Académique Documents
Professionnel Documents
Culture Documents
comunicación
INTEGRANTES:
BARRERA SANDOVAL LUIS JAIME
NAVARRETE GABINO ESMERALDA
ISO/27000 Contenido:
¿Qué es la norma ISO 27000?
¿Cómo se implementa la norma ISO 27000 en
Implementación de la norma en ALESTRA ALESTRA?
ISO 27000
La serie ISO 27000 es la que aglomera todas las normativas en materia de seguridad de la
información. Las más importantes de esta familia son las normas ISO 27001 e ISO 27002.
La última de estas, antes conocida como ISO 17799 (modificó su nombre en el año 2007), y basada
en la norma británica BS 7799, es un código de buenas prácticas para la realización de un Sistema
de Gestión de Seguridad de la Información (SGSI). La misma está dividida en once dominios (por
ejemplo, Seguridad física y del entorno
o Control de accesos), y en cada uno de ellos se destacan cuáles son las mejores prácticas o los
controles recomendados para dar seguridad en la organización. Esta norma no es certificable.
Para ello, está la norma ISO 27001, que es la que las organizaciones deben certificar. La misma
contiene los requisitos que debe cumplir una organización, para estar acorde a las buenas prácticas
listadas en las otras normas de la familia (especialmente la 27002). Publicada en octubre 2005, hoy
es la certificación en seguridad más popular y es aplicada por empresas de todo tipo en todo el
mundo.
Además de estas dos series, podemos agregar las siguientes que conforman la familia:
ISO 27000: aún en desarrollo, será una especia de diccionario con vocabulario estándar para todas
las normas de la familia.
También están las normas ISO 27006 (requisitos específicos para la certificación de un SGSI); la ISO
27007 (guía para auditar un SGSI), todavía en desarrollo y la norma ISO 27799 que es una guía para
implementar la ISO 27002 en la industria de la salud.
Las normativas permiten a las organizaciones presentar y certificar un nivel de calidad ante sus
usuarios y el público en general. Aunque en un principio fueron de interés para las grandes
empresas, las normas ISO 27000 están siendo consideradas también por medianas empresas en el
Latinoamérica y el mundo. Además, las normas sirven para tener una guía de buenas prácticas que
pueden ser de utilidad, incluso si la organización no desea o puede certificar la misma.
Por ejemplo, en materia de seguridad antivirus, la norma explica en su capítulo sobre la Gestión de
Comunicaciones y Operaciones, en la sección sobre códigos maliciosos (Controls against malicious
code) que “es necesario tomar precauciones para prevenir y detectar la introducción de software
malicioso “, y se detallan los siguientes puntos respecto a los controles a implementar:
La empresa debe contar con la “instalación y actualización periódica de software de detección y
reparación anti-virus, para examinar computadoras y medios informáticos, ya sea como medida
precautoria o rutinaria “.
La empresa debe verificar “la presencia de virus en archivos de medios electrónicos de origen
incierto o no autorizado, o en archivos recibidos a través de redes no confiables, antes de su uso” y
“la presencia de software malicioso en archivos adjuntos a mensajes de correo electrónico y
archivos descargados por Internet antes de su uso “.
También extiende a modo de resumen que “se deben implementar controles de detección y
prevención para la protección contra software malicioso, y procedimientos adecuados de
concientización de usuarios “. Es decir, contar con una solución antivirus con capacidades proactivas
de detección.
Por último, la ISO 27001 también extiende, respecto a la importancia de “concientizar a los usuarios
acerca de los peligros del software no autorizado o malicioso […] En particular, es esencial que se
tomen precauciones para detectar y prevenir virus informáticos en computadoras personales “. El
trabajo de ESET Latinoamérica en la región a través de sus iniciativas educativas son otros aportes
de ESET para que las organizaciones estén acordes a lo que indican las normas más prestigiosas del
mercado.
La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización
Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
ISO/IEC 27000 - es un vocabulario estándar para el SGSI. Introducción y base para el resto. Tercera
versión: enero de 2014.
ISO/IEC 27001 - es la certificación que deben obtener las organizaciones. Norma que especifica los
requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un
enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como
estándar internacional en octubre de 2005. Revisada en setiembre de 2013.
ISO/IEC 27002 - Information technology - Security techniques - Code of practice for information
security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es código de buenas
prácticas para la gestión de seguridad de la información. Fue publicada en julio de 2005 como ISO
17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de julio de 2007. Última versión:
27002:2013, de setiembre de 2013.
