por la empresa o proveedor debidamente autorizado, y siempre siguiendo sus normas de uso, y prohibición de: alterar la configuración de los mismos (sistemas operativos, aplicaciones, conexiones, etc.), conectar a los recursos informáticos ningún tipo de equipo de comunicaciones que posibilite la conexión a la red corporativa, introducir voluntariamente software malicioso (programas, virus, etc.) o cualquier otro dispositivo lógico o físico que cause o pueda causar cualquier alteración o daño a los sistemas de información o comprometer la confidencialidad, integridad y disponibilidad de la información en ellos contenida, etc.
- Los mecanismos bajo los cuales se implementan los controles establecidos para garantizar el cumplimiento de esta normativa sólo podrán ser accedidos por administradores de sistemas debidamente autorizados y estarán bajo su exclusivo control y, por tanto, prohibición de: intentar acceder sin autorización, distorsionar o falsear los registros de actividad de los sistemas de información.
- Deber del usuario de comunicar a un administrador de sistemas autorizado cualquier anomalía detectada en el uso o funcionamiento de los recursos.
- Obligación de los administradores de sistemas de actuar con absoluta diligencia y de guardar total confidencialidad sobre los datos, documentos y demás informaciones a las que pudiere tener acceso en el ejercicio de sus funciones.
- Etc.
b) Servicio de correo electrónico corporativo:
Como ejemplos de aspectos a considerar a la hora de establecer criterios específicos sobre la utilización del correo electrónico de la empresa se pueden citar los siguientes:
- Responsabilidad de los usuarios de todas las actividades realizadas con las cuentas de correo electrónico proporcionadas por la empresa.
- Prohibición de utilizar en las instalaciones y en los recursos de la empresa cuentas de correo no proporcionadas por ésta, salvo autorización expresa.
- Prohibición de envío o reenvío de la documentación e información propia de trabajo a cuentas de correo electrónico que no se encuentren bajo control directo de la empresa (cuentas personales de trabajadores) y/o a destinatarios no relacionados con la misma.
- Prohibición de difundir por correo electrónico cualquier contenido ofensivo, amenazante, ilegal, fraudulento o malicioso, y de utilización del mismo con fines lucrativos o comerciales de índole personal, para uso recreativo o cualquier otro fin que no guarde relación con la actividad laboral.
- Prohibición de utilización de mecanismos y sistemas que intenten ocultar o falsear la identidad del emisor de correo, y/o suplantar la identidad de otra persona en el envío de mensajes de correo electrónico.
- Prohibición del envío masivo de correos electrónicos sin autorización expresa por parte de las personas designadas para ello por la empresa, y obligación, en aquellos caso en los que se autorice y así se determine, de proteger las direcciones de correo electrónico en los mensajes dirigidos a múltiples destinatarios, utilizando el campo CCO: (con copia oculta).
- Compromiso del usuario de no continuar con el envío de correos electrónicos a personas que hayan manifestado su negativa a recibirlos.
- Recomendación de no abrir mensajes recibidos de remitentes desconocidos.
- Etc.
c) Servicio de acceso web:
Como ejemplos de aspectos a considerar a la hora de establecer criterios específicos sobre la utilización del acceso web se pueden citar los siguientes:
- Compromiso y responsabilidad de los usuarios en lo que se refiere a restringir la navegación a aquellas páginas que tengan relación con su actividad y sobre la exclusiva descarga de archivos que sean necesarios para el desempeño de sus funciones, y desde sitios web confiables.
- Notificación previa a un administrador de sistemas autorizado para la descarga de ficheros de tamaño elevado, ya que esto puede suponer una pérdida importante de calidad de servicio.
- Gestión correcta por parte de los usuarios de los datos de identificación y autenticación y de las 'cookies' almacenadas en sus equipo, dado que pueden suponer un problema de seguridad para ellos y la propia organización.
- Etc.
Hasta aquí los ejemplos de normas de uso, aunque como ya he mencionado caben otras muchas posibilidades de aspectos a considerar, e incluso de capítulos a incluir.
6. INCUMPLIMIENTO DE LA NORMATIVA:
Se trata de recoger brevemente las consecuencias que pudieran conllevar las actuaciones que no se ajusten a las previsiones establecidas en la normativa y de las que será considerado responsable el el usuario que realice las actividades tipificadas como prohibidas o inadecuadas.
En este sentido, cabe plantear, desde la advertencia o apercibimiento al usuario responsable, pasando por la suspensión temporal, con carácter cautelar, del acceso a los recursos, hasta las sanciones disciplinarias oportunas. Todo ello, sin perjuicio de las sanciones administrativas, civiles o penales que en su caso pudieran corresponder a la persona implicada en dicho incumplimiento.
Por otra parte, los pasos que propongo se den de cara a la efectiva implantación de la normativa en una organización consisten en:
a) Información de la normativa a los trabajadores: consiste en publicar convenientemente la normativa elaborada entre todos los usuarios de recursos informáticas y de comunicaciones de la empresa (intranet, entrega de una copia impresa, etc.). En este sentido, un aspecto complementario puede ser el habilitar un texto informativo en el inicio de la sesión, para recordar al usuario que el uso de los recursos está sometido a la normativa interna existente y a la aplicación de una serie de controles con objeto de garantizar el cumplimiento de la misma.
b) Obtener el compromiso de los usuarios con respecto al cumplimiento de la normativa: consiste en elaborar un documento, a firmar por todos los usuarios de la empresa con acceso a los recursos, en el que estos declaren su condición de usuario de dichos recursos y su conocimiento de la normativa que regula su utilización, y mediante el cual, además, se comprometan a cumplir en su totalidad la normativa interna vigente y cuantas modificaciones pueda sufrir ésta en el futuro.
Para Finalizar, comentar que se pueden obtener fácilmente en internet diversos ejemplos de este tipo de normativas, y, como he indicado al principio, pongo el enlace al modelo que INTECO deja disponible en su sitio web:
http://www.inteco.es/Seguridad/Observatorio/area_juridica/Modelos_de_Contratos_Tecnologicos/ctto_med_tecn
Comentarios
Publicar un comentario