2. TABLA DE CONTENIDO
1 LINEAMIENTOS PARA EL TRATAMIENTO DE LOS ACTIVOS..................................................................................................3
1.1 CONFIDENCIALIDAD ..........................................................................................................................................................3
1.1.1 Activos tipo Información .....................................................................................................................................................3
1.1.2 Activos tipo Hardware.......................................................................................................................................................13
1.1.3 Activos Tipo Software y Servicios ....................................................................................................................................17
1.1.4 Activos Tipo Persona........................................................................................................................................................18
3. 1 LINEAMIENTOS PARA EL TRATAMIENTO DE LOS ACTIVOS
Como parte de la gestión de activos es importante definir lineamientos que rijan el tratamiento que se debe dar a los activos, de acuerdo con su clasificación;
estos lineamientos deben ser difundidos a los colaboradores que utilicen los activos para así garantizar su implementación y divulgar las responsabilidades
respectivas.
1.1 CONFIDENCIALIDAD
1.1.1 Activos tipo Información
1.1.1.1 Acceso Permitido
Pública Uso Interno Propietario Confidencial y Máxima Seguridad
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Todas las personas, dentro y
fuera de La Organización
pueden tener acceso a este
activo.
Todos los colaboradores de LA
ORGANIZACIÓN y personal externo
autorizado por el propietario del activo.
Los usuarios deben firmar un acuerdo de
confidencialidad y no divulgación de la
información.
Sólo tienen acceso a este activo un
grupo de personas específicas
autorizadas por el propietario del mismo
que por el desarrollo de sus funciones en
un proceso así lo requieren.
Los usuarios deben firmar un acuerdo de
confidencialidad y no divulgación de la
Sólo tienen acceso a este activo
miembros de la Junta Directiva,
Presidente, Secretario General,
Vicepresidentes y Jefes de Oficina.
Los usuarios deben firmar un acuerdo de
confidencialidad y no divulgación de la
información.
4. Pública Uso Interno Propietario Confidencial y Máxima Seguridad
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
información.
1.1.1.2 Método de Distribución
Pública Uso Interno Restringida Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Internamente
El activo puede
distribuirse en
cualquier medio al
público en general,
incluso a cualquier
ente o persona por
fuera de La
Organización.
Electrónica: Mediante el
sistema de correo electrónico
de LA ORGANIZACIÓN y a través
de las redes de datos y sistemas
internos únicamente.
Puede ser transmitida por la red
de la compañía de Forma
normal.
En caso de requerirse esta
información podrá ser
transmitida mediante el uso de
Electrónica: Mediante el sistema de
correo electrónico de LA
ORGANIZACIÓN y a través de las
redes de datos y sistemas internos
únicamente.
Se debe evitar en lo posible el manejo
de medios removibles como CDs,
DVDs, Memorias (USB, SD, entre
otras) que no hayan sido autorizadas
por La Organización para la
distribución de información.
Física: Proceso de manejo de
correspondencia interno, verificando
Adicionales a los requerimientos de la
información clasificada como
Restringida, los activos clasificados
altamente restringidos deben:
Electrónica: estar cifrada cuando se
transmite entre las diferentes oficinas
y transportarse únicamente mediante
el sistema de correo electrónico,
mensajería o las redes de datos y
sistemas internos de LA
ORGANIZACIÓN siempre de forma
cifrada.
El uso de servicios de mensajería
pública tal como Outlook, Gmail,
5. Pública Uso Interno Restringida Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
la Intranet.
Física: Proceso de
correspondencia interno. Este
activo no debe ser retirado de
las instalaciones de La
Organización ni ninguna de sus
sedes sin autorización del
propietario.
que el destinatario si es un usuario
autorizado, de otra forma se requiere
de autorización por parte del
propietario del activo. Este activo no
debe ser retirado de las instalaciones
de LA ORGANIZACIÓN sin
autorización del propietario.
Yahoo, redes sociales, Skype,
WhatsApp, Blackberry Messenger, etc
está totalmente prohibido para la
transmisión de estos activos.
En caso de utilizarse medios
removibles, se debe garantizar que la
información se encuentra cifrada.
Física: Esta información siempre debe
estar en sobre sellado y con acuse de
recibo.
