Código ético - Adhoc Security

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
Recomendaciones para la elaboración de un Código Ético aplicado a la Seguridad de
los sistemas de información.
OBJETO DEL DOCUMENTO
Las recomendaciones consignadas en este documento tienen el objetivo de proporcionar
un modelo que ayuda al desarrollo de un CÓDIGO ÉTICO aplicado a la Seguridad de
los sistemas de información de la Compañía.
El propósito principal de este Código Ético es contribuir a la seguridad de la
información de los datos de la Compañía ya mencionada, teniendo un impacto en el
comportamiento humano de sus diferentes personas.
PERSONAS AFECTADAS POR EL CÓDIGO ÉTICO
Referente a la seguridad de los sistemas de información de la Compañía, este Código
Ético se refiere a todos las personas de la Compañía informáticos o no informáticos, que
utilizan los sistemas ya mencionados.
¿POR QUÉ ELABORAR UN CÓDIGO ÉTICO?
Así como el hombre o los equipos de producción, la Información siempre ha formado
parte del patrimonio de la Compañía. Hoy, debido a la eficacia de su automatización, se
ha convertido en uno de los elementos esenciales de este patrimonio.
Los recursos humanos, además de los medios físicos, lógicos o de organización
instalados, son uno de los componentes básicos de la seguridad, pero debido a su
naturaleza, representan probablemente el eslabón más débil de la “cadena de la
seguridad" .
Las personas de la Compañía, para cumplir su labor correctamente, deben beneficiarse
de un apoyo y de directrices adaptados a su ambiente de trabajo, y en particular de un
Código moral y de comportamiento cara a la Compañía y a sus sistemas de
información. Para contestar a esta demanda, Adhoc Security y Urbe Asesores Jurídicos
han traducido este documento ( Clusif 1999) y lo han adaptado a la legislación
española, dejando a cada empresa la iniciativa de adaptarlo a su contexto, antes de su
implementación en la Compañía.
CONDICIONES DE LA REPRODUCCIÓN
Cualquier reproducción parcial o total de este texto se autoriza e incluso se anima
1 OBJETO Y APLICACIÓN
El Código Ético es un código moral que define los principios de conducta de cada
empleado con respecto a los recursos informáticos y a la información de la Compañía.
Constituye así solamente un COMPLEMENTO a los textos oficiales y legales, así como
a los reglamentos internos, procedimientos e instrucciones de seguridad ya en vigor en
la Compañía y en el cual se basa. Constituye ante todo, un incentivo para el sentido de
responsabilidad del personal y un medio de sensibilización hacia la Seguridad de los
sistemas de información.
El Código Ético aplica al conjunto del personal de la Compañía (el término "empleado"
también será utilizado más en adelante) como a Terceros que deben acceder localmente
o remotamente a sus sistemas de información.
2 COMPARTIR RESPONSABILIDADES EN SU APLICACIÓN
Diferentes personas intervienen en la instalación y la operación de los sistemas de
información. También desempeñan un papel en la puesta en práctica de este código.
Todos son responsables de aplicarlo a su nivel en lo que les concierne, y hacer que se
aplique por los niveles subordinados. Hay que distinguir:
A. los propietarios, responsables de todo, o parte, de un sistema de información, y por
lo tanto encargados de definir, hacer implementar y operar los medios, REGLAS y
PROCEDIMIENTOS necesarios para su protección y de clasificar la información según
su valor. Deben ser los primeros en dar ejemplo por su comportamiento y su respeto a
este código.
B. los administradores, encargados de aplicar las reglas definidas por los propietarios.
C. los usuarios, a quienes les fue asignado un "derecho de uso” personalizado, limitado
estrictamente a las necesidades que han justificado la atribución de este derecho, y a
actuar de acuerdo con las reglas definidas.
D. los expertos informáticos, en cuya categoría se encuentran los profesionales de la
seguridad, que desarrollan e instalan los medios, las herramientas y los procedimientos
necesarios para asegurar una correcta operación y la seguridad de los sistemas de
información bajo su responsabilidad.
E. los reguladores y auditores, encargados de vigilar la buena aplicación de las
REGLAS y de los PROCEDIMIENTOS, como a su buena adecuación a las
necesidades de la Compañía.
3 MODALIDADES DE APLICACIÓN
El Código Ético aplica a todo el personal de la Compañía en sus actividades laborales
mientras permanece en ella y bajo ciertas condiciones después de su salida.
La Compañía tiene como responsabilidad la de proporcionar los elementos y los
recursos necesarios para la capacitación, el mantenimiento del saber y de los
conocimientos de su personal para asegurar la calidad, la seguridad y la continuidad del
servicio de sus sistemas de información. Por su parte, y por el hecho mismo de su
contrato de trabajo con la Compañía, el personal, tan pronto como sea informado de él,
debe respetar el código vigente.
3.1 Obligación del empleado con respecto a su Compañía
De una manera general, el empleado contribuye con su conducta a la protección y a
la conservación del patrimonio de la Compañía, y en particular del patrimonio de
Información. Se compromete a respetar y hacer aplicar los reglamentos definidos para
este propósito en la Compañía. Debe por otra parte vigilar su aplicación por terceros
que tienen que intervenir en los perímetros bajo su responsabilidad.
Los elementos de los sistemas de información (equipos, software, datos) son
propiedades de la Compañía dentro de los límites de los contratos asociados y de la
legislación en vigor. Cada empleado debe respetar los derechos de la propiedad y del
uso, que corresponden a las reglas internas en vigor, de conformidad con los derechos y
los poderes que se le concede para desarrollar sus actividades profesionales.