ISO/IEC 27003 - son directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC
27001. Publicada el 1 de febrero de 2010. No es certificable.
ISO/IEC 27004 - son métricas para la gestión de seguridad de la información. Es la que proporciona
recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información.
Publicada el 7 de diciembre de 2009, no se encuentra traducida al español actualmente.
ISO/IEC 27005 - trata la gestión de riesgos en seguridad de la información. Es la que proporciona
recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en
la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más
relacionada a la actual British Standard BS 7799 parte 3. Publicada en junio de 2008. Revisada en
junio de 2011.
ISO/IEC 27007 - es una guía para auditar al SGSI. Publicada en noviembre de 2011.
ISO/IEC 27016 - es una norma que se concentra en un análisis financiero y económico de equipos y
procedimientos de la seguridad de la información. Publicada en febrero de 2014.
ISO/IEC 27017 - es una guía de seguridad para Cloud Computing. Publicada en diciembre de 2015.
ISO/IEC 27799:2008 - es una guía para implementar ISO/IEC 27002 en la industria de la salud.
Resumen general
Origen
Proviene de la norma BS 7799 de British Standards Institution (organización británica equivalente a
AENOR en España) creada en 1995 con el fin de facilitar a cualquier empresa un conjunto de buenas
prácticas para la gestión de la seguridad de la información. La norma ISO 27001 fue aprobada y
publicada como estándar internacional en octubre de 2005 por International Organization for
Standardization y por la comisión International Electrotechnical Commission.
Objetivos
Esta familia de normas que tiene como objetivo definir requisitos para un sistema de gestión de la
seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad
adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier
empresa grande o pequeña de cualquier parte del mundo y más especialmente para aquellos
sectores que tengan información crítica o gestionen la información de otras empresas.
Familia 27000
ISO/IEC 27000: 1 de Mayo de 2009. Esta norma proporciona una visión general de las normas que
componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la
Información, una breve descripción del proceso Plan-Do-Check-Act y términos y definiciones que se
emplean en toda la serie 27000. Sin traducción.
ISO/IEC 27001: 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del
sistema de gestión de seguridad de la información. Sin traducir. Actualmente, este estándar se
encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación en
2012.
ISO/IEC 27002: Del año 2005. Es una guía de buenas prácticas que describe los objetivos de control
y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios.
ISO/IEC 27003: 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos
críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC
27001:2005.
ISO/IEC 27004: 7 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización
de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles
o grupos de controles implementados según ISO/IEC 27001. Sin traducir.
ISO/IEC 27005: 4 de Junio de 2008. No certificable. Proporciona directrices para la gestión del riesgo
en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC
27001. Sin traducir todavía.
ISO/IEC 27006: 1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades de
auditoría y certificación de sistemas de gestión de seguridad de la información. Sin traducir todavía
en España, pero traducida en México (NMX-I-041/06-NYCE).
ISO/IEC 27007: Publicación prevista en 2011. Consistirá en una guía de auditoría de un SGSI, como
complemento a lo especificado en ISO 19011.
ISO/IEC 27008: Publicación prevista en 2011. Consistirá en una guía de auditoría de los controles
seleccionados en el marco de implantación de un SGSI.
ISO/IEC 27010: Publicación prevista en 2012. Es una norma en 2 partes, que consistirá en una guía
para la gestión de la seguridad de la información en comunicaciones inter-sectoriales.
ISO/IEC 27011: 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y
gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones
basada en ISO/IEC 27002. Sin traducción.
ISO/IEC 27012: Publicación prevista en 2011. Consistirá en un conjunto de requisitos y directrices
de gestión de seguridad de la información en organizaciones que proporcionen servicios de e-
Administración.
ISO/IEC 27013: Publicación prevista en 2012. Consistirá en una guía de implementación integrada
de ISO/IEC 27001 y de ISO/IEC 20000-1.
ISO/IEC 27014: Publicación prevista en 2012. Consistirá en una guía de gobierno corporativo de la
seguridad de la información.
ISO/IEC 27015: Publicación prevista en 2012. Consistirá en una guía de SGSI para organizaciones del
sector financiero y de seguros.
ISO/IEC 27016: Publicación prevista en 2012. Consistirá en una guía de SGSI relacionada con
aspectos económicos en las organizaciones.
