1.1 Por que la seguridad de la informacion es responsabilidad de todos
CALTECH S.A. maneja informacion financiera, comercial y de clientes todos los dias.
Como empresa emisora de valores en la Bolsa de Valores de Asuncion,
tiene obligaciones regulatorias bajo la Ley N. 6534/2020 de Proteccion
de Datos Personales Crediticios de Paraguay.
Un incidente de seguridad puede afectar a tres areas criticas:
Clientes: sus datos personales y financieros podrian quedar expuestos
Reputacion corporativa: la confianza de clientes y socios comerciales
Operaciones internas: los sistemas que usamos a diario pueden quedar inoperativos
La seguridad NO es solo responsabilidad del area de TI.
Cada empleado es responsable de proteger la informacion a la que tiene acceso en su trabajo diario.
Ejemplo practico
Si un empleado usa una contrasena debil y un atacante accede a Versat (nuestro ERP),
puede ver datos financieros de todos los clientes. El responsable no es solo TI —
tambien lo es el empleado que no protegio su contrasena correctamente.
Sabias que?
La Ley N. 6534/2020 es la ley paraguaya de proteccion de datos personales
crediticios y financieros. CALTECH, como emisora de valores, esta directamente alcanzada
por esta normativa. Incumplirla puede generar sanciones legales para la empresa.
1.2 Los tres pilares: Confidencialidad, Integridad y Disponibilidad
El marco de seguridad de CALTECH (POL-TI-003) se basa en tres principios fundamentales
conocidos como la triada CIA. Conocerlos te ayuda a entender por que
existen las reglas de seguridad:
Confidencialidad
La informacion es accesible unicamente para las personas autorizadas
(principio de minimo privilegio). Cada persona accede solo a lo que necesita para hacer su trabajo.
Ejemplo Caltech: solo el personal de ventas autorizado debe ver los datos de clientes en Versat.
Un empleado de otro departamento no deberia tener ese acceso.
Integridad
La informacion es exacta, completa y no ha sido alterada sin autorizacion.
Los datos deben ser confiables y reflejar la realidad.
Ejemplo Caltech: los registros financieros en Versat no pueden ser modificados por alguien
sin el permiso correspondiente. Cualquier cambio no autorizado compromete la integridad.
Disponibilidad
Los sistemas e informacion estan disponibles cuando se los necesita.
Que los sistemas fallen o sean inaccesibles tambien es un incidente de seguridad.
Ejemplo Caltech: el correo de Google Workspace y el ERP Versat deben estar operativos
para que el negocio funcione. Un ataque que los deje inaccesibles afecta la disponibilidad.
POL-TI-003 tambien define un cuarto principio: la Trazabilidad — las acciones
sobre los sistemas quedan registradas e identificables, permitiendo auditar que ocurrio, cuando y quien lo hizo.
Nota de politica
Estos principios estan definidos formalmente en POL-TI-003 (Politica de
Seguridad Informatica y Ciberseguridad), aprobada por el Directorio de CALTECH en
diciembre de 2025.
1.3 Las politicas internas de Caltech: lo que necesitas saber
El Directorio de CALTECH ha aprobado tres politicas que todos los empleados deben conocer y cumplir.
Aqui un resumen practico de lo mas importante:
POL-TI-001 — Politica de Contrasenas
Requisitos minimos para todas las contrasenas corporativas:
Minimo 10 caracteres
Al menos 1 letra mayuscula (A-Z)
Al menos 1 letra minuscula (a-z)
Al menos 1 numero (0-9)
Al menos 1 caracter especial (!@#$%^&*)
No repetir las ultimas 5 contrasenas
Cambio obligatorio cada 90 dias
Prohibido por POL-TI-001:
Anotar contrasenas en papel o notas adhesivas
Compartir tu contrasena con companeros, superiores o terceros
Guardar contrasenas en archivos de texto, hojas de calculo o correos sin cifrar
Usar la misma contrasena corporativa en cuentas personales
Dar tu contrasena por correo o telefono — aunque digan ser "soporte de TI"
2FA obligatoria en Google Workspace y Versat. Metodos aceptados:
Google Authenticator, llaves de seguridad FIDO2, o codigos SMS al celular corporativo.
POL-TI-002 — Politica de Uso Aceptable
Que debo hacer (POL-TI-002):
Bloquear el equipo al ausentarme del escritorio: Win+L
Guardar documentos de trabajo solo en Google Drive corporativo (@caltechagro.com)
Usar 2FA para acceder al correo corporativo
Reportar cualquier comportamiento sospechoso del equipo a TI
Prohibido por POL-TI-002:
Instalar software sin autorizacion previa del area de TI
Conectar USB, discos externos o dispositivos personales sin autorizacion de TI
Abrir archivos adjuntos de remitentes desconocidos o sospechosos
Usar el correo corporativo para suscribirse a servicios personales
Acceder a sitios de streaming, juegos en linea o entretenimiento desde la red corporativa
Guardar documentos de trabajo en servicios no autorizados (Dropbox personal, USB personal, etc.)
POL-TI-003 — Politica de Seguridad General
Es el documento rector que articula todas las demas politicas y
procedimientos de seguridad de CALTECH. Define el marco general: gestion de accesos,
proteccion de equipos, copias de seguridad, gestion de incidentes y responsabilidades
de cada nivel de la organizacion.
Vigencia de las politicas
Las tres politicas (POL-TI-001, POL-TI-002, POL-TI-003) fueron aprobadas por
el Directorio de CALTECH en diciembre de 2025. Su cumplimiento es obligatorio
para todos los empleados, sin excepcion de cargo o jerarquia.
1.4 Reporte de incidentes: que hacer si algo sale mal
Un incidente de seguridad es cualquier evento que comprometa o pueda
comprometer la confidencialidad, integridad o disponibilidad de la informacion o los
sistemas (PROC-TI-001, Sec. 3).
Ejemplos de incidentes que debes reportar:
Recibiste un correo sospechoso o inesperado (posible phishing — alguien se hace pasar por una persona o empresa confiable para robar tus datos)
Tu equipo tiene un comportamiento extrano: lentitud inusual, ventanas que aparecen solas
Tu cuenta fue bloqueada inesperadamente
Encontraste un USB desconocido en la oficina
Alguien te pidio tu contrasena por correo o telefono
Accediste o viste algo que no debias ver en los sistemas
La regla mas importante
NO intentes resolver el incidente por tu cuenta. Podrias borrar
evidencia importante o empeorar la situacion. Notifica a TI de inmediato y deja
que ellos tomen el control.
Los 5 pasos ante un incidente (PROC-TI-001, Fase 1):
NO intentes resolver por tu cuenta — podrias borrar evidencia o empeorar la situacion
Notifica a TI inmediatamente
Nicolas Kalany Costa — Responsable de TI
Telefono: 0983 186 360
Correo: nicolas.kalany@caltechagro.com
Describe que paso — cuando ocurrio, que equipo o sistema esta afectado, que estabas haciendo en ese momento
NO apagues ni reinicies el equipo — salvo instruccion expresa de TI
Preserva la evidencia — toma capturas de pantalla del correo sospechoso, pantalla de error o mensaje inusual
Clasificacion de incidentes (PROC-TI-001, Sec. 4):
Nivel
Ejemplos
Notificar en
Critico
Ransomware (programa malicioso que bloquea tus archivos y pide dinero para devolverlos), robo masivo de datos
Inmediato (telefono)
Alto
Virus activo (programa danino que infecta tu equipo), acceso no autorizado, phishing exitoso (alguien logro enganarte para obtener tus datos)
Menos de 4 horas
Medio
Intento de phishing (correo o mensaje sospechoso, aunque no hayas hecho clic), cuenta bloqueada
Mismo dia habil
Bajo
Correo sospechoso no abierto
Siguiente dia habil
1.5 Sanciones por incumplimiento
El incumplimiento de las politicas de seguridad es considerado una falta grave
por CALTECH S.A. Las politicas POL-TI-002 (Sec. 12) y POL-TI-003 (Sec. 8) establecen
una escala de sanciones progresivas:
Escala de sanciones (POL-TI-002 Sec. 12 / POL-TI-003 Sec. 8):
Amonestacion verbal o escrita
Restriccion o suspension temporal del acceso a los sistemas
Suspension disciplinaria
Desvinculacion laboral (en casos graves)
En caso de delito informatico: CALTECH se reserva el derecho de iniciar acciones legales correspondientes
El objetivo de las sanciones
Las sanciones no buscan castigar sino proteger a todos. Un incidente
de seguridad puede afectar a companeros, clientes y a la empresa en su conjunto.
Cumplir las politicas es parte del trabajo de cada uno.
Monitoreo legitimo (POL-TI-002, Sec. 11)
CALTECH S.A. se reserva el derecho de monitorear, auditar y registrar
el uso de los recursos tecnologicos corporativos: trafico de red, uso de Internet,
correo electronico corporativo, acceso a sistemas y uso de equipos asignados.
Al utilizar los recursos corporativos, los empleados aceptan este monitoreo.
1.6 Las 5 reglas de oro de ciberseguridad
Memoriza estas 5 acciones. Son lo mas importante de todo el modulo.
1. Bloquea tu equipo
Cada vez que te levantes del escritorio, aunque sea por 1 minuto:
Win+L
2. Nunca compartas tu contrasena
Ni con companeros, ni con tu jefe, ni con "soporte de TI".
Nadie tiene derecho a pedirte tu contrasena.
3. No conectes USB sin autorizacion
Primero pide autorizacion a TI. Un USB infectado puede
comprometer todo el sistema de la empresa.
4. Google Drive corporativo para todo
Guarda documentos de trabajo solo en Google Drive @caltechagro.com.
No en USB, no en cuentas personales.