Política de seguridad el empleado y uso aceptable

 

 

 

 

 

 

Versión Fecha Observaciones
1 21/02/2025 Creación del documento
Realizado por Revisado por Aprobado por
Responsable del Sistema  Responsable de Seguridad Dirección

 

Todos los empleados deben seguir las reglas de uso informadas en esta Política de Seguridad del Empleado de aplicación a la seguridad de la Información.

 

1

Confidencialidad

Toda la información existente en nuestras instalaciones o adquirida a través de los contactos establecidos con nuestros clientes es propiedad de GESTIOIURIS ASISTENCIA S.L. y será absolutamente confidencial, sin que la misma pueda ser puesta a disposición o revelada a personas ajenas a nuestra organización. En consecuencia, todo empleado deberá tomar las medidas de control necesarias para asegurar, dentro de su ámbito de alcance, que dicha información no llegue a manos de personas no autorizadas a tener acceso a la misma. Para garantizar este punto y minimizar el riesgo de posibles filtraciones o accesos no deseados, se deberán tener en cuenta los siguientes puntos:

  • Los documentos propios de un proyecto no deberán estar a la vista pública en lugares donde puedan acceder personas no En particular, la mesa y el entorno de trabajo no deben tener a la vista papeles o notas con información confidencial.
  • En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos.
  • Los documentos que ya no se estimen de utilidad y que no vayan a ser archivados, sea en formato papel o electrónico, deberán ser destruidos físicamente.
  • En la medida de lo posible, los papeles de trabajo se guardarán al finalizar la jornada laboral; caso de no disponer de un sitio adecuado para ello, se procurará tomar las medidas oportunas para evitar su acceso por personas no autorizadas.
  • Se evitará utilizar la Información Confidencial para cualquier otro propósito, distinto de aquél para el que fue solicitada.
  • Cualquier soporte de información, informático, en papel o de cualquier otro tipo, que una persona usuaria localice en los espacios de coworking de GESTIOIURIS ASISTENCIA S.L. o sus inmediaciones que tenga la apariencia de haber sido extraviado, será entregado de forma inmediata al administrador de sistemas.
  • Al finalizar la relación laboral o de cualquier otra índole con GESTIOIURIS ASISTENCIA S.L. , se deberán devolver todos los dispositivos asignados en el transcurso de la relación con la Estos dispositivos deben ser devueltos en buen estado.
  • Se limitará al mínimo imprescindible el número de personas que tendrán acceso a la Información Confidencial y cumplirán con lo dispuesto en la legislación sobre protección de datos de carácter
  • Asimismo, se exige una utilización prudente y diligente de dicha información, especialmente en las conversaciones sobre clientes en comunicaciones telefónicas y en lugares públicos.

Cuando se trate de enviar borradores de informes o similares a clientes, se recomienda enviarlos en formato PDF.

Todo el personal se compromete a mantener por tiempo indefinido, incluido cuando se termine la relación laboral, en la más estricta confidencialidad, y a no revelar a ninguna persona cualquier información confidencial a la que pudiera tener acceso en virtud de dicha relación, excepto cuando hayan obtenido el consentimiento expreso, previamente y por escrito.

Se protegerá la propiedad intelectual de la compañía conforme a la ley de propiedad intelectual en vigor y ley de secretos empresariales.

En el Contrato de Confidencialidad que firmaste en el momento de tu incorporación a la empresa, podrás consultar de manera más detallada estas cuestiones.

 

2          

Gestión de contraseñas

  • GESTIOIURIS ASISTENCIA S.L. cuenta con una Política de Contraseñas en la que se define la sistemática a seguir para establecer contraseñas seguras y robustas para los diferentes sistemas y aplicaciones a los que tendrán acceso las personas Las contraseñas son privadas y cada usuario es responsable de ellas. NO SE DEBEN COMPARTIR.
  • Las contraseñas no deben recordarse en el navegador. Se podrá disponer un gestor de contraseñas que requiera la autenticación para su acceso o utilizar el disponible en los
  • No deben almacenarse en lugares
  • Las contraseñas deben tener al menos 8 dígitos, estar formada por caracteres alfanuméricos (mayúsculas y minúsculas) y un carácter especial (símbolos).
  • Los aplicativos deben integrarse en el sistema de validación de contraseñas de GESTIOIURIS ASISTENCIA S.L. . Si no es posible, se debe aplicar una configuración lo más similar posible, bajo previa autorización del comité correspondiente.
  • Las contraseñas de usuario deben cambiarse cada 90 días. No está permitido el cambio a una contraseña que ya se ha tenido con anterioridad.
  • Los derechos de acceso de los empleados y terceros deberán ser retirados a la finalización del empleo, del contrato o del acuerdo, o ajustados en caso de cambio.

 

3          

Uso de internet

El acceso a Internet debe utilizarse de manera coherente y adecuada a la conducta empresarial profesional. En particular, los siguientes usos están estrictamente prohibidos. Estas pautas se aplican en todo momento, no solo durante el horario laboral.