ISO/IEC 27031: 01 de Marzo de 2011. Describe los conceptos y principios de la tecnología de
información y comunicación (TIC)
ISO/IEC 27032: Publicación prevista en 2011. Guía relativa a la ciberseguridad.
ISO/IEC 27033: Seguridad en redes. Tiene 7 partes: 27033-1, conceptos generales (10 de Diciembre
de 2009); 27033-2, directrices de diseño e implementación de seguridad en redes (prevista 2011);
27033-3, escenarios de redes de referencia (3 de Diciembre de 2010); 27033-4, aseguramiento de
las comunicaciones entre redes mediante gateways de seguridad (prevista 2012); 27033-5,
aseguramiento de comunicaciones mediante VPNs (prevista 2012); 27033-6, convergencia IP
(prevista 2012); 27033-7, redes inalámbricas (prevista 2012).
ISO/IEC 27034: Publicación prevista desde 2011-12. Varias guías de seguridad para aplicaciones
informáticas.
ISO/IEC 27035: Publicación prevista en 2011. Guía de gestión de incidentes de seguridad de la
información.
ISO/IEC 27036: Publicación prevista en 2012. Guía de seguridad de outsourcing (externalización de
servicios).
ISO/IEC 27037: Publicación prevista en 2012. Guía de identificación, recopilación y preservación de
evidencias digitales.
ISO/IEC 27038: Publicación prevista en 2013. Guía de especificación para la redacción digital.
ISO/IEC 27039: Publicación prevista en 2013. Guía para la selección, despliegue y operativa de
sistemas de detección de intrusos.
ISO/IEC 27040: Publicación prevista en 2013. Guía para la seguridad en medios de almacenamiento.
ISO 27799: 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la
interpretación y aplicación en el sector sanitario de ISO/IEC 27002.
Beneficios
Garantía de los controles internos y cumplimiento de requisitos de gestión corporativa y de
continuidad de la actividad comercial.
Pone de manifiesto el respeto a las leyes y normativas que sean de aplicación.
Fiabilidad de cara al cliente demostrar que la información está segura.
Identificación, evaluación y gestión de riesgos.
Evaluaciones periódicas que ayudan a supervisar el rendimiento y las posibles mejoras.
Se integra con otros sistemas de gestión
Reducción de costes y mejora de procesos
Aumento de la motivación y satisfacción del personal al contar con unas directrices claras.
Implantación
La norma ISO 27001 (la principal de la familia) es certificable por una entidad de certificación externa
y su implantación puede tardar de 6 a 12 meses dependiendo del nivel de seguridad de la
información y del alcance de la empresa en la que se implante y es preferible realizar el proceso con
ayuda de alguna consultoría externa a la organización.
Para aquellos que estéis interesados os dejamos enlace a un Curso sobre ISO 27001 que ofrece la
Asociación Española para la Calidad (AEC)
¿QUÉ ES ALESTRA?
Alestra es una marca de soluciones empresariales y de gobierno de Axtel; provee las más
innovadoras Tecnologías de Información y Comunicación en México para habilitar a las
organizaciones a ser más productivas.
Su portafolio incluye soluciones de conectividad, comunicación, seguridad, centro de datos, nube,
integración de sistemas y administración de aplicaciones, con el respaldo de socios tecnológicos
líderes mundiales.
Alestra dio a conocer hoy haber obtenido el refrendo de la certificación que conjuntamente otorgan
la International Organization for Standarización (ISO), y la International Electrotechnical Comission
(IEC), ISO/IEC 27001:2005, que mereció por primera vez en 2007 para su Sistema de Seguridad de
la Información (SASI).
Al optar por la recertificación, Alestra incluyó una nueva área, la de Redes y Servicios Integrales por
ser vital para los negocios de sus clientes, ya que comprende el Centro de Operaciones de Seguridad
(SOC, por sus siglas en inglés), y la Operación de Redes Administradas. De este modo son ya seis las
áreas comprendidas en el Sistema de Administración de Seguridad de la Información de Alestra que
ostentan esta certificación internacional: los servicios de Internet, las Redes Privadas Virtuales (VPN
por sus siglas en inglés), los Procesos de Operación de la Red y el Mantenimiento y Desarrollo de los
Servicios, a los que se suman los incluidos en esta ocasión.
Con este refrendo Alestra confirma su liderazgo en el mercado mexicano al erigirse como el primero
y único Operador de Telecomunicaciones en México con un Centro de Operaciones de Seguridad
certificado con el ISO/IEC 27001:2005 y confirmar la misma certificación obtenida dos años atrás
para su Sistema de Administración de Seguridad de la Información.