Hacia terceros
Esta información
puede distribuirse en
cualquier medio al
público en general,
incluso a cualquier
ente o persona por
fuera de La
Organización.
Podrá ser entregada a terceros
en caso de ser una obligación
contractual o del negocio, y
debe existir autorización formal
del propietario.
Adicionalmente, el tercero debe
firmar un acuerdo de
confidencialidad y no
divulgación previa la entrega del
activo.
Para divulgar, publicar y/o circular
información de LA ORGANIZACIÓN a
los medios de comunicación, entes de
control o supervisión, o cualquier otro
documento, se deberá solicitar el
apoyo del área encargada, así mismo
si los diferentes medios de
comunicación necesitan información
de LA ORGANIZACIÓN.
En caso de que la información no sea
dirigida a los medios de
comunicación, puede ser entregada a
Adicional a los requerimientos para la
información clasificada como
Restringida, la información
intercambiada con terceros debe estar
cifrada en todo momento.
6. Pública Uso Interno Restringida Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Electrónica: Mediante el correo
electrónico de La Organización y
las redes computacionales
internas, en lo posible se debe
tener los archivos y/o datos de
acceso de solo lectura.
Física: Se debe entregar la
menor cantidad de copias
requeridas
terceros si es una obligación
contractual o del negocio, y debe
existir autorización formal del
propietario. Adicionalmente, el
tercero debe firmar un acuerdo de
confidencialidad y no divulgación
previa la entrega del activo.
Electrónica: Si se entrega en medio
electrónico se debe tener los archivos
y/o datos de acceso de solo lectura.
No se puede entregar la información
vía e-mail a destinatarios con cuentas
por fuera de los sistemas de correo
de La Organización si la información
no posee clave. Se debe evitar utilizar
listas de distribución al momento de
enviar este tipo de información.
Física: Si es posible se debería
entregar solo en medio físico (Papel),
el menor número de copias posible, y
solo al receptor autorizado, firmando
una carta de recibido, mediante La
Organización de mensajería
7. Pública Uso Interno Restringida Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
autorizada por La Organización o
directamente por parte del
propietario de la información.
1.1.1.3 Almacenamiento y archivado
Pública Uso Interno
Restringida
Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Información
Impresa
Esta información no
requiere de
precauciones especiales
relacionadas con su
almacenamiento.
Se debe implementar una política
de escritorio limpio, asegurar el
acompañamiento y seguimiento
de las acciones de personas
externas en las instalaciones.
Se debe archivar en áreas seguras
bajo llave (Cajones, Cuarto de
archivo, estantes, entre otros.)
Se debe archivar en áreas seguras bajo
llave. Se recomienda guardar este
tipo de información en los lugares
destinados para archivar o en una caja
fuerte y por ningún motivo debe
dejarse abierta la puerta o
desatendida ni a la vista de personal
no autorizado, como por ejemplo en
los puestos de trabajo y zonas de
impresión.
Debe tenerse en cuenta los
lineamientos establecidos en las
8. Pública Uso Interno
Restringida
Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
políticas, normas y procedimientos de
seguridad.
Información
electrónica
Esta información no
requiere de
precauciones
especiales.
Esta información debe ser
almacenada en los sistemas o en
repositorios digitales existentes,
siempre que se asegure que no es
accedida por personas fuera de
las redes y sistemas de
información de La Organización.
Además, debe existir una copia de
la información solamente en los
medios, sistemas de información
o recursos indicados en el
inventario de activos.
Se debe almacenar en sistemas o
repositorios centralizados y
administrados desde donde se
comparta la información. Está
prohibido dejar sin protección de
autenticación de
usuario/contraseña esta
información y con los privilegios
indicados en el inventario de activos
y los asignados por el propietario a
los usuarios autorizados. Debe
evitarse almacenar este tipo de
información en equipos que no
tengan administración formal de
seguridad. De ser necesario el
almacenamiento en un equipo de
cómputo, está información debe
estar cifrada.
La información clasificada como
Altamente Restringida debe
encontrarse almacenada únicamente
en los sistemas de información de La
Organización; pr lo tanto no se
permite el almacenamiento de estos
activos en dispositivos móviles ni en
otros equipos de cómputo.