El empleado debe seguir las reglas de la Compañía para todo lo que se relacione con
la adquisición, la instalación, el uso, el transporte y las modificaciones de equipos y
software, y en particular para todos los medios que abren el acceso a las redes de
comunicaciones externas para las cuales una autorización preliminar de instalación y
uso es indispensable.
Debe, según su nivel de la responsabilidad, tener cuidado en asegurar la conservación y
la protección de estos sistemas de información con todos los medios relacionados con su
función y puestos a su disposición por la Compañía.
Cualquier empleado que dispone, en un momento dado, de derechos concedidos
por la Compañía sobre todo, o parte, de sus sistemas de información, tanto físicos
como lógicos, se vuelve responsable por ello, tanto de la información contenida o del
uso que se hace de ella. Aquellos derechos son propios, limitados en el tiempo e
intransferibles.
Por lo tanto:
 no debe transmitirlos sin el acuerdo de un representante competente de la
Compañía,
 no debe intentar, de ningún modo, salirse de los límites de los derechos
asignados.
Cualquier miembro del personal, según su nivel de responsabilidad, debe evaluar los
riesgos relacionados con estos sistemas de información, participar en la definición de las
medidas de protección correspondientes, vigilar su instalación y darlas a conocer y
aplicar por cualesquiera medios necesarios.
Existe una legislación orientada al uso de los sistemas de información que la Compañía
tiene la responsabilidad de dar a conocer, de aplicar y hacer aplicar a su personal y a
Terceros autorizados. Cada empleado debe respetarla. Trata particularmente de:
 la LOPD (Ley de Protección de Datos Personales) sobre la protección de la
información de carácter personal de las personas físicas, que obliga a :
o registrar en la APD (Agencia de Protección de Datos) cualquier fichero
automatizado conteniendo datos de carácter personal, con su finalidad.
o implementar procedimientos para comunicar y preservar los derechos de
las personas físicas afectadas.
o implementar medidas de Seguridad para proteger la Confidencialidad y
la Integridad de la información manejada.
 la ley sobre la protección del software, que prohíbe cualquier duplicación y uso
de un software comprado, aparte del marco contractual negociado con el
proveedor.
 la ley sobre los derechos de acceso a los sistemas de información, que especifica
los riesgos y las sanciones incurridos cuando haya tentativa de intrusión y/o de
mal uso de un sistema de información sin haber sido expresamente autorizado.
Esta lista no es exhaustiva. Cada uno en su función debe conseguir informarse sobre las
leyes y las reglas en vigor relacionadas con sus actividades dentro de la Compañía, sin
que ella deba recordárselo.
El empleado debe compartir su experiencia con las personas autorizadas, y rechazar
cualquier actitud de retención que vaya en contra del objetivo de la propagación del
conocimiento y del saber.
No tiene el derecho de apropiarse de los bienes materiales o inmateriales que
pertenecen a la Compañía, incluso dedicados a la destrucción, sin la autorización formal
de la cesión por parte de ella. No debe obtener ganancias personales o facilitar
ganancias a terceros a partir de la información a la cual puede acceder.
La utilización de estos sistemas para un uso no relacionado con las actividades del
empleado dentro de la Compañía, conlleva una tolerancia relativa, dentro de los límites
de la legislación y de las reglas internas, y a condición de que aquel uso no perjudique a
la Compañía, en su mercado o en sus operaciones.
El empleado, depositario de la información o de las copias de la información que
pertenecen a la Compañía debe asegurar, en tiempo oportuno su destrucción efectiva
según su nivel de confidencialidad y, en todos los casos, con el vencimiento de los
deberes legales, reglamentarios o contractuales de su conservación.
3.2 Obligaciones del empleado con respecto al exterior de la Compañía
El empleado debe tener cuidado en no revelar la información que el tiene a Terceros no
autorizados a conocerla (¡una especial atención con las preguntas “trampas” planteadas
por el teléfono por ciertos interlocutores externos! ).
En el marco de una prestación de servicios interna a la Compañía, los proveedores
internos y externos referidos, se comprometen a tomar en consideración los requisitos
de seguridad en vigor en la definición y operación de sus contratos recíprocos.
Cada empleado, dentro de los límites de su función, participa en la Imagen de la
Compañía, la representa y por lo tanto la compromete profesionalmente y legalmente en
el conjunto de sus relaciones con Terceros. Dentro de este marco, debe respetar las
REGLAS y los PROCEDIMIENTOS de seguridad en vigor en este campo,
especialmente en:
 el uso del correo electrónico o de redes externas,
 la negociación contractual con empresas colaboradoras, proveedores de bienes o
servicios,
 la participación en congresos, conferencias, exposiciones, asociaciones
profesionales,
 la respuesta a encuestas,
y utilizar de la mejor manera posible las herramientas de comunicación externa puestas
a su disposición por la Compañía para ayudarle en su misión.
Inversamente, se compromete a beneficiar a la Compañía con la información que pueda
obtener con sus relaciones.
3.3 Obligaciones del empleado en caso de situación de excepción
El empleado debe informar a su superior o a los responsables funcionales
correspondientes:
 sobre cualquier situación contraria a los reglamentos y que pueda perjudicar a la
Compañía,
 sobre cualquier operación anormal que pueda tener un impacto en la operación
correcta de los sistemas de información, y participar en su resolución según sus
prerrogativas y competencias, tanto en el nivel de los efectos como en las
causas.
Si por error o después de una operación anormal de los sistemas de seguridad, ocurre
que accede a funciones o a información no autorizadas para él, no debe mantener el
acceso. Debe salir e informar a las personas habilitadas de la operación anormal
constatada.