SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Recomendaciones para la elaboración de un Código Ético aplicado a la Seguridad de los sistemas de información. OBJETO DEL DOCUMENTO Las recomendaciones consignadas en este documento tienen el objetivo de proporcionar un modelo que ayuda al desarrollo de un CÓDIGO ÉTICO aplicado a la Seguridad de los sistemas de información de la Compañía. El propósito principal de este Código Ético es contribuir a la seguridad de la información de los datos de la Compañía ya mencionada, teniendo un impacto en el comportamiento humano de sus diferentes personas. PERSONAS AFECTADAS POR EL CÓDIGO ÉTICO Referente a la seguridad de los sistemas de información de la Compañía, este Código Ético se refiere a todos las personas de la Compañía informáticos o no informáticos, que utilizan los sistemas ya mencionados. ¿POR QUÉ ELABORAR UN CÓDIGO ÉTICO? Así como el hombre o los equipos de producción, la Información siempre ha formado parte del patrimonio de la Compañía. Hoy, debido a la eficacia de su automatización, se ha convertido en uno de los elementos esenciales de este patrimonio. Los recursos humanos, además de los medios físicos, lógicos o de organización instalados, son uno de los componentes básicos de la seguridad, pero debido a su naturaleza, representan probablemente el eslabón más débil de la “cadena de la seguridad" . Las personas de la Compañía, para cumplir su labor correctamente, deben beneficiarse de un apoyo y de directrices adaptados a su ambiente de trabajo, y en particular de un Código moral y de comportamiento cara a la Compañía y a sus sistemas de información. Para contestar a esta demanda, Adhoc Security y Urbe Asesores Jurídicos han traducido este documento ( Clusif 1999) y lo han adaptado a la legislación española, dejando a cada empresa la iniciativa de adaptarlo a su contexto, antes de su implementación en la Compañía. CONDICIONES DE LA REPRODUCCIÓN Cualquier reproducción parcial o total de este texto se autoriza e incluso se anima 1 OBJETO Y APLICACIÓN El Código Ético es un código moral que define los principios de conducta de cada empleado con respecto a los recursos informáticos y a la información de la Compañía. Constituye así solamente un COMPLEMENTO a los textos oficiales y legales, así como a los reglamentos internos, procedimientos e instrucciones de seguridad ya en vigor en la Compañía y en el cual se basa. Constituye ante todo, un incentivo para el sentido de responsabilidad del personal y un medio de sensibilización hacia la Seguridad de los sistemas de información. El Código Ético aplica al conjunto del personal de la Compañía (el término "empleado" también será utilizado más en adelante) como a Terceros que deben acceder localmente o remotamente a sus sistemas de información. 2 COMPARTIR RESPONSABILIDADES EN SU APLICACIÓN Diferentes personas intervienen en la instalación y la operación de los sistemas de información. También desempeñan un papel en la puesta en práctica de este código. Todos son responsables de aplicarlo a su nivel en lo que les concierne, y hacer que se aplique por los niveles subordinados. Hay que distinguir: A. los propietarios, responsables de todo, o parte, de un sistema de información, y por lo tanto encargados de definir, hacer implementar y operar los medios, REGLAS y PROCEDIMIENTOS necesarios para su protección y de clasificar la información según su valor. Deben ser los primeros en dar ejemplo por su comportamiento y su respeto a este código. B. los administradores, encargados de aplicar las reglas definidas por los propietarios. C. los usuarios, a quienes les fue asignado un "derecho de uso” personalizado, limitado estrictamente a las necesidades que han justificado la atribución de este derecho, y a actuar de acuerdo con las reglas definidas. D. los expertos informáticos, en cuya categoría se encuentran los profesionales de la seguridad, que desarrollan e instalan los medios, las herramientas y los procedimientos necesarios para asegurar una correcta operación y la seguridad de los sistemas de información bajo su responsabilidad. E. los reguladores y auditores, encargados de vigilar la buena aplicación de las REGLAS y de los PROCEDIMIENTOS, como a su buena adecuación a las necesidades de la Compañía. 3 MODALIDADES DE APLICACIÓN El Código Ético aplica a todo el personal de la Compañía en sus actividades laborales mientras permanece en ella y bajo ciertas condiciones después de su salida. La Compañía tiene como responsabilidad la de proporcionar los elementos y los recursos necesarios para la capacitación, el mantenimiento del saber y de los conocimientos de su personal para asegurar la calidad, la seguridad y la continuidad del servicio de sus sistemas de información. Por su parte, y por el hecho mismo de su contrato de trabajo con la Compañía, el personal, tan pronto como sea informado de él, debe respetar el código vigente. 3.1 Obligación del empleado con respecto a su Compañía De una manera general, el empleado contribuye con su conducta a la protección y a la conservación del patrimonio de la Compañía, y en particular del patrimonio de Información. Se compromete a respetar y hacer aplicar los reglamentos definidos para este propósito en la Compañía. Debe por otra parte vigilar su aplicación por terceros que tienen que intervenir en los perímetros bajo su responsabilidad. Los elementos de los sistemas de información (equipos, software, datos) son propiedades de la Compañía dentro de los límites de los contratos asociados y de la legislación en vigor. Cada empleado debe respetar los derechos de la propiedad y del uso, que corresponden a las reglas internas en vigor, de conformidad con los derechos y los poderes que se le concede para desarrollar sus actividades profesionales. El empleado debe seguir las reglas de la Compañía para todo lo que se relacione con la adquisición, la instalación, el uso, el transporte y las