Usos prohibidos:

  • Utilizar la dirección de correo electrónico corporativo en sitios web que no están relacionados con GESTIOIURIS ASISTENCIA S.L. .
  • Acceder, descargar o transmitir material pornográfico, obsceno u otro material sexualmente explícito.
  • Acceder, descargar o transmitir información que sea o pueda interpretarse razonablemente como indecente u ofensiva.
  • Acceder, descargar o transmitir material ilegal o material con fines
  • Acceder, descargar o transmitir material para obtener acceso no autorizado o por la corrupción de los sistemas, datos, redes o equipos informáticos de la empresa u otras personas y
  • Para actividades políticas.
  • Para apostar o solicitar con fines de lucro o beneficio
  • Comprar bienes o servicios corporativos a menos que tenga el permiso expreso de su Manager para hacerlo.
  • Suscribirse o registrarse en grupos de noticias o sitios web no relacionados con el
  • Para acceder a sistemas de correo electrónico no corporativos basados en la web a menos que su Director lo autorice expresamente.
  • Para descargar material protegido por derechos de autor, incluidos archivos de música y

 

4          

Monitorización de la compañía

La Dirección se reserva el derecho a monitorizar en caso de incumplimiento manifiesto los equipos de los empleados, sin embargo, de manera normal, no se monitorizan los equipos. Al acceder a Internet, servicios de correo electrónico y mensajería instantánea, almacenamiento en la nube y teléfono a través de las instalaciones proporcionadas por GESTIOIURIS ASISTENCIA S.L., GESTIOIURIS ASISTENCIA S.L. podrá

monitorear, registrar y examinar todas las instalaciones, conexiones individuales y comunicaciones, incluido el contenido de las mismas, para:

  • Prevenir o detectar
  • Investigar o detectar el uso no autorizado de los sistemas de Internet, correo electrónico y teléfono de la Compañía (según lo establecido en esta política o según lo prescrito por la ley) para garantizar el funcionamiento eficaz de los sistemas de Internet y correo electrónico, p. comprobación de virus. Los dispositivos no corporativos autorizados legalmente que se utilicen con fines comerciales podrían monitorearse y usarse con fines de investigación.

Para evitar dudas, las actividades de supervisión y revisión de la empresa podrán extenderse al uso de todas y cada una de las aplicaciones a las que se accede a través de dispositivos e instalaciones corporativas. Si la empresa tiene motivos para sospechar de un mal uso de los medios corporativos, se reserva el derecho de monitorizar temporalmente los correos electrónicos actuales y archivados, evidencias electrónicas y denegar el acceso a las instalaciones de GESTIOIURIS ASISTENCIA S.L. , esta monitorización podrá llevarse a cabo tanto para empleados en activo como para aquellos que hayan causado ya baja en GESTIOIURIS ASISTENCIA S.L..

En todo caso, la monitorización temporal de cualquier contenido o comunicación se realizará con todas las garantías y sólo en la medida en que sea necesario para investigar la sospecha de mal uso de los medios corporativos y siempre observando los criterios de proporcionalidad, idoneidad, justificación y necesidad, además de que:

  • Sólo se accederá cuando no existan medidas menos invasivas para determinar si ha habido infracción de las políticas de GESTIOIURIS ASISTENCIA S.L.
  • Se adoptarán las medidas mínimas necesarias para evaluar la posible infracción, p.ej. no se accederá al contenido de los correos electrónicos si es suficiente con revisar los registros de fecha y hora de estos.
  • Cualquier investigación y acceso a las comunicaciones se realizará de forma restringida y documentada, limitándose a periodos de tiempo específicos, carpetas de correo electrónico concretas y relevantes, y mediante el uso de palabras clave, evitando así cualquier acceso
  • Dicha investigación únicamente será llevada a cabo por el departamento de

 

5          

Registros web (blogs), redes sociales y sitios web personales: dominios no grupales

GESTIOIURIS ASISTENCIA S.L. considera que los registros web y los sitios de redes sociales como Twitter, Facebook, Instagram y Youtube son principalmente una forma de comunicación y relación entre individuos. Cuando la empresa desea comunicarse públicamente como empresa, ya sea al mercado o al público en general, tiene medios bien establecidos para hacerlo.

Solo aquellos designados oficialmente por GESTIOIURIS ASISTENCIA S.L. tienen la autorización para hablar en nombre de la empresa.

Si elige identificarse como un empleado (o ex-empleado) de GESTIOIURIS ASISTENCIA S.L. o discutir asuntos relacionados con la tecnología o el negocio de GESTIOIURIS ASISTENCIA S.L. en su sitio web, blog o sitio de redes sociales como un proyecto personal y un medio de expresión personal, debe observar lo siguiente:

  • Informe a sus lectores que las opiniones expresadas son únicamente suyas y que no reflejan las opiniones de GESTIOIURIS ASISTENCIA S.L.
  • Publicar en el pie de página de cada página o en una posición destacada en los sitios de redes sociales «No es un sitio aprobado por GESTIOIURIS ASISTENCIA S.L. » y proporcione un enlace a los sitios oficiales.
  • No revele ninguna información que sea confidencial o propiedad de GESTIOIURIS ASISTENCIA L. o de ningún tercero que haya revelado información a GESTIOIURIS ASISTENCIA S.L.
  • No realice comentarios falsos, despectivos, difamatorios o potencialmente dañinos sobre GESTIOIURIS ASISTENCIA S.L. , sus clientes, empleados, contratistas, agentes, socios, proveedores, afiliados u otros.
  • No utilice las marcas comerciales de la empresa en su sitio ni reproduzca material de la empresa sin antes obtener permiso.