“El mayor beneficio que se ha aportado mediante esta recertificación del ISO27001 a nuestro
Sistema de Seguridad de la Información es poder ampliar su alcance a diversos servicios que
ofrecemos a nuestros clientes, lo que apoya en forma clara la continuidad y disponibilidad de sus
sistemas de información y por ende, sus procesos de negocio”, comentó Ricardo Morales, Gerente
de Seguridad de la Información de Alestra.
De esta manera, Alestra hace patente su compromiso con los clientes, de la mano con la más
avanzada tecnología, características que han distinguido a la compañía desde su creación hace más
de 13 años.
EVALUACIÓN DE RIESGOS
1. DESCRIPCIÓN DEL SERVICIO DE CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN
MODALIDAD ANÁLISIS DE RIESGOS
I.- Análisis de Apego a Buenas Prácticas, el CLIENTE recibirá los siguientes entregables:
Alestra como parte de sus actividades empresariales, requiere recabar y tratar datos personales
mismos que se obtienen en forma directa del titular, en forma indirecta, a través de medios físicos,
electrónicos o presenciales, así como de fuentes públicas autorizadas, con el propósito de cumplir
con las finalidades primarias y necesarias señaladas en el presente Aviso de Privacidad Integral.
Los Datos personales a los que se les dará tratamiento de acuerdo al tipo de titular son:
-Para Clientes y/o Proveedores (Personas Físicas) datos de Identificación, domicilios, datos fiscales,
datos de contacto, así como referencias personales, crediticias, comerciales, datos financieros y
patrimoniales. En el caso de clientes y/o proveedores no se da tratamiento a datos personales
sensibles.
-Para Candidatos, Empleados y/o Servicios Profesionales datos de Identificación, domicilio, datos de
contacto, datos académicos, cursos, diplomados, certificaciones, Idiomas, habilidades,
conocimientos, áreas de experiencia e Interés, datos extra-académicos, datos de referencias
laborales, personales y familiares, datos patrimoniales y financieros, así como los siguientes datos
Personales Sensibles: datos personales de salud y afiliación sindical.
-Para Contratistas (Personas Físicas) datos de identificación, datos de contacto, datos laborales,
datos que comprueben la vigencia de derechos en materia de seguridad social o seguros de gastos
médicos mayores. En el caso de contratistas no se recaban datos personales sensibles.
-Para visitantes a las instalaciones datos de identificación, datos de contacto, en su caso empresa
que representa y motivo de la visita.
En todos los casos, los datos personales sensibles, patrimoniales y financieros tienen como
propósito que Alestra cumpla con las obligaciones derivadas de la relación jurídica que se establezca
con el Titular.
Es nuestro compromiso que los mismos serán tratados bajo estrictas medidas de seguridad, siempre
garantizando su confidencialidad.
En caso de proporcionar cualquier tipo de dato personal relacionado con otra persona como
referencia, para efectos del presente aviso de privacidad, usted declara y acepta que ha obtenido el
consentimiento previo correspondiente de dicha persona para ello.
Exista una situación de emergencia que potencialmente pueda dañar a un individuo en sus bienes
o persona; o
a) Las finalidades primarias por las que Alestra puede solicitar, obtener, almacenar y/o utilizar los
Datos Personales por tipo de Titular son:
En relación a Visitantes a nuestras instalaciones para el monitoreo y control de su visita, así como
permitir el acceso a las instalaciones. b) Las finalidades secundarias por las que Alestra podría
solicitar, obtener, almacenar y/o utilizar los Datos Personales son las siguientes:
Para cualquier tipo de Titular para la comunicación, promoción y difusión a través de medios físicos
y electrónicos, de nuestros productos y/o servicios. En caso de que el Titular requiera manifestar su
negativa para el tratamiento de sus datos personales para las finalidades secundarias que no dan
origen a la relación jurídica, cuenta con 5 días hábiles a partir de que otorgó su consentimiento, para
presentar su solicitud conforme lo señalado en la Sección V del presente Aviso de Privacidad. En
ningún caso se dará un uso distinto a los aquí señalados a cualquier Dato Personal recabado, salvo
que medie un cambio en este Aviso de Privacidad de acuerdo a lo establecido en la sección IX.