Adicionalmente, se debe:
- Exigir autenticación con usuario
único y contraseña segura al sistema
en el cual reposa la información.
- Exigir autenticación con usuario
único y contraseña para los
9. Pública Uso Interno
Restringida
Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Debe existir copia de la información
solamente en los medios, sistemas
de información o recursos indicados
en el campo ubicación del inventario
de activos.
repositorios de información.
- Garantizar que todas las actividades
realizadas por los usuarios de
información clasificada como
Altamente Restringida sean
registradas (logs) y se conserven por
un período de tiempo consistente con
el establecido en las tablas de
retención documental.
- En caso de ser necesario utilizar
información Altamente Restringida
para pruebas, se debe garantizar su
ofuscación y destrucción, una vez
concluidas las mismas.
10. 1.1.1.4 Destrucción
Pública Uso Interno
Restringida
Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Información
Impresa
Esta información no
requiere de
precauciones
especiales.
Se pueden utilizar máquinas
destructoras de papel, a discreción del
propietario de la información.
Se debe utilizar máquinas o
elementos destructores de
papel.
Se debe utilizar máquinas destructoras
de papel. Esta acción debe ser llevada
a cabo por el propietario del activo o,
en su defecto, el custodio previa
autorización escrita.
Reciclaje de papel
Es permitido el uso de
papel reciclaje de
información Pública, sin
restricciones.
Es permitido el uso de papel reciclable
con información de Uso Interno.
No es permitido el uso de papel
reciclable con información
clasificada Restringida.
No es permitido el reciclaje con
información clasificada Altamente
Restringida.
Información
electrónica
No requiere
precauciones
especiales.
Toda la información debe eliminarse
de los medios de almacenamiento
utilizando técnicas de borrado seguro.
Toda la información debe
eliminarse de los medios de
almacenamiento utilizando
técnicas de borrado seguro.
Los medios de almacenamiento
que contienen información
sensible (discos compactos,
discos duros, tarjetas de
memoria portátiles,
documentos, etc.) deben ser
físicamente destruidos o deben
Toda la información debe eliminarse
de los medios de almacenamiento
utilizando técnicas de borrado seguro,
no sólo cuando se da la baja a un
activo sino también cuando se hace
rotación de equipos y medios
computacionales.
Los medios de almacenamiento que
contienen información sensible (discos
compactos, discos duros, tarjetas de
memoria portátiles, documentos, etc.)
11. Pública Uso Interno
Restringida
Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
ser reescritos en forma segura
cuando se trate de traslado o
devolución a los proveedores
que prestan servicios de
Almacenamiento o Data Center
(IDC) o similares, entregados
por obsolescencia, cuando se
trate de retiro, reposición o
reintegro o cualquier acción
que lleve a que dicho medio no
esté bajo el control de La
Organización (LA
ORGANIZACIÓN).
deben ser físicamente destruidos o
deben ser reescritos en forma segura
cuando se trate de traslado o
devolución a los proveedores que
prestan servicios de Almacenamiento
o Data Center (IDC) o similares,
entregados por obsolescencia, cuando
se trate de retiro, reposición o
reintegro o cualquier acción que lleve
a que dicho medio no esté bajo el
control de La Organización (LA
ORGANIZACIÓN).
1.1.1.5 Transmisión vía fax
Pública Uso Interno
Restringida
Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Localización de la
máquina de FAX
No deben estar a
disposición del
público en general
(Personal Externo).
No se debe tener disponible a
personal no autorizado y se debe
tener bajo supervisión específica.
No se debe tener disponible a
personal no autorizado y se debe
tener bajo supervisión específica.
Los activos con clasificación
Altamente Restringida no se debe
manejar por este medio.
12. 1.1.1.6 Seguridad física
Pública Uso Interno
Restringida
Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Equipos de
Cómputo
Se debe bloquear el
equipo con protección
de contraseña apenas
se abandone y tener un
protector de pantalla
que bloquee
automáticamente la
pantalla en un tiempo
corto, en caso de
olvido.
Se debe bloquear el equipo con
protección de contraseña apenas
éste se abandone y tener un
protector de pantalla que bloquee
automáticamente la pantalla en un
tiempo corto, en caso de olvido (8
minutos).