GESTIOIURIS ASISTENCIA S.L. puede solicitarle que limite temporalmente los comentarios de su sitio web o blog a temas no relacionados con la Compañía (o que suspenda temporalmente la actividad de su sitio web o blog) si lo considera necesario.

 

6          

Periodo de inactividad de la pantalla y escritorio limpio.

Todos los empleados con acceso a los dispositivos corporativos son responsables de garantizar la protección de los dispositivos que se les entregan.

Los dispositivos corporativos deben estar protegidos con un protector de pantalla protegido por contraseña con una función de activación automática. Los empleados deben bloquear la pantalla o cerrar

la sesión cuando el dispositivo esté desatendido (Tecla Win+L). El periodo de inactividad de la pantalla debe estar activado a los 10 minutos de inactividad para que se bloquee y se debe introducir nuevamente la contraseña. Igualmente, el escritorio de trabajo físico debe encontrarse libre de información confidencial o de carácter personal. El escritorio del ordenador no debe contener información corporativa debiendo estar todo el contenido en cloud o en su defecto si aplica en los entornos de cliente.

En caso de robo de cualquier dispositivo corporativo, los empleados deben denunciarlo de inmediato a su responsable.

 

7          

Copyright y propiedad intelectual

Los empleados deben cumplir con todas las leyes de propiedad intelectual y derechos de autor. Los empleados no deben cargar, descargar ni transmitir ningún material protegido por derechos de autor que pertenezca a terceros ajenos a GESTIOIURIS ASISTENCIA S.L. sin el permiso del titular de los derechos de autor.

Los dispositivos corporativos y el almacenamiento basado en la nube, proporcionados por GESTIOIURIS ASISTENCIA S.L. , no deben usarse para almacenar material protegido por derechos de autor para uso personal y deben usarse sólo con fines comerciales.

 

Los sistemas de GESTIOIURIS ASISTENCIA S.L. no deben usarse para convertir, codificar, copiar o duplicar material protegido por derechos de autor para uso personal. El material con derechos de autor puede incluir música, audio de video, software e imágenes. Los dispositivos corporativos y el almacenamiento basado en la nube se pueden monitorear para garantizar un uso adecuado.

 

8          

Uso del correo electrónico

El correo electrónico no se debe utilizar para solicitar la recepción automática de mensajes de sitios web de Internet originadores anónimos, o para participar en comunicaciones en cadena. Los mensajes de correo electrónico son una fuente creciente de virus, particularmente virus con documentos adjuntos.

  • Todos los empleados deben asegurarse de que los correos electrónicos y los mensajes se redacten con el mismo cuidado y profesionalismo que todas las demás formas de correspondencia comercial. Si tiene alguna duda, debe hablar con su Manager, antes de enviar un correo electrónico. Los empleados deben verificar los destinatarios (Para, CC y CCO) de todos

los correos electrónicos «enviados» o «respondidos» por ellos para asegurarse de que la comunicación sea solo para la lista de destinatarios previstos. En el caso de utilización de listas de distribución, se debe verificar que todos los destinatarios de esta deben recibir el correo. En caso contrario, no se hará uso de la lista.

  • No circule ni transmita ningún correo electrónico o mensaje instantáneo que contenga lenguaje

o contenido que pueda ser considerado ofensivo, obsceno o despectivo, difamatorio, que tenga

o fomente propósitos delictivos, o que dañe la imagen o reputación de la Compañía.

  • Los empleados no deben enviar archivos adjuntos a correos electrónicos personales y enviar o recibir archivos adjuntos no relacionados con el negocio, incluidos juegos, programas, imágenes o multimedia.
  • Al enviar archivos adjuntos con información confidencial, esta debe enviarse con protección de contraseña y la contraseña debe compartirse por separado a través de SMS o un canal seguro diferente cuando sea posible, pero nunca en un correo electrónico siguiente.
  • No se permitirá el uso de correo electrónico personal ni para fines
  • Los empleados deben saber que los contratos que vinculan a GESTIOIURIS ASISTENCIA S.L. pueden crearse en Internet o por correo electrónico. Los empleados no deben ingresar en nombre de GESTIOIURIS ASISTENCIA S.L. en contratos o suscribirse, ordenar, comprar, vender o anunciar la venta de bienes o servicios en Internet o por correo electrónico, a menos que estén

 

9          

Seguridad, uso de los dispositivos móviles

Los equipos informáticos que pone GESTIOIURIS ASISTENCIA S.L. a disposición de su plantilla se deben utilizar con fines profesionales.

Cumplir las normas de seguridad es esencial para proteger toda la información corporativa.

Cada empleado es responsable de la seguridad del equipo, así como toda la información que contiene y asumirá las responsabilidades derivadas de la pérdida o deterioro del equipo.

El usuario será responsable de mantener en todo momento el antivirus actualizado y en funcionamiento para prevenir riesgos derivados de malware.