El Titular entiende y acepta que Alestra está autorizado para transferir los Datos a terceros,
respetando en todo momento las finalidades previstas en el presente Aviso de Privacidad. Alestra
como parte del tratamiento de datos personales, no realiza transferencias de Datos Personales
Sensibles, Patrimoniales o Financieros. En caso de requerirse, la misma no se realizará sin previo
consentimiento expreso y por escrito por parte del Titular.
El Titular acepta que al proporcionar sus Datos Personales, estos estarán sujetos a las transferencias
mencionadas en el presente Aviso de Privacidad.
Cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté
debidamente acreditado para ello;
Cuando exista un impedimento legal, o la resolución de una autoridad competente que restrinja el
acceso a los datos personales o que no permita la rectificación, cancelación u oposición de los
mismos;
Para ejercer sus derechos ARCO (acceso, rectificación, cancelación y oposición), así como para
limitar su uso o divulgación o solicitar la revocación del consentimiento, deberá dirigirse a Alestra
mediante escrito libre en Atención a Datos Personales RH, en Av. Lázaro Cárdenas #2321 piso 9,
Residencial San Agustín, San Pedro Garza García, N.L. C.P. 66260 de Lunes a Viernes de las 9:00 a las
13:00 y de las 15:30 a las 18:00 horas, en días hábiles, según corresponda.
Para poder dar trámite a cualquier solicitud de acceso, rectificación, cancelación, oposición, así
como para limitar el uso / divulgación o para solicitar la revocación del consentimiento, deberá ser
recibida en el domicilio antes indicado, así como contener y acompañar lo siguiente: a) El nombre
del Titular, domicilio y/o cualquier otro medio para comunicarle la respuesta a su solicitud; b) Los
documentos que acrediten la identidad o, en su caso, la representación legal del Titular; c) La
descripción clara y precisa de los Datos Personales respecto de los que se busca ejercer alguno de
los derechos antes mencionados; d) Cualquier otro elemento o documento que facilite la
localización de los Datos del Titular, así como su clave de RFC y/o CURP para evitar cualquier
homonimia. e) Especificar claramente si la solicitud es de acceso, rectificación, cancelación,
oposición; limitar uso / divulgación o revocación del consentimiento) el motivo de la solicitud y g)
las modificaciones a realizarse, en caso de que la solicitud sea para la rectificación de Datos
Personales y aportar la documentación que sustente su petición.
En caso de que la información proporcionada en la Solicitud ARCO sea insuficiente o errónea para
atenderla, o bien no se acompañen los documentos necesarios para dar trámite a la misma, Alestra
requerirá al titular de los datos o su representante, dentro de los 5 días hábiles siguientes a la
recepción de la Solicitud ARCO, por una única vez, que aporte los elementos o documentos
necesarios para dar trámite a la misma. El titular de los datos o su representante, contará con 10
días hábiles contados a partir del día siguiente de la recepción del requerimiento, para darle
respuesta.
Alestra dará respuesta a la Solicitud ARCO con la determinación alcanzada, en un plazo de 20 días
hábiles contados a partir de la recepción de la solicitud, o en caso de haberse solicitado información
o documentos adicionales, en un plazo de 20 días hábiles contados a partir del día siguiente a la
presentación de la respuesta al requerimiento.
En caso de ser procedente la Solicitud ARCO, Alestra hará efectiva la determinación alcanzada
dentro de un plazo de 15 días hábiles contados a partir de que se comunique la respuesta al titular
de los datos o su representante. Tratándose de Solicitudes ARCO sobre el derecho de acceso a datos
personales, la entrega de los mismos se hará previa acreditación de la identidad del titular de los
datos o su representante. Alestra podrá ampliar los plazos para dar respuesta a una Solicitud ARCO,
y/o para hacer efectiva la determinación alcanzada, por una sola vez, por periodos iguales a los
señalados en cada caso, siempre que considere que las circunstancias del caso lo justifican.
Ante tales supuestos, Alestra le notificará al titular de los datos o su representante, la(s)
circunstancia(s) que justifican la ampliación, dentro de cada uno de los plazos originales para dar
respuesta o hacer efectiva la determinación alcanzada. Las respuestas a las Solicitudes ARCO se
entregarán al titular de los datos o a su representante legal en copias simples o en archivo
electrónico según el tipo y la cantidad de documentos de que se trate cada caso.
Para la revocación del consentimiento bastará que el titular presente su solicitud en el domicilio de
Alestra. Alestra hará efectiva dicha solicitud, siempre y cuando no se trate de un dato personal
necesario para la existencia, mantenimiento y cumplimiento de su relación jurídica con el titular de
los datos.
Alestra estará facultado para dar el tratamiento que considere adecuado a los Datos Personales,
siempre y cuando se realice con apego a las finalidades señaladas en el inciso (a) de la Sección III del
presente Aviso de Privacidad. Para el tratamiento de las finalidades señaladas en el inciso (b) de la
citada Sección, Alestra podrá realizar dicho tratamiento hasta que no reciba la negativa por parte
del Titular. A efecto de que el Titular pueda manifestar su negativa al respecto, deberá dirigirse al
Alestra por medio del procedimiento establecido para el ejercicio de los Derechos ARCO señalado
en la Sección V del presente Aviso de Privacidad.
Para dar cumplimiento con las finalidades del presente Aviso de Privacidad, así como para poder
tratar los Datos Personales, es posible que Alestra entregue todo o parte de los Datos a terceras
personas que podrán ser personas físicas o morales, nacionales o extranjeras, empresas filiales o
subsidiarias, incluyendo proveedores de bienes o servicios, que requieran conocer esta información,
incluyendo proveedores de servidores de almacenamiento de información, quienes quedarán
obligados, por contrato, a mantener la confidencialidad de los Datos Personales y conforme a lo
establecido en el presente Aviso de Privacidad. Los terceros receptores, podrán ser empresas
industriales, comerciales y/o de servicios. Alestra se compromete a contar con las medidas legales
y de seguridad suficiente y necesaria para garantizar que sus Datos Personales permanezcan
confidenciales y seguros. A efecto de que el Titular pueda realizar solicitud para limitar el uso o
divulgación, deberá dirigirse al Alestra por medio del procedimiento establecido para el ejercicio de
los Derechos ARCO señalado en la Sección V del presente Aviso de Privacidad.
8. Comunicación por uso de Cookies, Web Beacons o similares.
En caso de que el Titular proporcione sus Datos a través de medios electrónicos, incluyendo el sitio
web (Internet) de Alestra, el Titular entiende, acepta y reconoce que:
a) El sitio web de Alestra puede incluir enlaces a sitios web de terceros, que de accederse, ocasionará
que se abandone el sitio web de Alestra, por lo cual Alestra no asume ninguna responsabilidad en
relación con esos sitios web de terceros.
b) El sitio web de Alestra puede incluir enlaces a sitios que administran redes sociales, en cuyo caso
el Titular acepta que al proporcionar cualquier tipo de información o Datos en dichos sitios,
ocasionará que la misma pueda ser leída, vista, accedida, retransmitida y tratada por cualquier
persona, y por lo tanto libera de cualquier responsabilidad a Alestra.
Cookies: Son archivos de datos que se almacenan en el disco duro del equipo de cómputo o del
dispositivo de comunicaciones electrónicas de un usuario al navegar en un sitio de Internet
específico, el cual permite intercambiar información de estado entre dicho sitio y el navegador del
usuario. La información de estado puede revelar medios de identificación de sesión, autenticación
o preferencias del usuario, así como cualquier otro dato almacenado por el navegador respecto al
sitio de Internet.
Web beacons: Son una imagen visible u oculta insertada dentro de un sitio web o correo electrónico,
que se utiliza para monitorear el comportamiento del usuario en estos medios. A través de éstos se
puede obtener información como la dirección IP de origen, navegador utilizado, sistema operativo,
momento en que se accedió a la página, y en el caso del correo electrónico, la asociación de los
datos anteriores con el destinatario.
Alestra puede utilizar cookies o web beacons en su página web para facilitar la navegación y para
obtener una mayor eficacia facilitando la personalización de los servicios ofrecidos a los visitantes.
Las cookies o web beacons usadas en los sitios web de Alestra, no proporcionan referencias que
permitan deducir el nombre y apellidos del visitante y no pueden leer datos de su disco duro ni
incluir virus en sus textos.
Tampoco es posible leer las cookies implantadas en el disco duro del visitante desde otros
servidores. El visitante puede configurar su navegador para aceptar o rechazar por defecto todas las
cookies o web beacons o para recibir un aviso en pantalla de la recepción de cada cookie o web
beacons y decidir en ese momento su implantación o no en su disco duro.