modificaciones de equipos y software, y en particular para todos los medios que abren el acceso a las redes de comunicaciones externas para las cuales una autorización preliminar de instalación y uso es indispensable. Debe, según su nivel de la responsabilidad, tener cuidado en asegurar la conservación y la protección de estos sistemas de información con todos los medios relacionados con su función y puestos a su disposición por la Compañía. Cualquier empleado que dispone, en un momento dado, de derechos concedidos por la Compañía sobre todo, o parte, de sus sistemas de información, tanto físicos como lógicos, se vuelve responsable por ello, tanto de la información contenida o del uso que se hace de ella. Aquellos derechos son propios, limitados en el tiempo e intransferibles. Por lo tanto: no debe transmitirlos sin el acuerdo de un representante competente de la Compañía, no debe intentar, de ningún modo, salirse de los límites de los derechos asignados. Cualquier miembro del personal, según su nivel de responsabilidad, debe evaluar los riesgos relacionados con estos sistemas de información, participar en la definición de las medidas de protección correspondientes, vigilar su instalación y darlas a conocer y aplicar por cualesquiera medios necesarios. Existe una legislación orientada al uso de los sistemas de información que la Compañía tiene la responsabilidad de dar a conocer, de aplicar y hacer aplicar a su personal y a Terceros autorizados. Cada empleado debe respetarla. Trata particularmente de: la LOPD (Ley de Protección de Datos Personales) sobre la protección de la información de carácter personal de las personas físicas, que obliga a : o registrar en la APD (Agencia de Protección de Datos) cualquier fichero automatizado conteniendo datos de carácter personal, con su finalidad. o implementar procedimientos para comunicar y preservar los derechos de las personas físicas afectadas. o implementar medidas de Seguridad para proteger la Confidencialidad y la Integridad de la información manejada. la ley sobre la protección del software, que prohíbe cualquier duplicación y uso de un software comprado, aparte del marco contractual negociado con el proveedor. la ley sobre los derechos de acceso a los sistemas de información, que especifica los riesgos y las sanciones incurridos cuando haya tentativa de intrusión y/o de mal uso de un sistema de información sin haber sido expresamente autorizado. Esta lista no es exhaustiva. Cada uno en su función debe conseguir informarse sobre las leyes y las reglas en vigor relacionadas con sus actividades dentro de la Compañía, sin que ella deba recordárselo. El empleado debe compartir su experiencia con las personas autorizadas, y rechazar cualquier actitud de retención que vaya en contra del objetivo de la propagación del conocimiento y del saber. No tiene el derecho de apropiarse de los bienes materiales o inmateriales que pertenecen a la Compañía, incluso dedicados a la destrucción, sin la autorización formal de la cesión por parte de ella. No debe obtener ganancias personales o facilitar ganancias a terceros a partir de la información a la cual puede acceder. La utilización de estos sistemas para un uso no relacionado con las actividades del empleado dentro de la Compañía, conlleva una tolerancia relativa, dentro de los límites de la legislación y de las reglas internas, y a condición de que aquel uso no perjudique a la Compañía, en su mercado o en sus operaciones. El empleado, depositario de la información o de las copias de la información que pertenecen a la Compañía debe asegurar, en tiempo oportuno su destrucción efectiva según su nivel de confidencialidad y, en todos los casos, con el vencimiento de los deberes legales, reglamentarios o contractuales de su conservación. 3.2 Obligaciones del empleado con respecto al exterior de la Compañía El empleado debe tener cuidado en no revelar la información que el tiene a Terceros no autorizados a conocerla (¡una especial atención con las preguntas “trampas” planteadas por el teléfono por ciertos interlocutores externos! ). En el marco de una prestación de servicios interna a la Compañía, los proveedores internos y externos referidos, se comprometen a tomar en consideración los requisitos de seguridad en vigor en la definición y operación de sus contratos recíprocos. Cada empleado, dentro de los límites de su función, participa en la Imagen de la Compañía, la representa y por lo tanto la compromete profesionalmente y legalmente en el conjunto de sus relaciones con Terceros. Dentro de este marco, debe respetar las REGLAS y los PROCEDIMIENTOS de seguridad en vigor en este campo, especialmente en: el uso del correo electrónico o de redes externas, la negociación contractual con empresas colaboradoras, proveedores de bienes o servicios, la participación en congresos, conferencias, exposiciones, asociaciones profesionales, la respuesta a encuestas, y utilizar de la mejor manera posible las herramientas de comunicación externa puestas a su disposición por la Compañía para ayudarle en su misión. Inversamente, se compromete a beneficiar a la Compañía con la información que pueda obtener con sus relaciones. 3.3 Obligaciones del empleado en caso de situación de excepción El empleado debe informar a su superior o a los responsables funcionales correspondientes: sobre cualquier situación contraria a los reglamentos y que pueda perjudicar a la Compañía, sobre cualquier operación anormal que pueda tener un impacto en la operación correcta de los sistemas de información, y participar en su resolución según sus prerrogativas y competencias, tanto en el nivel de los efectos como en las causas. Si por error o después de una operación anormal de los sistemas de seguridad, ocurre que accede a funciones o a información no autorizadas para él, no debe mantener el acceso. Debe salir e informar a las personas habilitadas de la operación anormal constatada.