 

10       

Uso indebido

De forma general se considera uso indebido todo uso contrario a esta guía. En especial se resaltan los siguientes usos indebidos:

  • Uso de los recursos de procesamiento de la información de la compañía para fines
  • Ejecución remota -salvo autorización- de archivos de tipo audiovisual (música, vídeo, animaciones, etc.)
  • Utilización de cualquier tipo de software dañino.
  • Utilización de programas que, por su naturaleza, hagan un uso abusivo de la
  • Conexión a la red informática corporativa de cualquier equipo o dispositivo no
  • facilitado por la empresa, sin haber sido
  • Utilización de conexiones y medios inalámbricos con tecnologías WiFi, Bluetooth o
  • infrarrojos que no estén debidamente autorizados por la empresa-Instalación y/o utilización de programas o contenidos que vulneren la legislación vigente en materia de Propiedad Este comportamiento estará sometido a las previsiones disciplinarias, administrativas, civiles o penales descritas en las leyes.
  • El envío de correos electrónicos con contenido inadecuado, ilegal, ofensivo, difamatorio, inapropiado o discriminatorio por razón de sexo, raza, edad, discapacidad, que contengan programas informáticos (software) sin licencia, que vulneren los derechos de propiedad intelectual de los mismos, de alerta de virus falsos o difusión de virus reales y código malicioso, o cualquier otro tipo de contenidos que puedan perjudicar a los usuarios, identidad e imagen corporativa y a los propios sistemas de información de la organización
  • El acceso a un buzón de correo electrónico distinto del propio y el envío de correos electrónicos con usuarios distintos del propio o de los buzones compartidos que tengan autorizados. Por otra parte, los usuarios del departamento TIC pueden acceder a buzones ajenos por labores de monitorización o investigación, si así es requerido.
  • La difusión de la cuenta de correo del usuario en listas de distribución, foros, servicios de noticias, etc., que no sean consecuencia de la actividad profesional del usuario.
  • Responder mensajes de los que se tenga sospechas sobre su autenticidad, confiabilidad y contenido, o mensajes que contengan publicidad no deseada.
  • La utilización del correo corporativo como medio de intercambio de ficheros especialmente voluminosos sin autorización, y el envío de información sensible, confidencial o protegida.
  • El acceso a recursos y páginas web, o la descarga de programas o contenidos que vulneren la legislación en materia de Propiedad Intelectual
  • La utilización de aplicaciones o herramientas (especialmente, el uso de programas de intercambio de información, P2P) para la descarga masiva de archivos, programas u otro tipo de contenido (música, películas, etc.) que no esté expresamente autorizada.

 

11       

Almacenamiento de datos y control de accesos

 

Como directriz general no se debe trabajar como si el equipo fuese fijo, por lo que no se debe guardar la información de ningún tipo en el equipo.

GESTIOIURIS ASISTENCIA S.L. proporciona almacenamiento basado en la nube (por ejemplo, OneDrive y SharePoint) que se utilizará para archivos relacionados con el trabajo y permite la creación y el acceso a documentos e información empresarial desde prácticamente cualquier lugar. Se deben seguir las prácticas de seguridad para garantizar que este recurso se utilice correctamente. Todos los empleados deben:

  • Compartir archivos con personas específicas, nunca con «todos» o hacer los archivos accesibles a todo el Tenga cuidado al enviar enlaces a carpetas compartidas porque a menudo se pueden reenviar a otras personas a las que no proporcionó acceso.
  • Recuerde que, una vez que se comparte un archivo con alguien y lo descarga en su dispositivo, puede compartirlo con otras personas.
  • Evite acceder a este recurso desde dispositivos no corporativos y en lugares públicos.
  • No descargue ni almacene ningún archivo que contenga datos corporativos localmente (tanto en dispositivos corporativos como personales). En caso de que sea necesario hacerlo, se debe eliminar la información en cuanto deje de ser necesaria.

Todos los sistemas de información de GESTIOIURIS ASISTENCIA S.L. deberán contar con un sistema de control de acceso a los mismos. Asimismo, el control de acceso se enfoca en asegurar el acceso de los usuarios y prevenir el acceso no autorizado a los sistemas de información, incluyendo medidas como la protección mediante contraseñas.

 

12       

Teletrabajo y acceso remoto

Se deberá controlar el acceso remoto a la red de las sociedades de GESTIOIURIS ASISTENCIA S.L. en la modalidad de trabajo a distancia.

Los servicios de conexión al trabajo remoto estarán destinados exclusivamente a personal GESTIOIURIS ASISTENCIA S.L. . Su uso por parte de cualquier otro tipo de colaborador requerirá autorización del responsable de seguridad.