1. TERMINACIÓN Y RESCISIÓN
1. El CLIENTE al corriente en el cumplimiento de sus obligaciones podrá solicitar a
ALESTRA la terminación de cualquiera de los servicios mediante notificación por
escrito a ALESTRA con 60 (sesenta) días de anticipación a la fecha en que pretenda
que se lleve a cabo la terminación.
2. En caso de que el CLIENTE decida cancelar parcial o totalmente cualquiera de los
Servicios aquí señalados, antes de cumplir con la vigencia inicialmente contratada
y/o en caso de rescisión del contrato y/o de este anexo por incumplimiento del
CLIENTE a cualquiera de sus obligaciones derivadas del servicio contratado, deberá
de pagar a ALESTRA El 100% (cien por ciento) del valor total del proyecto.
3. En caso de terminación anticipada parcial o total de los Servicios, ALESTRA solo será
responsable de entregar al CLIENTE aquellos reportes o entregables que resulten a
la fecha efectiva de terminación anticipada, por lo que el CLIENTE reconoce que
dichos entregables pueden carecer del alcance completo que aquí se señala.
En caso que el CLIENTE incumpla con cualquiera de las responsabilidades aquí enumeradas,
puede ocasionar el retraso en la entrega del Servicio, así mismo, pueda incurrir en gastos
extras que ALESTRA cotizará en la factura correspondiente. Por lo anterior, el CLIENTE
acepta y reconoce el pago de cualquier gasto extra que ALESTRA pueda incurrir derivado
del incumplimiento del CLIENTE a esta sección.
3. LIMITE DE RESPONSABILIDADES
1. Para el servicio de CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN las actividades
a realizar por parte de ALESTRA, se limitan a lo señalado en la cláusulas
correspondientes en la DESCRIPCIÓN DEL SERVICIO del presente Anexo, por lo cual
ALESTRA no llevará a cabo acciones o actividades encaminadas a la remediación de
las posibles vulnerabilidades que sean detectadas en la organización del CLIENTE,
durante el proceso de Consultoría.
4. PROTECCIÓN DE INFORMACIÓN
1. ALESTRA mantendrá en todo momento protegida la información del CLIENTE
durante la vigencia del Servicio, y una vez concluido el servicio ALESTRA la
mantendrá igualmente protegida, hasta que se proceda a la destrucción de la
misma.
5. AUDITORÍAS
1. El CLIENTE acepta y reconoce que los servicios que se describen en este Anexo de
Servicio, no constituye, ni podrán ser considerados, como parte de una Auditoría de
sistemas, procesos o cualquier análogas. Los Servicios aquí descritos son
informativos, de recomendación y mejora para la seguridad del CLIENTE. Es
responsabilidad del CLIENTE seguir las recomendaciones emitidas por los Servicios
de ALESTRA, y así mismo el CLIENTE deberá realizar sus Auditorías a través de otro
servicios prestados por ALESTRA, 10.2. El CLIENTE acepta y reconoce que los
Servicios aquí descritos y prestados por ALESTRA podrán ser susceptibles de
Auditoría por parte del CLIENTE, siempre y cuando el CLIENTE lo solicite con
anticipación, detallando los alcances y por escrito, por lo cual el CLIENTE acepta y
reconocer que deberá pagar la cotización que ALESTRA le haga llegar para llevar
acabo la auditoría que el CLIENTE solicite.
6. PROPIEDAD INTELECTUAL
1. Todos los Servicios prestados y descritos en este Anexo están protegidos por las
leyes de Propiedad Intelectual aplicables en México y el extranjero. Por lo anterior,
ALESTRA otorga una licencia de derecho y uso exclusivo al CLIENTE, sin que pueda
ser copiado parcial o totalmente, quedando prohibida su distribución, publicación,
y/o comercialización total o parcial, sin el consentimiento por escrito de ALESTRA.
GESTIÓN DE ACTIVOS
DESCRIPCIÓN DEL SERVICIO DE ANALISIS DE VULNERABILIDADES. El servicio de Análisis de
Vulnerabilidades consiste en realizar un estudio de los activos (servidores, routers, swiitches, etc)
del CLIENTE para determinar si tiene vulnerabilidades que puedan afectar al activo, a sus servicios
de telecomunicaciones o a la información del CLIENTE. Este estudio se realiza durante un periodo
de tiempo determinado en las instalaciones del CLIENTE utilizando herramientas autorizadas por
ALESTRA con las cuales se obtendrá información que servirá para generar y entregar los siguientes
reportes al CLIENTE: