Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Data Compliance Governance

    Política de uso aceptable: Qué es y por qué la necesita

    La importancia de las políticas de uso aceptable (PUA) en las organizaciones

    by Emily Schwenke

    Key Points

    • Este blog se publicó originalmente en el sitio web de Aware, pero con la adquisición de Aware por parte de Mimecast, nos aseguramos de que también esté disponible para los visitantes del sitio web de Mimecast.
    • Las PUA definen los comportamientos aceptables e inaceptables en relación con la tecnología y los activos de la empresa para garantizar la seguridad y la productividad.
    • La correcta aplicación de las PUA ayuda a reducir las amenazas a la ciberseguridad, a mantener el cumplimiento legal y a fomentar un lugar de trabajo seguro y eficiente.

    ¿Cuántas herramientas, aplicaciones y plataformas digitales se utilizan actualmente en su organización? ¿Cuántos dispositivos están conectados a su red? Las políticas de uso aceptable (PUA) proporcionan directrices exhaustivas sobre lo que es y no es aceptable en los sistemas informáticos, redes, software y otros activos tecnológicos de una organización. Sea cual sea el sector o el tamaño de su empresa, la implantación de una PUA eficaz es esencial para navegar por los entresijos del uso de la tecnología, salvaguardando al mismo tiempo los intereses y la integridad de su organización.

    ¿Qué es una política de uso aceptable?

    Una Política de Uso Aceptable (PUA) es un conjunto de directrices y normas establecidas por las organizaciones para definir el uso aprobado de sus recursos informáticos. Esta política resume las expectativas sobre cómo los empleados y otros usuarios autorizados deben interactuar con estos recursos.

    Las PUA articulan las formas adecuadas e inadecuadas de utilizar la red informática de una organización, incluido el acceso a Internet, el uso justo y el uso inaceptable. Actúan como un código de conducta para las personas a las que se concede acceso a estos recursos, garantizando que los utilizan de forma responsable y en consonancia con los objetivos de la organización.

    Una Política de Uso Aceptable sólo es tan fuerte como su aplicación. Mimecast Aware le ayuda a ir más allá de la revisión manual mediante el uso de la IA para detectar y abordar las infracciones de las políticas en tiempo real, a través de Slack, Teams, Google Drive y más.

    Vea cómo Mimecast simplifica el cumplimiento de la AUP

    El objetivo principal de una PUA es proteger los intereses, los activos y la reputación de la organización. Al establecer directrices claras, una PUA ayuda a prevenir el uso indebido, el acceso no autorizado y otros comportamientos que podrían comprometer la información de la organización y a los empleados. Además, sirve como herramienta para promover las políticas de seguridad de la empresa y garantizar un entorno tecnológico productivo.

    Las políticas de uso aceptable deben comunicarse claramente a los nuevos empleados durante el proceso de incorporación y estar disponibles en el manual del empleado para futuras consultas. Aunque la mayoría de las PUA se centran en el uso aceptable de Internet y los activos tecnológicos, algunas empresas también definen el uso aceptable en otras áreas de la empresa.

    Ejemplos de una política de uso aceptable

    Dado que las PUA abarcan una amplia gama de tecnologías y activos, las empresas pueden optar por tener un único documento que las englobe o abordar las responsabilidades por separado para el hardware frente al software, por ejemplo. Algunos ejemplos de políticas de uso aceptable incluyen:

    • Política de uso de Internet: En la que se describen el comportamiento y las actividades aceptables cuando se utiliza el wi-fi, la VPN o los proveedores de servicios de Internet de la organización.
    • Política de correo electrónico: Definición del uso y comportamiento aceptables en relación con el sistema de correo electrónico de la organización, incluidas las normas de comunicación y contenido. Las PUA también pueden cubrir el uso del correo electrónico personal en máquinas propiedad de la empresa.
    • Política Bring Your Own Device (BYOD): Descripción de las normas y medidas de seguridad cuando los empleados utilizan sus dispositivos personales para fines laborales.
    • Política de protección de datos: Definición de cómo se manejan, almacenan y protegen los datos sensibles para garantizar el cumplimiento de la normativa sobre privacidad.
    • Política de trabajo a distancia: Proporcionar directrices para los empleados que trabajan fuera del entorno tradicional de oficina, cubriendo temas como la seguridad, la productividad y la comunicación.
    • Política de uso de software: Describe el uso apropiado y la instalación de software en los dispositivos de la empresa para mantener la seguridad y el cumplimiento, incluyendo si el software de la empresa también se puede utilizar para uso personal.
    • Política de acoso y discriminación: Aborda las expectativas de comportamiento relacionadas con el acoso y la discriminación, promoviendo un entorno de trabajo seguro e inclusivo.

    Además, algunas empresas pueden exigir a sus empleados que firmen PUA que van más allá del alcance de los recursos informáticos de la empresa, sobre todo si el comportamiento de los empleados puede desacreditar a la propia empresa. Algunos ejemplos comunes son las directrices de los medios sociales y las políticas de viajes de la empresa.

    ¿Qué empresas requieren políticas de uso aceptable?

    Las PUA son comúnmente implementadas por una variedad de negocios, incluyendo compañías con y sin ánimo de lucro, así como instituciones educativas y agencias gubernamentales. Cualquier lugar de trabajo que se ocupe de las TI -desde los correos electrónicos de la empresa hasta las aplicaciones de programación- puede beneficiarse de la creación de Políticas de uso aceptable que describan cómo deben interactuar los empleados con la tecnología.

    Tanto a la empresa como a los empleados les conviene ponerse de acuerdo sobre lo que constituye un uso aceptable para mantener un lugar de trabajo seguro y eficaz.

    95% de las violaciones de datos tienen su origen en un error humano: ¿son suficientes sus políticas? Descubra por qué los líderes en seguridad consideran ahora el riesgo humano como su principal reto de ciberseguridad y cómo abordarlo con estrategias específicas en el correo electrónico, la colaboración y la GenAI.

    Descargar El estado de Human Risk 2025

    Las ventajas de las PUA

    Disponer de políticas de uso aceptable es importante para ofrecer protección en varios frentes. En primer lugar, las AUP pueden reducir las amenazas a la ciberseguridad orientando a los empleados sobre cómo mantener su tecnología y sus datos seguros. Del mismo modo, las PUA garantizan que la organización y sus empleados cumplen las leyes y reglamentos pertinentes, reduciendo el riesgo de acciones legales relacionadas con el uso de la tecnología y prohibiendo explícitamente actividades ilegales como la descarga de contenidos pirateados o el borrado de mensajes intercambiados entre empleados regulados.

    Además de la seguridad y el cumplimiento de las normas, las políticas de uso aceptable pueden crear eficacia y ahorrar costes limitando el uso y el almacenamiento de datos. Algunos ejemplos de estas políticas son los límites de descarga, las restricciones de tipo de archivo y la especificación de cuándo y dónde realizar copias de seguridad de los datos de la empresa.

    Por último, las APU pueden tener un impacto positivo en la productividad al minimizar distracciones como el uso de las redes sociales durante las horas de trabajo.

    Los componentes de una sólida Política de Uso Aceptable

    Una PUA eficaz consta de varios componentes, como:

    • Expectativas de uso de los dispositivos: Defina claramente cómo pueden utilizarse los dispositivos del lugar de trabajo y especifique los sistemas a los que se aplica la PUA.
    • Restricciones exhaustivas: Proporcione una lista detallada de actividades prohibidas para orientar a los usuarios sobre el comportamiento aceptable.
    • Directrices para la instalación de software: Establezca directrices sobre la instalación y el mantenimiento del software para evitar riesgos de seguridad.
    • Uso por parte de no empleados: Especifique cómo los no empleados pueden utilizar los recursos de la empresa y las responsabilidades que tienen los empleados para salvaguardar los bienes del acceso no autorizado.

    Además de detallar qué actividades están permitidas y prohibidas, una PUA exhaustiva también debe incluir información sobre cómo la empresa supervisará y hará cumplir el uso aceptable, y las posibles consecuencias o medidas disciplinarias a las que podrían enfrentarse los empleados en caso de incumplimiento.

    Mejores prácticas para crear una política de uso aceptable

    Redactar una PUA suele ser un asunto de equipo para garantizar que se tienen en cuenta y se cubren todos los aspectos de la política. Algunas de las partes interesadas que deben participar son

    Equipos de RR.HH. y de personal: para impartir una formación exhaustiva sobre la PUA durante la incorporación y comunicar periódicamente los cambios de política a todos los empleados.

    Equipos de comunicación o de marketing: para elaborar la PUA en un lenguaje claro y fácil de entender, evitando la jerga y la ambigüedad.

    Equipos de TI - para entregar una lista de hardware y software cubiertos e identificar las áreas de especial riesgo.

    Legal y de Cumplimiento - para asesorar sobre cualquier obligación que la organización y/o sus empleados tengan que cumplir.

    Al involucrar a los líderes de las diferentes áreas de la empresa, las organizaciones pueden crear y mantener una PUA que guíe eficazmente a los usuarios y proteja la integridad de sus recursos tecnológicos.

    Cómo hacer cumplir una política de uso aceptable

    La aplicación de una política de uso aceptable comienza con una comunicación clara con los empleados. Deben comprender sus responsabilidades y obligaciones y tener claro cómo atenerse a la política de la empresa. Los empleados también deben recibir formación sobre cuáles son las políticas y cómo atenerse a ellas, por ejemplo, educándoles sobre cómo establecer contraseñas seguras o qué hacer si sospechan de un ataque de phishing.