El equipo utilizado para la conexión en la modalidad de trabajo en remoto podrá ser propiedad del empleado o proporcionado por GESTIOIURIS ASISTENCIA S.L. . En cualquier caso, es obligatorio que el equipo cumpla con los siguientes requerimientos de seguridad:

  • Capacidad de realizar una conexión a través de una VPN con los
  • Disponer de un sistema operativo actualizado con los últimos parches y actualizaciones de
  • Software de firewall/cortafuegos personal
  • No se permite el teletrabajo desde un equipo propio del
  • El servicio de teletrabajo se monitorizará y controlará, registrándose tanto la conexión como la actividad de acuerdo con los protocolos de seguridad.
  • Los accesos remotos hacia los Sistemas de Información de GESTIOIURIS ASISTENCIA S.L. deben ser gestionados y controlados por el área de Identidad y Control de Acceso.
  • El acceso desde redes externas a la red interna debe estar autorizado por el responsable
  • La gestión remota de dispositivos (tales como servidores, estaciones de trabajo o elementos de red) debe realizarse sobre canales seguros.
  • Los accesos remotos mantienen la restricción de acceso a la información con base en el desempeño o responsabilidad del usuario que accede.

 

13        Uso de dispositivos BYOD

GESTIOIURIS ASISTENCIA S.L. si permitirá puntualmente la política conocida como BYOD (Bring Your Own Device), que permite a los empleados utilizar sus recursos o dispositivos móviles personales para acceder a recursos o información de GESTIOIURIS ASISTENCIA S.L. , siempre que haya una autorización expresa y por escrito de la organización.

Adicionalmente, los usuarios deberán tener en cuenta una serie de requisitos establecidos en esta Política:

  • En caso de estar autorizado, se deberán aplicar las mismas medidas y configuraciones de seguridad a los dispositivos BYOD que tratan información igual que al resto de dispositivos de GESTIOIURIS ASISTENCIA S.L..
  • El usuario será responsable de los equipos
  • Los usuarios deberán mantener actualizado el dispositivo BYOD personal donde
    • información de cualquier tipo de GESTIOIURIS ASISTENCIA S.L. . Asimismo, deberán tener instaladas aplicaciones de seguridad (antivirus, antimalware, etcétera) para evitar brechas de seguridad en esos equipos.
  • Los empleados deberán recibir autorización de su responsable de área para utilizar dispositivos BYOD.

 

14          Intercambio de información

Se han establecido diferentes políticas, procedimientos y controles formales que protejan el intercambio de información mediante el uso de todo tipo de recursos de comunicación.

  • Protección de la información confidencial intercambiada, mediante los permisos de
  • Definición de responsabilidades para los activos de información, concienciación del personal sobre la seguridad de la información y acuerdos de confidencialidad.
  • Concienciación del personal en evitar mantener conversaciones confidenciales en lugares públicos, oficinas o salas de reuniones abiertas.

Se controla no dejar información confidencial o crítica en medios impresos al alcance de personas no autorizadas a su acceso.

Se controla no dejar mensajes conteniendo información confidencial en contestadores automáticos; ni almacenados en sistemas comunitarios.

Queda terminantemente prohibido facilitar a persona alguna ajena a la organización ningún soporte que contenga información a la que haya tenido acceso en el desempeño de sus funciones, sin la debida autorización.

 

15        Uso de software

GESTIOIURIS ASISTENCIA S.L. deberá mantener una política de trabajo en la nube o cloud computing que establezca las medidas de seguridad adecuadas para la confidencialidad, integridad y disponibilidad de la información. Dependiendo del tipo de modelo de servicio en la nube, se deberán aplicar diferentes medidas de seguridad.

Solo se permite el uso de software específicos para el desarrollo de la actividad y con licencia.

 

16        Clasificación y etiquetado de la información

Se deberá definir un modelo de clasificación de la información que permita conocer e implantar las medidas técnicas y organizativas necesarias para mantener su disponibilidad, confidencialidad e

integridad. El modelo de clasificación deberá integrar los requisitos y condiciones establecidos en el presente apartado de la Política.

El modelo de clasificación deberá tener un responsable encargado de su actualización cuando se crea conveniente, así como de dar a conocer el modelo de clasificación a todos los empleados de GESTIOIURIS ASISTENCIA S.L.

16.1        Tipos de información

GESTIOIURIS ASISTENCIA S.L. deberá clasificar la información en función del soporte en el que está siendo utilizado:

  • Soportes lógicos: información que esté siendo utilizada mediante medios ofimáticos, correo electrónico o sistemas de información desarrollados a medida o adquiridos a un tercero.
  • Soportes físicos: información que esté en papel, soportes magnéticos como USBs, discos duros, etcétera.

16.2        Niveles de clasificación

En función de la sensibilidad de la información, GESTIOIURIS ASISTENCIA S.L. deberá catalogar la información en tres niveles:

  • Uso público
  • Información confidencial
  • Información de uso interno

GESTIOIURIS ASISTENCIA S.L. deberá etiquetar mediante métodos manuales o, en la medida de lo posible, automatizados para facilitar el procesamiento adecuado de las medidas de seguridad que apliquen en cada caso.

Se deberán etiquetar los documentos únicamente confidenciales a través de nombre de documento, pie o encabezado de página o marca de agua.

Se deberá definir un proceso o procedimiento para el etiquetado de la información de acuerdo con los siguientes requisitos:

  • Asegurar que el etiquetado de la información refleja el esquema de clasificación de la información adoptado.
  • Asegurar que las etiquetas sean fácilmente reconocibles entre todos los
  • Orientar a los empleados sobre dónde y cómo se colocarán o utilizarán las etiquetas, en función del proceso de acceso a la información o a los activos que la soportan.
  • Indicar las excepciones en los que se permite omitir el etiquetado, sin que ello suponga una omisión del deber de clasificar la información.