Se debe tener un estricto control de
vigilancia para el retiro de equipos de
cómputo de todas las instalaciones.
Se debe bloquear el equipo con
protección de contraseña
apenas se abandone y
adicionalmente tener un
protector de pantalla que
bloquee el equipo en un
tiempo corto automáticamente
en caso de olvido (8 minutos).
En un tiempo más largo se
puede configurar la estación
para que se apague
automáticamente y no quede
disponible en la red.
Se debe tener un estricto
control de vigilancia para el
retiro de equipos de cómputo
por fuera de las instalaciones.
Se debe bloquear el equipo con
protección de contraseña apenas se
abandone y tener un protector de
pantalla que bloquee
automáticamente la pantalla en un
tiempo corto, en caso de olvido (5
minutos).
Se debe tener un estricto control de
vigilancia para el retiro de equipos de
cómputo de las instalaciones.
Se deben dotar a los equipos de
cómputo con los mecanismos
necesarios para evitar la instalación de
mecanismos que capturen la
información, como dispositivos de
almacenamiento no autorizados.
13. Pública Uso Interno
Restringida
Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Información
impresa en zona de
impresión
No requiere
precauciones
especiales para el trato
de información pública.
Se debe tener las impresoras por
fuera del alcance del público en
general y se debe buscar la impresión
inmediatamente.
Se debe tener las impresoras
por fuera del alcance de
personal no autorizado y en
lugares de acceso se debe
buscar la impresión
inmediatamente.
Se debe evitar imprimir esta
información. En caso de ser necesario,
se debe tener una persona atendiendo
todo el proceso de impresión, en la
zona de impresión desde el inicio, la
cual debe estar autorizada para ver la
información.
Laptops, PDAs
No requiere
precauciones
especiales para el trato
de información pública.
No se deben dejar los equipos en
zonas que no se encuentren vigiladas
o que no realicen control de salida de
equipos.
Nunca debe dejarlo solo el
equipo y siempre debe utilizar
una guaya de aseguramiento, y
si no es posible se debe dejar
bajo vigilancia y cuando se
salga de la oficina se debe dejar
este bajo llave.
Nunca se deben dejar los equipos
desatendidos a menos que se cuente
con guaya de aseguramiento. Si esto
no es posible, se debe dejar el equipo
bajo vigilancia. En los casos que el
propietario del equipo se retire de la
oficina en que se encuentra, esta se
debe dejar bajo llave. La información
de este equipo debe estar cifrada.
1.1.2 Activos tipo Hardware
1.1.2.1 Acceso permitido
Pública Uso Interno Restringida Altamente Restringida
14. Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Se debe tener control de
acceso lógico para el
ingreso al activo.
El acceso deberá estar autorizado
por el propietario del activo, los
terceros que pueden tener acceso a
estos activos serán aquellos
contratados para las actividades de
mantenimiento o gestión de la
plataforma en todo caso estos
deberán estar autorizados por los
propietarios.
Se debe tener control de acceso lógico
para el ingreso al activo.
Las personas autorizadas deberán firmar
acuerdos de confidencialidad.
Se deberá ejecutar auditoria sobre algunos
de los accesos ejecutados por terceros.
Aún cuando se debe tener registro de
todos los accesos tanto de terceros como
de los colaboradores.
Además de las medidas establecidas
para los activos catalogados como
Restringida se deberá:
Ejecutar auditorias sobre todos los
accesos ejecutados por terceros y tener
registro de todos los accesos tanto de
terceros como de los colaboradores.
1.1.2.2 Destrucción
Pública Uso Interno Restringida Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Cuando se establezca que se
va a dar de baja un activo se
deberá verificar la
clasificación de la
información que contienen
para establecer las medidas
adecuadas para su
destrucción.
A los activos se les deberá realizar
borrado seguro de la información allí
contenida.
A los activos catalogados como
reservado se les deberá realizar borrado
seguro de la información allí contenida.
Los medios de almacenamiento que
contienen información sensible (discos
compactos, discos duros, tarjetas de
memoria portátiles, documentos, etc.)
deben ser físicamente destruidos o
Para el caso de medios de respaldo o
almacenamiento eliminarlos de tal
manera que estos queden inutilizables
(procedimiento de sanitización de
medios).