    La formación de los empleados no es una actividad de una sola vez, sino que debe repetirse periódicamente para asegurarse de que las lecciones perduran. Explicar claramente el razonamiento que subyace a las restricciones de la PUA también puede mejorar el cumplimiento al ayudar a los empleados a entender el porqué de las normas que tienen que seguir.

    Junto con la formación de los empleados, es importante que las empresas utilicen herramientas para supervisar y hacer cumplir el uso aceptable en el lugar de trabajo. Entre ellas podrían incluirse soluciones DLP para identificar dispositivos o aplicaciones no autorizados que accedan a la red de la empresa, o herramientas de moderación de contenidos para detectar datos sensibles o lenguaje inapropiado en los chats de los empleados. Estas herramientas pueden proteger a la empresa de incidentes de seguridad y violaciones de datos que podrían poner en peligro la red corporativa o provocar la pérdida de información confidencial y propiedad intelectual.

    Mimecast Aware - Aplicación del uso aceptable impulsada por IA

    Aware respalda el cumplimiento del uso aceptable con automatizaciones impulsadas por IA y diseñadas para el conjunto de datos de mayor crecimiento y complejidad de su empresa: las conversaciones de colaboración. El lugar de trabajo digital ha creado cientos de herramientas y aplicaciones en las que los empleados pueden hablar: desde aplicaciones de mensajería como Slack y Teams hasta suites de productividad y almacenamiento como Google Drive y redes sociales empresariales como Workplace de Meta.

    Gestionar todas las diferentes formas en que los empleados pueden violar las PUA dentro de esos conjuntos de datos sin una solución específica diseñada para ese fin es lento y complejo, y requiere mucho tiempo de revisión manual.

    ¿Qué riesgos entrañan las herramientas de colaboración?

    • Seguridad de la información - ¿Cómo detectaría a un empleado que utiliza Slack para sincronizar un archivo confidencial con su dispositivo personal?
    • Cumplimiento - ¿Sabía que las herramientas de colaboración digital están incluidas en los requisitos de retención de leyes como la SEC 17a-4?
    • Rendimiento de la red - Los empleados enviaron más de 18 billones de mensajes en 2022. ¿Cuánto le cuesta ese escape de datos?
    • Búsquedas e investigaciones : el eDiscovery y las investigaciones internas se complican debido a la enorme escala de los datos de colaboración y a la visibilidad reducida de todos los mensajes enviados en estas herramientas.
    • Cultura de empresa - Las herramientas de mensajería instantánea facilitan que la intimidación, el acoso y la toxicidad pasen desapercibidos hasta que envenenan a toda la organización.

    Mimecast Aware adopta un enfoque centralizado para consolidar y moderar las conversaciones de las herramientas de colaboración, realizando análisis en tiempo real que detectan más casos de infracciones con menos falsos positivos. Los flujos de trabajo AI/ML miden aún más el sentimiento y la toxicidad dentro del lugar de trabajo, ayudando a los líderes a adelantarse a los cambios en la cultura de la empresa que ponen en riesgo el negocio y sus datos. Utilizando Aware podrá:

    • Búsqueda por palabra clave, regex y más mediante automatizaciones personalizables que funcionan 24/7
    • Mire más allá del texto en busca de infracciones como imágenes NSFW y datos sensibles en las capturas de pantalla
    • Proteja todos sus datos con cargas seguras y acceso basado en roles (RBAC)
    • Acelere los procesos existentes utilizando la biblioteca de flujos de trabajo de Aware
    • Entrene automáticamente a los empleados en tiempo real para mitigar futuros incidentes políticos

    La tecnología patentada de procesamiento del lenguaje natural (PLN) de Mimecast Aware permite a un mayor número de empresas llevar a cabo una moderación y supervisión eficaces del uso aceptable mediante la identificación de posibles infracciones casi en tiempo real y la adopción de medidas automatizadas para instruir a los empleados sobre las mejores prácticas.

    Utilizando Mimecast Aware, las empresas pueden mejorar su postura de riesgo general, apoyar el cumplimiento proactivo y proteger su cultura empresarial imponiendo un uso aceptable continuo en las herramientas de colaboración en el lugar de trabajo.

    Vea cómo funciona

    05BLOG_1.jpg
    Up Next
    Data Compliance Governance |
    Cómo hacer eDiscovery en Slack sin Enterprise Grid

    Related Articles

    Data Compliance Governance
    ¿Tiene un problema de riesgo de datos en Slack?
    Data Compliance Governance
    La guía completa del eDiscovery en Slack
    Data Compliance Governance
    ¿Qué es la TI en la sombra? Ejemplos, riesgos y soluciones

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top