Se deberá prestar especial atención y tratar con cuidado máximo el etiquetado de activos físicos que contengan información reservada o secreta, para evitar su sustracción por ser fácilmente identificable.

Se deberán establecer las medidas técnicas, si fueran necesarias, y viables de etiquetado automático de la información soportada en medios digitales.

GESTIOIURIS ASISTENCIA S.L. deberá asegurar la formación y capacitación de todos sus empleados en el etiquetado de la información, así como formar y capacitar específicamente a los empleados que traten información de nivel reservada o secreta.

 

17        Comunicación de incidentes de seguridad

Es obligación de todos los usuarios de GESTIOIURIS ASISTENCIA S.L. comunicar al Responsable del departamento de TI cualquier incidencia que se produzca en los sistemas de información a que tengan acceso, a través de Jira.

Asimismo, el empleado debe informar de inmediato sobre cualquier robo o pérdida de hardware o dispositivo móvil.

El responsable de Seguridad valorará si este implica una brecha en la seguridad de la información.

 

18        Seguridad de los equipos fuera de las instalaciones o en tránsito

Por criterio general sólo los equipos portátiles y teléfonos móviles pueden salir fuera de las instalaciones (en este caso las viviendas). En este caso es responsabilidad del usuario del equipo garantizar su seguridad evitando situaciones de riesgo, garantizando su estado físico y controlando su ubicación segura en todo momento.

Las medidas de seguridad son:

  • Los equipos portátiles están protegidos por contraseña siguiendo la política de la organización.
  • Los equipos se protegen de forma que se reduzcan los riesgos durante su utilización.
  • Los equipos de trabajo en la oficina están protegidos mediante los controles de acceso a la oficina y las medidas de seguridad intrínsecas del trabajo en nuestras propias instalaciones.
  • El empleado/a deberá comunicar a la empresa cualquier tipo de falta de equipo o software para poder teletrabajar con normalidad en el caso de autorización desde su domicilio.
  • El empleado/a podrá conectarse únicamente en situaciones de teletrabajo a una conexión privada y en ningún caso a redes públicas como cafeterías, aeropuertos, restaurantes etc.
  • En situación de teletrabajo se seguirán las mismas condiciones horarias que si el trabajador/a acudiese a la oficina ya que según la legislación vigente el trabajador/a tiene derecho a desconectar los dispositivos de trabajo para garantizar el descanso y desconexión.
  • Únicamente se permite el contacto fuera del horario de trabajo habitual en caso de emergencia o puesta en marcha del plan de continuidad del negocio por parte del responsable de departamento o dirección General.

 

19        Acciones disciplinarias

En el caso en que se produzca alguna conducta por parte de un empleado de la compañía que implica alguna violación de seguridad, se iniciará un procedimiento disciplinario, conforme a la normativa vigente.

El proceso disciplinario se llevará a cabo basándose en los requerimientos del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores. Estatuto de los Trabajadores, que en su Sección 4 “Extinción del contrato”, artículo 54, hace referencia a la posibilidad de la apertura de un proceso disciplinario para los trabajadores, y al convenio colectivo de aplicación.

Las sanciones derivadas de las acciones que se consideran sancionables por la empresa pueden ser de diferentes niveles, en función de su gravedad. Así, las faltas leves se podrán sancionar con una amonestación, verbal o escrita, o con hasta 2 días de suspensión de empleo y sueldo. Las faltas graves, por su parte, se podrán sancionar con hasta 14 días de suspensión de empleo y sueldo. Y, por último, si se consideran faltas muy graves, se podrán sancionar con hasta un mes de suspensión de empleo y sueldo, inhabilitación para ascender de categoría o pérdida de la misma por otra inferior o incluso el despido disciplinario.

Las sanciones nunca podrán consistir en la reducción de los días de vacaciones ni en multas y, si hablamos de faltas muy graves, tendrán que ser comunicadas a los representantes de los trabajadores, si existen o en su defecto a La Dirección de la compañía.

19.1        Clasificación de las faltas

Respecto a las faltas leves más importantes, son las siguientes:

  • Manipular indebidamente la información de la
  • No cumplir con cualquiera de los apartados de la Política de seguridad de la

En cuanto a las faltas que pueden considerarse graves, destacan las siguientes:

  • Mentir u ocultar datos en el momento de la contratación, siempre que estos tuvieran repercusión en la seguridad de la información.
  • Hacerse pasar por otro trabajador/a o llevar a cabo la suplantación de identidad de otro trabajador/a.
  • No obedecer órdenes directas de un superior respecto a la actividad a realizar, así como respecto a la seguridad en el puesto de trabajo.
  • Desvelar secretos empresariales o documentación
  • La suma de cinco faltas leves en un periodo igual o inferior a los tres

Por último, las faltas muy graves, por las que un empleado puede llegar a perder su trabajo, son:

  • Robar bienes que sean propiedad de la empresa o filtrar información a
  • Por último, se considerará una falta muy grave el hecho de haber sido sancionado dos o más veces por faltas graves en un año o periodos de tiempo inferiores.

Procedimiento ante faltas leves, graves o muy graves:

Faltas leves: Amonestación verbal. Amonestación por escrito. Suspensión de empleo y sueldo un día.

Faltas graves: Suspensión de empleo y sueldo de uno a diez días. Inhabilitación, por plazo no superior a un año, para el ascenso a la categoría superior.

Faltas muy graves: Pérdida temporal o definitiva de la categoría profesional. Suspensión de empleo y sueldo de once días a dos meses. Inhabilitación durante dos años o definitivamente para pasar a otra categoría. Despido.

Para la aplicación de las sanciones que anteceden se tendrán en cuenta el mayor o menor grado de responsabilidad del que cometa la falta, categoría profesional del mismo y repercusión del hecho en los demás trabajadores y en la empresa.

La facultad de imponer las sanciones corresponde a la Dirección de la empresa, que pondrá en conocimiento de los representantes legales de los trabajadores si los hubiese las que se refieran a faltas muy graves.

GESTIOIURIS ASISTENCIA S.L. anotará en los expedientes personales de sus trabajadores las sanciones por faltas graves o muy graves que se les impongan, anotando también las reincidencias en las faltas leves. La prescripción de las faltas se producirá según lo establecido en el artículo 60.2 del texto refundido de la Ley del Estatuto de los Trabajadores. . Protocolo de descanso y desconexión digital.

Se respetarán los tiempos de descanso diario, semanal, permisos o vacacional. Se evitará en la medida de lo posible el envío de comunicaciones profesionales finalizada la jornada laboral del emisor o la de los destinatarios; en el caso de ser necesario el envío, no se debe esperar una respuesta inmediata.

Si concurren circunstancias que requieran la lectura inmediata por parte del interlocutor se le avisará por cualquier otro medio que le permita al destinatario conocer de su envío (llamada telefónica, mensajería instantánea, etc.).

Se evitarán hacer llamadas telefónicas fuera del horario de trabajo del emisor e interlocutor, salvo que concurran circunstancias que lo justifiquen.

Se hará un uso racional de las herramientas digitales de trabajo que la Compañía pone a disposición del trabajador.

Se evitará en la medida de lo posible el uso de estas herramientas fuera del horario de trabajo de cada empleado, salvo que se den circunstancias que lo justifiquen.

Cuando se envíen correos electrónicos fuera del horario de trabajo, se utilizará preferentemente la configuración de envío retardado para hacer llegar los mensajes dentro del horario laboral del destinatario y se promoverá esta práctica dentro de la organización.

Durante las vacaciones, es recomendable indicar los datos de contacto de compañeros que están disponibles y puedan atender las cuestiones que se requieran en ausencia de la persona trabajadora, creando mensajes de respuesta automática con el contacto de dichas personas.

Avanzar en el cumplimiento de este Protocolo es responsabilidad de todos los empleados, siendo especialmente relevante el papel del líder como ejemplo de las conductas esperadas en esta materia.

En caso de que cualquiera de las partes detecte prácticas o comportamientos contrarios a los principios recogidos en el presente Protocolo, los mismos podrán ser puestos de manifiesto a la Comisión de

Garantía/Seguimiento de la empresa o empresas afectadas para su conocimiento y, en su caso, adopción de las medidas oportunas.

GESTIOIURIS ASISTENCIA S.L. promoverá, con la participación de la parte social, acciones de sensibilización y formación tendentes a difundir y hacer efectivo el derecho a la desconexión digital reconocido en este protocolo.

 

20    Buenas prácticas en videoconferencias

La seguridad de las videoconferencias ha cobrado mucha importancia en los últimos tiempos, ya que trabajar desde casa se ha convertido en la nueva normalidad. Los proveedores de servicios de videoconferencia como Zoom, Google Meet, Hangouts, Microsoft Teams, y Cisco Webex son sólo algunos ejemplos de las opciones más populares. Sabemos que no son siempre herramientas infalibles.

A continuación, se indican algunos consejos que se deben seguir;

Revisar los enlaces de la reunión

Si no eres el organizador de la reunión, asegúrate de que el enlace de la invitación proviene de un remitente de confianza conocido. Se debe estar muy atento a las extensiones de archivo maliciosas como

.exe. No hacer clic en ningún enlace que parezca sospechoso. Preguntar siempre cualquier duda que se pueda tener.

Utiliza la sala de espera

Si los participantes en la reunión entran en la sala antes que el organizador, es habitual que empiecen a discutir los temas del programa. Esto puede ser molesto ya que el organizador tendrá que interrumpir y pasar lista. Una sala de espera es una sala virtual separada fuera de la reunión real que permite al anfitrión admitir sólo a los participantes aprobados. Si existe algún motivo fuera de lo habitual, se puede elegir expulsar a las personas no deseadas de la reunión en esta etapa

No reutilizar la misma identificación de la reunión

Mantener la misma identificación (ID) de la reunión es conveniente para compartir y almacenar. Sin embargo, también es más fácil volver a una reunión. Esto pone en peligro la seguridad de la videoconferencia. Es por esta razón que muchos servicios de videoconferencia ahora autogeneran nuevas identificaciones de reunión.