Los medios de almacenamiento que
contienen información sensible (discos
compactos, discos duros, tarjetas de
15. Pública Uso Interno Restringida Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
deben ser reescritos en forma segura
cuando se trate de traslado o
devolución a los proveedores que
prestan servicios de Almacenamiento o
Data Center (IDC) o similares,
entregados por obsolescencia, cuando
se trate de retiro, reposición o reintegro
o cualquier acción que lleve a que dicho
medio no esté bajo el control de La
Organización.
memoria portátiles, documentos, etc.)
deben ser físicamente destruidos o
deben ser reescritos en forma segura
cuando se trate de traslado o
devolución a los proveedores que
prestan servicios de Almacenamiento o
Data Center (IDC) o similares,
entregados por obsolescencia, cuando
se trate de retiro, reposición o
reintegro o cualquier acción que lleve a
que dicho medio no esté bajo el control
de La Organización.
1.1.2.3 Seguridad Física
Pública Uso Interno Restringida Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
16. Pública Uso Interno Restringida Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Evitar dejarlos en lugares
donde puedan ser accedidos
por personal no autorizado.
Este tipo de activos deberán estar
ubicados en sitios con controles de
acceso físico adecuados.
Este tipo de activos deberán estar
ubicados en sitios con controles de acceso
físico adecuados.
En caso que se requiera acceder
físicamente a los mismos por actividades
de mantenimiento u otras se deberá
contar con el aval del propietario y
adicionalmente se debe tener registro de
las actividades desarrolladas, el personal
de mantenimiento deberá estar
acompañado en todo momento de un
empleado de La Organización que tenga la
facultad para establecer si se está
comprometiendo de alguna manera el
activo.
Se deberá llevar un control sobre la salida
de estos equipos.
Este tipo de activos deben en lo posible
estar ubicados en áreas seguras es decir
espacios especialmente diseñados para
esto (centros de computo, centros de
cableados, etc).
En caso que se requiera acceder
físicamente a los mismos por actividades
de mantenimiento u otras se deberá
contar con el aval del propietario y
adicionalmente se debe tener registro
de las actividades desarrolladas, el
personal de mantenimiento deberá estar
acompañado en todo momento de un
empleado de La Organización que tenga
la facultad para establecer si se está
comprometiendo de alguna manera el
activo.
Se deberá llevar un control sobre la
salida de estos equipos.
Para el caso de computadores móviles
nunca se deberán dejar desatendidos.
17. 1.1.3 Activos Tipo Software y Servicios
1.1.3.1 Acceso permitido
Pública Uso Interno Restringida Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
El acceso a estos tipos de
activos es permitido sin
restricción.
El acceso a los activos tipo
software y servicios deberá estar
autorizado por el propietario del
activo, los terceros que pueden
tener acceso a estos activos serán
aquellos contratados para las
actividades de mantenimiento o
gestión de los servicios y el
software en todo caso estos
deberán estar autorizados por los
propietarios.
Las personas autorizadas deberán
firmar acuerdos de
confidencialidad y acuerdos de
uso.
El acceso a los activos tipo software y
servicios deberá estar autorizado por el
propietario del activo, los terceros que
pueden tener acceso a estos activos serán
aquellos contratados para las actividades
de mantenimiento o gestión de los
servicios y el software en todo caso estos
deberán estar autorizados por los
propietarios.
Las personas autorizadas deberán firmar
acuerdos de confidencialidad y acuerdos
de uso.
Se deberán ejecutar auditorias sobre los
accesos ejecutados por terceros. Se debe
mantener registro de todos los accesos
tanto de terceros como de empleados.
Además de las medidas establecidas
para los activos catalogados como
Restringido se deberá:
Ejecutar auditorias sobre todos los
accesos ejecutados por terceros y
tener registro de todos los accesos
tanto de terceros como de
colaboradores.
Los registros para auditoría deberían
incluir:
a) identificación (ID) de usuario;
b) fecha, hora y detalles de los eventos
clave, por ejemplo registro de inicio y
registro de
cierre;
c) identidad o ubicación de la terminal,
si es posible;
d) registros de los intentos aceptados
y rechazados de acceso al sistema;
e) registros de los intentos aceptados y
rechazados de acceso a los datos y
otros recursos;
f) cambios en la configuración del
sistema;
18. Pública Uso Interno Restringida Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
g) uso de privilegios;
h) uso de las utilidades y aplicaciones
del sistema;
i) archivos a los que se ha tenido
acceso y tipo de acceso;
j) direcciones y protocolos de red;
k) alarmas originadas por el sistema de
control del acceso;
l) activación y desactivación de los
sistemas de protección, como los
sistemas antivirus y los sistemas de
detección de intrusión.
Se deben Implementar controles
criptográficos para la transmisión y
almacenamiento de la información.
.
1.1.4 Activos Tipo Persona
1.1.4.1 Acceso permitido
Pública Uso Interno Restringida Altamente Restringida
19. Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
No se requieren
consideraciones especiales
Se debe firmar acuerdo de
confidencialidad el cual debe estar
vigente hasta después de la
terminación del contrato laboral.
Se debe firmar acuerdo de
confidencialidad el cual debe estar
vigente hasta después de la terminación
del contrato laboral.
Se deben desarrollar charlas de
sensibilización en seguridad de la
información y capacitaciones específicas
de acuerdo al cargo desempeñado.
Se debe firmar acuerdo de
confidencialidad el cual debe estar
vigente hasta después de la terminación
del contrato laboral.
Se deben desarrollar charlas de
sensibilización en seguridad de la
información y capacitaciones específicas
de acuerdo al cargo desempeñado.
1.1.4.2 Comunicación Verbal
Pública Uso Interno
Restringida
Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
20. Pública Uso Interno
Restringida
Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Conversaciones y
reuniones
No requiere
precauciones
especiales.
Se debe procurar evitar
referenciar esta información
por fuera de las instalaciones
de La Organización. Cuando
se lleven a cabo
conversaciones o reuniones,
preferiblemente no se
deberán hacer por fuera de
las instalaciones de La
Organización.
Se debe procurar evitar referenciar
esta información por fuera de las
instalaciones de La Organización.
Cuando se lleven a cabo
conversaciones o reuniones,
deberán hacerse preferiblemente en
zonas privadas, evitando áreas tales
como elevadores, pasillos y
cafeterías.
En el caso que la información sea
escrita en papelógrafos, tableros o
documentos no formales, se debe
asegurar que esta sea borrada
inmediatamente antes de que sea
abandonado el sitio.
Se debe evitar referenciar este tipo de
información fuera de las instalaciones
de La Organización, a menos que sea
una reunión formal.
Se debe evitar reunirse en espacios
abiertos y que no permitan aislar el
sonido.
Se debe asegurar que la información
sólo sea transmitida a las mínimas
personas necesarias.
En el caso que la información sea
escrita en papelógrafos, tableros o
documentos no formales, se debe
asegurar que esta sea borrada o
destruida, dependiendo del medio en
que haya sido manejado,
inmediatamente antes de que sea
abandonado el sitio.
21. Pública Uso Interno
Restringida
Altamente Restringida
Etiquetado
PU
Etiquetado
UI
Etiquetado
PT
Etiquetado
CM
Vía Telefónica
No requiere
precauciones
especiales para el
trato de información
pública.
No se deberá entregar
información de uso interno a
personas externas a La
Organización.
No se deberá suministrar
información Restringida a personas
no autorizadas por este medio.
Se debe evitar conversaciones
telefónicas en donde se maneje
información Altamente Restringida,
más aún si hay posibles escuchas no
autorizados.
Su transmisión deberá hacerse
únicamente a través de los servicios
telefónicos de La Organización y, de ser
posible, se debe cifrar el canal de
comunicación.
Está prohibida la transmisión de
información confidencial mediante
servicios tales como Skype, WhatsApp,
Blackberry Mesrenger, redes sociales,
entre otros.
Voice Mail o máquina
de grabación
automática de
mensajes
No requiere
precauciones
especiales para el
trato de información
pública.
No se deberá entregar
información de Uso Interno a
personas externas a La
Organización
No se deberá entregar información
Restringida a personas no
autorizadas por este medio.
No se deben dejar mensajes que
contengan información reservada.