Insertar una contraseña de reunión

Es importante ir más allá de una identificación de la reunión y crear una contraseña única para cada reunión. Esto puede ser una molestia extra, pero es crucial para la seguridad de las videoconferencias. Esto es especialmente importante para las reuniones sensibles. Si el servicio que has elegido te permite crear tu propia contraseña, utiliza las mejores prácticas y asegúrate de que la solidez de la contraseña sea alta.

Verificar a los asistentes

Es importante revisar a los asistentes tan a menudo como sea posible. Aunque el número de participantes de la reunión no sea muy grande, siempre se tiene que confirmar igualmente a los participantes durante la llamada. Si se encuentra a alguien en la llamada que se supone no debe ser parte de la reunión, hay que eliminarlo. Esto es particularmente importante para las reuniones confidenciales.

Bloquear la reunión una vez que esté llena

De la misma manera que se cerraría físicamente la puerta de una sala de reuniones, se debería cerrar la reunión una vez que todos los asistentes hayan llegado. Muchos servicios pueden cerrar la sala una vez que todos están dentro. Hay que tener en cuenta que, debido a problemas de conectividad, algunos participantes pueden abandonar la reunión. Hay que asegurarse, en este caso, de desbloquear la reunión para que vuelvan a entrar y volver a bloquearla después.

Habilitar las alertas de entrada y salida

El organizador de la reunión tiene que habilitar una alerta sonora que te avise cuando la gente se vaya o se incorpore a la reunión. Esto puede ser algo molesto si estamos en medio de una conversación, pero es importante saber quién está en la reunión y quién se ha ido.

Recordar a los asistentes si la reunión se está grabando

Muchas herramientas tienen la opción de grabar una conversación. Es necesario avisar a todos los participantes de antemano para obtener su consentimiento. Es una cortesía decir por qué, ya sea para fines formativos, de marketing o para mantener registros útiles. Se debe hacer un comentario para recordarles la grabación a mitad de la videoconferencia y al final. Los recursos grabados pueden ser de gran utilidad para otras personas relacionadas con nuestra empresa, nos pueden ayudar a ahorrar tiempo y ganar en eficiencia en muchos casos.

Usar un fondo borroso o virtual

Con más y más empleados trabajando a distancia, es importante poder desdibujar el fondo. Esto es importante para la seguridad de las videoconferencias en el hogar, ya que evita que los revienta-reuniones puedan diseñar mediante ingeniería social sus objetivos teniendo acceso a identificadores personales. En el entorno del trabajo puede haber información confidencial en las paredes que también tiene que ser difuminada.

Tratar la sala de chat con precaución

No todas las herramientas de videoconferencia tienen el mismo nivel de seguridad. Compartir información o documentos sensibles en la sala de chat no siempre es la mejor idea. Sólo lo haremos, cuando estemos realmente seguros del grado de seguridad que ofrece nuestro servicio. Es posible que las herramientas de videoconferencia no ofrezcan la misma protección antimalware que un programa de correo electrónico, por poner un ejemplo.

Actualizar todo el tiempo

Es probable que las herramientas de conferencia se instalen en más de un dispositivo. Como resultado, esto aumenta los posibles puntos de acceso para las amenazas maliciosas. Esto puede evitarse actualizando regularmente. Es probable que las vulnerabilidades de seguridad se puedan aprovechar con mayor eficacia en las versiones de software más antiguas. Actualizar nuestro software de conexión es absolutamente fundamental para nuestra empresa.

No uses los medios sociales para compartir los enlaces de la conferencia

Podrías estar poniéndote como objetivo al hacer esto. Cualquier anuncio de una reunión en los medios de comunicación social da tiempo a los actores de la amenaza para que elaboren una estrategia maliciosa. Comparte siempre la información de la reunión solamente en privado.

Formación de seguridad en videoconferencias

Una política de seguridad clara permite establecer límites y códigos de práctica para los usuarios. La seguridad de las videoconferencias se mejora cuando se siguen las reglas de la organización y se realiza una correcta formación. Estas reglas podrían incluir que los usuarios tuvieran que pedir permiso para grabar cualquier parte de la reunión. Podría haber también un límite sobre el uso de dispositivos personales para cualquier grabación. Otros ejemplos son asegurar que las cámaras estén orientadas directamente hacia el usuario, o que los micrófonos se apaguen cuando el usuario no esté hablando.

Reportar actividades sospechosas

Una forma importante de mantener la seguridad de nuestras videoconferencias es reportar cualquier práctica sospechosa a tu equipo de seguridad informática. Muchas amenazas pueden ser contenidas cuando los usuarios más atentos alertan a las personas correctas de las banderas rojas y los posibles fallos de seguridad. Todos los integrantes tienen que estar atentos para ayudar a mantener un espacio común que ayude a la organización a mantener la seguridad de sus comunicaciones y la mejora de su eficiencia a este respecto.

 

21        Compromiso del empleado

Me comprometo a cumplir con la presente política de seguridad del empleado, la cual se encuentra sujeta a acciones disciplinarias. Se podrá comprobar aleatoriamente el cumplimiento de la presente política a través de proceso de auditoría.

Firma del empleado/a:

Fecha: