¿Qué es un LCO y por qué es importante su compromiso?

Las LCO son organizaciones pequeñas y centradas en el ámbito local que a menudo carecen de los recursos de ciberseguridad de las entidades más grandes, pero que se enfrentan a amenazas similares, incluidos los ataques de estados-nación y el ransomware delictivo. Las empresas nacionales o multinacionales, o los organismos públicos o entidades que operan a nivel nacional, no son LCO.

Algunos ejemplos de LCO son:

• Escuelas públicas financiadas por el Estado
• Organizaciones benéficas y sin ánimo de lucro locales
• Proveedores sanitarios locales
• Pequeñas empresas (por ejemplo, tiendas de comestibles familiares)
• Oficinas municipales
• Museos, teatros y bibliotecas
• Sociedades y asociaciones locales
• Servicios públicos locales

La participación de los LCO a través del programa de Seminarios sobre Ciberseguridad de Google.org beneficia tanto a los estudiantes como a los LCO. Para los estudiantes, la participación de los LCO supone una valiosa oportunidad de aplicar sus conocimientos académicos a situaciones del mundo real, adquiriendo una experiencia práctica que mejora sus habilidades y su empleabilidad. Los LCO, por su parte, se benefician de la experiencia y el asesoramiento en ciberseguridad que aportan los estudiantes, ayudándoles a mejorar su concienciación en ciberseguridad, reforzar sus defensas y asegurarse de que están mejor equipados para hacer frente a posibles amenazas. Esta colaboración puede fomentar una relación más profunda entre la institución de enseñanza superior y la comunidad, creando un compromiso compartido para mejorar la resistencia de la ciberseguridad.

Sin embargo, existen riesgos inherentes a la colaboración de los estudiantes con las LCO, que pueden afectar a todas las partes implicadas. En el caso de los estudiantes, trabajar con organizaciones externas puede exponerles a problemas legales, de privacidad o de seguridad, mientras que las LCO pueden enfrentarse a filtraciones de datos involuntarias o a una mala gestión de información sensible durante los proyectos de los estudiantes. Las instituciones de enseñanza superior también deben ser precavidas, ya que los incidentes podrían dañar su reputación o acarrear ramificaciones legales. Por ello, una planificación cuidadosa, unas directrices claras y una supervisión adecuada son esenciales para mitigar estos riesgos y garantizar una experiencia positiva y segura para todas las partes implicadas.

Tres pasos para el éxito del compromiso

Para garantizar que los estudiantes tengan una colaboración productiva e impactante con las organizaciones de la comunidad local, recomendamos seguir estos tres pasos clave para una participación exitosa de las OCL, y utilizar los documentos asociados cuando sea pertinente.

Paso 1 | Antes de la contratación del LCO

Antes de involucrar a los LCO, es fundamental comprender sus necesidades y evaluar las competencias de los estudiantes para sentar unas bases sólidas que permitan una colaboración específica y eficaz.

Las instituciones de enseñanza superior deben conocer a fondo las necesidades específicas de los LCO y adecuarlas a las competencias de los estudiantes participantes. La evaluación comparativa de las competencias tanto de los estudiantes como de los LCO es un enfoque eficaz para garantizar que todos estén bien preparados para el compromiso. En el caso de los estudiantes, las instituciones de educación superior deberían evaluar hasta qué punto han adquirido las competencias prácticas en ciberseguridad desarrolladas a través de los Seminarios de Ciberseguridad de Google.org y hasta qué punto son capaces de aplicarlas en contextos reales. Para los LCO, las instituciones de educación superior deberían alinear sus formas de asistencia a los estudiantes ofrecidas con las necesidades específicas de los LCO, así como incorporar solicitudes adicionales cuando sea posible.

Además de la evaluación comparativa, los estudiantes deben investigar los LCO que se les han asignado con la orientación de sus supervisores. Esta investigación debe incluir una revisión de cualquier incidente cibernético o vulnerabilidad que el LCO haya experimentado en el pasado. Al comprender estos sucesos pasados, los estudiantes pueden prepararse mejor para posibles retos y contribuir a un compromiso más eficaz centrado en la búsqueda de soluciones.

Los estudiantes y los supervisores deben tomar las medidas adecuadas para proteger los dispositivos, el software y el hardware antes de comprometerse. Los estudiantes deben conocer las mejores prácticas para salvaguardar los sistemas de LCO, como la seguridad de los puntos finales, el cifrado de datos confidenciales y la actualización del software. Cualquier hardware o software utilizado por los estudiantes durante el proyecto debe cumplir las normas de seguridad establecidas para evitar vulnerabilidades. Además, tanto los estudiantes como los LCO deben discutir cualquier tecnología o medida de protección específica que se aplique en los LCO. Es esencial que ambas partes comprendan sus responsabilidades en el mantenimiento de la seguridad durante todo el compromiso.

Además de las buenas prácticas de ciberseguridad, Las instituciones de enseñanza superior deben dar prioridad a la seguridad personal y al bienestar de los estudiantes que participan en actividades de LCO. Por ejemplo, deben establecer una línea directa anónima o un mecanismo de denuncia para que los estudiantes expresen sus preocupaciones sobre acoso, amenazas no relacionadas con la ciberseguridad o cualquier situación que les haga sentirse inseguros mientras trabajan con los LCO. Esta línea directa debe garantizar la confidencialidad y responder rápidamente a las denuncias, proporcionando a los estudiantes un espacio seguro para expresar sus preocupaciones sin temor a represalias. Los supervisores y coordinadores de programa deben asegurarse de que todos los estudiantes estén informados sobre este recurso y animarles a utilizarlo cuando sea necesario.

Por fin, las instituciones de enseñanza superior deben establecer expectativas claras y realistas tanto para los LCO como para los estudiantes, incluido un plan de gestión de crisis. Tanto los estudiantes como los OCL deben ponerse de acuerdo sobre la duración, el formato y los resultados deseados de la colaboración. Es importante establecer puntos de contacto regulares desde el principio, que permitan a los estudiantes y a los LCO buscar orientación o informar de los problemas a medida que surjan. Además, el plan de gestión de crisis debe describir los pasos a seguir en caso de incidente, esté o no relacionado con la ciberseguridad.

Entre los documentos clave que hay que considerar elaborar en esta fase se incluyen:

1. LCO Cuestionario de admisión recopilar la información necesaria y adaptar el planteamiento a cada organización.
2. Declaración de Expectativas (DdE)/Declaración de Trabajo (DdT)/Memorando de Entendimiento (ME)/Reglas de Compromiso (RdC) para definir claramente el alcance del trabajo y las funciones. A continuación le ofrecemos una plantilla para estos documentos, que deberá adaptar a sus necesidades individuales.
3. Acuerdos de confidencialidad (NDA) para proteger la información sensible.
4. LCO y exención de responsabilidad de los estudiantes para esbozar las protecciones de responsabilidad.
5. Código de conducta estudiantil para garantizar la profesionalidad y el cumplimiento de las normas éticas a lo largo de todo el encargo.
6. Buenas prácticas de protección de dispositivos y software para esbozar las mejores prácticas de ciberseguridad, como la protección de los terminales, el cifrado de datos y la aplicación periódica de parches.

Si nos centramos en estos pasos preparatorios -comprender las necesidades, establecer las expectativas, garantizar la protección y proporcionar recursos de seguridad-, el compromiso puede llevarse a cabo con todas las partes alineadas, informadas y bien preparadas para afrontar cualquier reto que pueda surgir.

Paso 2 | Durante el compromiso del LCO

Durante la participación de los LCO, mantener una comunicación eficaz y realizar evaluaciones periódicas garantiza que tanto los estudiantes como los LCO puedan superar los retos y trabajar en pos de objetivos compartidos.

A lo largo de todo el proceso, la institución de enseñanza superior debe garantizar una comunicación regular y abierta entre todas las partes: estudiantes, supervisores y OCL. Esto puede lograrse mediante aplicación de protocolos de facturación mediante métodos de comunicación fiables y seguros. Mantener abiertos estos canales de comunicación facilitará una respuesta rápida a cualquier problema o dificultad que surja durante el proyecto. En el caso de la colaboración a distancia, deben utilizarse herramientas de comunicación encriptadas para proteger la información confidencial. Además, como ya se ha mencionado, se puede proporcionar una línea de denuncia anónima para que los estudiantes puedan plantear de forma segura cualquier preocupación o problema grave que pueda surgir durante el proyecto.

Si surge un problema crítico, es importante activar rápidamente el plan de gestión de crisis preestablecido. Deben tomarse medidas inmediatas para proteger a todos los implicados, garantizando que tanto los LCO como los estudiantes reciban el apoyo necesario para hacer frente a cualquier posible incidente.

Paso 3 | Tras el compromiso del LCO

Tras la intervención de un LCO, es esencial evaluar el impacto y recabar opiniones para perfeccionar futuras intervenciones y fomentar la mejora continua.

Una vez concluido el compromiso, la atención debe centrarse en medir el impacto tanto en los estudiantes como en los LCO. La realización de entrevistas de salida con los estudiantes y los LCO puede ayudar a evaluar sus experiencias, el valor derivado de la colaboración y las áreas de mejora. Esta información debe recopilarse en un informe de impacto detallado, asegurándose de que todos los datos recogidos sean anónimos y se manejen de conformidad con la normativa local y nacional sobre protección de datos.

En la medida de lo posible, la institución de educación superior debe ayudar a los LCO con cualquier necesidad que surja de los resultados. Aunque el compromiso haya concluido formalmente, la institución podría ayudar a los LCO a ponerse en contacto con recursos adicionales o apoyo de seguimiento.

Por último, la información obtenida tanto de las reflexiones de los estudiantes como de los comentarios de los LCO debería utilizarse para perfeccionar los futuros seminarios sobre ciberseguridad de Google.org y otros programas. Las principales lecciones aprendidas pueden incorporarse para mejorar la estructura, la impartición y el contenido del programa, garantizando que evolucione y se adapte para satisfacer mejor las necesidades de todos los participantes en futuros compromisos. El aprendizaje y la adaptación continuos fortalecerán el programa y fomentarán resultados más impactantes en colaboraciones posteriores.

Resumen de los modelos de documentos

Documento 1 | LCO Cuestionario de admisión

Creación de una Cuestionario de admisión para los LCO que participen en el programa puede mejorar la recopilación de información de apoyo:

• Comprender las necesidades y los riesgos de la organización, lo que permite adaptar los planteamientos de los alumnos y los métodos de participación que mejor se adapten a la organización.
• Asignación de recursos, garantizando que los estudiantes sean asignados a organizaciones específicas en función de sus capacidades y formación. 
• Establecimiento de una línea de base (evaluación comparativa) para comprender la madurez de la ciberseguridad de la organización en su área local, apoyando la medición de resultados.
• Llevar a cabo una evaluación inicial de riesgos que identifique las vulnerabilidades más acuciantes que pueda tener un LCO.

Es esencial asegurarse de que los estudiantes abordan la recopilación de información con profesionalidad y empatía, y evitan juzgar. El programa de Seminarios de Ciberseguridad de Google.org es un servicio de apoyo destinado a fortalecer la comunidad local, en lugar de poner de relieve los defectos.

Documento 2 | SoE/SoW/MoU/RoE

Es importante disponer de un documento en el que se detalle el alcance general de la colaboración entre las instituciones de enseñanza superior, los estudiantes y los OCL. Aclarar, establecer y gestionar las expectativas antes de realizar cualquier trabajo garantiza una relación de trabajo fructífera, clara y de confianza en el futuro. También garantiza que no haya "reglas tácitas" ni expectativas poco claras.

El documento 2 puede servir de base para uno de los siguientes:

SIGLA	NOMBRE Y APELLIDOS	GENERALMENTE CONTIENE
SoE	Alcance del compromiso	Información sobre qué trabajo que hay que hacer, y por quién (tareas y resultados)
SoW	Declaración de trabajo	Información incluida en el ámbito de aplicación, así como detalles críticos del proyecto y contractuales.  Suele ser un documento jurídicamente vinculante
MdE	Memorándum de acuerdo	Comprensión / intención compartida entre las partes Normalmente no vinculante
RoE	Reglas de combate	Cómo las partes deben interactuar o responder en determinadas situaciones

Documento 3 | Acuerdo de confidencialidad (NDA)

En NDA (Acuerdo de confidencialidad), también conocida como cláusula de confidencialidad, es un contrato entre la institución de enseñanza superior y el LCO que establece una relación confidencial.

En el contexto de los seminarios de ciberseguridad de Google.org, los acuerdos de confidencialidad pueden ser unilaterales o bilaterales (mutuos). En un acuerdo unilateral, el LCO revela información a la institución de educación superior, que está obligada a proteger la confidencialidad. En un acuerdo bilateral, ambas partes intercambian información y se comprometen a proteger la confidencialidad de la otra. Algunas áreas a tener en cuenta son:

• Decida qué cubrirá el acuerdo de confidencialidad. Colabore con su equipo jurídico y su LCO para decidir qué cubre y qué no cubre un acuerdo de confidencialidad. Los estudiantes deben estar debidamente informados de lo que cubre.
• Sé realista. Los estudiantes pueden tener que compartir información con sus compañeros y supervisores si necesitan apoyo. Asegúrate de que lo hacen de forma confidencial. 
• Considere cuánto durará la confidencialidad.

Documento 4 | Exención de responsabilidad (LCO, Estudiante)

A Exención de responsabilidad es un documento legal por el que una parte acepta renunciar a su derecho a demandar o a responsabilizar legalmente a otra por lesiones, daños u otros efectos adversos de este tipo que puedan producirse durante un evento. Una exención de responsabilidad puede ser importante, ya que ofrece protección jurídica, sirve como prueba documentada de los riesgos aceptados y ofrece seguridad financiera y mitigación de riesgos.

Documento 5 | Código de conducta estudiantil

A Código de conducta estudiantil es un conjunto de directrices y expectativas que describen el comportamiento profesional y ético que se exige a los estudiantes que participan en la clínica. Este código garantiza que los estudiantes actúen con integridad, respeto y responsabilidad al relacionarse con los LCO y otras partes interesadas. Puede abarcar aspectos como el mantenimiento de la confidencialidad, las buenas prácticas de ciberseguridad, la colaboración eficaz con los compañeros y el personal de los LCO, y la defensa de la reputación de la institución de enseñanza superior. La adhesión a este código no sólo fomenta un entorno de aprendizaje positivo, sino que también ayuda a los estudiantes a desarrollar las normas profesionales necesarias para sus futuras carreras.

Documento 6 | Buenas prácticas de protección de dispositivos y software

Un documento que detalla Buenas prácticas de protección de dispositivos y software esboza directrices esenciales para garantizar la seguridad e integridad de los sistemas de hardware y software a lo largo de todo el contrato. Debe incluir las mejores prácticas para proteger los terminales, por ejemplo mediante contraseñas seguras, autenticación de dos factores y actualización periódica de los sistemas operativos y el software para parchear las vulnerabilidades conocidas. También puede incluir protocolos de cifrado para datos confidenciales, copias de seguridad periódicas y medidas antivirus, así como otras medidas de ciberseguridad pertinentes.

[TEMPLATE] - Documento 1

LCO Cuestionario de admisión

Este documento debe utilizarse como preliminar base para la elaboración de un Cuestionario de admisión que permita emparejar mejor a los estudiantes con las posibles organizaciones comunitarias locales. Por favor, realice los ajustes necesarios para su contexto específico y consulte con su equipo jurídico antes de difundir este documento.

Introducción

Gracias por su interés en colaborar con [Nombre de la institución de enseñanza superior]. Este cuestionario está diseñado para ayudarnos a comprender mejor las necesidades, objetivos y recursos de su organización. La información que nos proporcione se utilizará para ver si lo que ofrecemos es adecuado para su organización y, en caso afirmativo, asociar a su organización con los equipos de estudiantes apropiados y garantizar una relación de trabajo productiva. Por favor, responda a todas las preguntas lo más detalladamente posible.

Rellenar este cuestionario le llevará aproximadamente entre 30 y 60 minutos.

1. INFORMACIÓN GENERAL

Nombre de la organización
Dirección
Contacto principal     Nombre
Contacto principal      Título
Teléfono de contacto principal
Correo electrónico de contacto principal
Página web
Manuales de redes sociales (si los hay)

2. DETALLES DE LA ORGANIZACIÓN

Misión
Breve descripción de su organización
¿A qué tipo de organización representa?	- Pequeña empresa - Organización sin ánimo de lucro - Institución educativa (por ejemplo, escuela o universidad) - Gobierno (local o regional) - Organización sanitaria (clínica, hospital, etc.) - Otros (especifique)
Tamaño de la organización: - Número de empleados - Número de voluntarios - Número de personas / grupos atendidos anualmente
Años de funcionamiento

3. NECESIDADES Y OBJETIVOS ACTUALES

¿Por qué su organización solicitó ayuda al programa de seminarios sobre ciberseguridad de [Nombre de la institución de enseñanza superior] Google.org? Seleccione todo lo que corresponda.	- Evaluar y reforzar la postura general de nuestra organización en materia de ciberseguridad. - Para abordar problemas concretos de ciberseguridad que ya conocemos - Procurar educación, concienciación y formación especializadas en ciberseguridad para nuestros empleados. - Apoyar la educación, la formación y el desarrollo de profesionales de la ciberseguridad en nuestra comunidad. - Otros (especifique)
Si ha seleccionado varias respuestas en la pregunta anterior, indique una (1) que sea la más prioritaria.
¿Qué objetivos o resultados concretos le gustaría lograr mediante la colaboración con nuestros estudiantes?
¿Tiene un calendario concreto para completar estos proyectos o alcanzar estos objetivos?
¿Cuál de las siguientes normas reglamentarias debe cumplir su organización? Seleccione todas las que procedan.	- Reglamento general de protección de datos (RGPD) - Directiva sobre seguridad de las redes y de la información (NIS) y NIS2 - Directiva sobre la privacidad y las comunicaciones electrónicas - Ley de Ciberseguridad - ISO/IEC 27001 - Directiva sobre servicios de pago 2 (PSD2) - Ley de resiliencia operativa digital (DORA) - No se - Otros (especifique)
¿Qué tipos de dispositivos utiliza su organización? Seleccione todos los que corresponda.	- Ordenadores de sobremesa o portátiles facilitados por la organización - Ordenadores de sobremesa o portátiles de propiedad personal (BYOD) - Dispositivos móviles de la organización (por ejemplo, teléfonos inteligentes, tabletas) - Dispositivos móviles personales (BYOD)
¿Qué tipos de soluciones de almacenamiento de datos utiliza su organización? Seleccione todas las que corresponda.	- Espacio de trabajo o almacenamiento en la nube (por ejemplo, OneDrive, Google Drive, Dropbox) - Solución de copia de seguridad in situ (por ejemplo, servidor local, almacenamiento en centro de datos) - Solución de copia de seguridad externa o en la nube (por ejemplo, Amazon S3, Google Cloud Storage)

4. CIBER HIGIENE

¿Utiliza su organización la autenticación multifactor (MFA) para las cuentas críticas?	Sí No No se
¿Actualiza y parchea regularmente su organización todos los sistemas y programas informáticos?	Sí No No se
¿Dispone su organización de un sistema de control de acceso y privilegios mínimos?	Sí No No se
¿Realiza su organización copias de seguridad periódicas y seguras de los datos y pone a prueba los procesos de recuperación?	Sí No No se
¿Ofrece su organización formación periódica en ciberseguridad a los empleados? En caso afirmativo, indique en qué consisten (por ejemplo, proveedor, temas, frecuencia).	Sí No No se Para más información:
¿Su organización supervisa el tráfico de red y registra todas las actividades?	Sí No No se
¿Dispone su organización de un plan de respuesta a incidentes que se practique con regularidad?	Sí No No se
¿Su organización supervisa y protege los dispositivos externos (por ejemplo, unidades USB) que se conectan a la red?	Sí No No se
¿Realiza su organización análisis de vulnerabilidades y pruebas de penetración con regularidad?	Sí No No se
¿Su organización supervisa y protege los dispositivos externos (por ejemplo, unidades USB) que se conectan a la red?	Sí No No se
¿Dispone su organización de una política de eliminación segura de datos?	Sí No No se
¿Dispone su organización de un inventario de dispositivos físicos, sistemas, plataformas de software, aplicaciones y personal?	Sí No No se
¿Dispone su organización de prácticas seguras de almacenamiento de datos tanto para entornos locales como en la nube?	Sí No No se

5. CONSIDERACIONES LOGÍSTICAS

Indique el método que prefiere para relacionarse con los estudiantes.	En el sitio Remoto Combinación de ambos
Si la actividad se desarrolla in situ, ¿qué instalaciones o recursos (por ejemplo, salas de reuniones, ordenadores) puede poner a disposición de los estudiantes?
¿Qué días / horas son mejores para las reuniones o el trabajo en proyectos?
¿Existen restricciones o consideraciones (por ejemplo, confidencialidad, acceso a determinados datos) que debamos tener en cuenta?

6. EXPECTATIVAS DE ASOCIACIÓN

¿Qué espera de la colaboración con nuestros estudiantes?
¿Cómo definiría una asociación fructífera con nuestra institución de enseñanza superior?
¿Está dispuesto a proporcionar comentarios y orientación a los estudiantes a lo largo de la colaboración?

7. INFORMACIÓN ADICIONAL

¿Hay algo más que le gustaría que supiéramos sobre su organización o sus necesidades?

---

Gracias por rellenar este cuestionario. Estamos deseando revisar sus respuestas y estudiar cómo podemos ayudar mejor a su organización.

[TEMPLATE] - Documento 2

Declaración de trabajo

Este documento debe utilizarse como preliminar base para elaborar una Declaración de Trabajo, un Alcance de las Expectativas, un Memorando de Entendimiento o unas Reglas de Compromiso para la participación de la comunidad local. Por favor, realice los ajustes necesarios para su contexto específico y consulte con su equipo jurídico antes de difundir este documento.

Alcance del trabajo entre [nombre de la institución de enseñanza superior] y [nombre de la organización comunitaria local].

---

Fecha de entrada en vigor: [Insertar fecha]
Fecha de caducidad: [Insertar fecha o "Indefinido"].
Entró en y entre: [Nombre de la institución de enseñanza superior] (en lo sucesivo, "la HEI") situada en [dirección de la HEI],

y

[Nombre de la organización comunitaria local] (en lo sucesivo, "el LCO") situado en [dirección del LCO].

1. PROPÓSITO

Esta Declaración de trabajo (SoW) sirve para establecer un marco de colaboración entre la HEI y el LCO. El objetivo de esta asociación es mejorar la concienciación, las prácticas y la resistencia en materia de ciberseguridad dentro del LCO a través del Programa de Seminarios sobre Ciberseguridad de Google.org de la HEI. En este documento se describen las expectativas, las funciones, las responsabilidades y el ámbito de trabajo de todas las partes implicadas.

2. SERVICIOS PRESTADOS

2.1. Actividades de compromiso
La HEI prestará los siguientes servicios al LCO:

2.1.1. Evaluaciones de ciberseguridad: Realizar evaluaciones de vulnerabilidad, análisis de riesgos y auditorías de seguridad de la infraestructura digital del LCO.

2.1.2. Formación y concienciación: Impartir sesiones de formación sobre ciberseguridad para el personal de LCO, centradas en las mejores prácticas, la concienciación sobre amenazas y el comportamiento seguro en línea.

2.1.3. Apoyo técnico: Ayudar en la aplicación de medidas de ciberseguridad, incluida la instalación de software, mejoras de la seguridad de la red y estrategias de protección de datos.

2.1.4. Ejercicios de equipos rojos: (Si procede) Realización de pruebas de penetración autorizadas para identificar y subsanar deficiencias de seguridad.

2.2. Entregables
El IES ofrecerá lo siguiente:

2.2.1. Informes de evaluación: Informes detallados en los que se resumen las conclusiones de las evaluaciones y se incluyen recomendaciones prácticas.

2.2.2. Materiales de formación: Materiales y recursos de formación personalizados para uso continuado del OCL.

2.2.3. Documentación técnica: Documentación para cualquier solución técnica implementada, incluyendo ajustes de configuración y guías de usuario.

2.2.4. Revisión final: Un resumen de todas las actividades realizadas, los resultados obtenidos y los próximos pasos para que el LCO siga mejorando la ciberseguridad.

3. FUNCIONES Y RESPONSABILIDADES

3.1. Responsabilidades de las IES
La IES se compromete a:

3.1.1. Proporcionar personal cualificado: Asegúrese de que los estudiantes y el profesorado implicado estén cualificados, adecuadamente formados y supervisados.

3.1.2. Cumplir las normas éticas: Realizar todas las actividades de manera profesional, ética y legal.

3.1.3. Mantener la confidencialidad: Proteger la confidencialidad de toda la información y los datos a los que se acceda durante el encargo.

3.1.4. Entregar informes puntuales: Proporcionar informes puntuales y completos sobre todas las actividades realizadas.

3.1.5. Ofrecer apoyo continuo: Ofrezca un apoyo continuo razonable para abordar cualquier pregunta o problema de seguimiento que surja del compromiso.

3.2. Responsabilidades del OCL
El LCO se compromete a:

3.2.1. Facilitar el acceso: Proporcionar el acceso necesario a los sistemas, datos y personal para que la IES pueda llevar a cabo las actividades acordadas.

3.2.2. Participar en la formación: Fomentar la participación del personal en las sesiones de formación y aplicar las prácticas de ciberseguridad recomendadas.

3.2.3. Proporcionar retroalimentación: Ofrecer retroalimentación sobre la eficacia de las actividades de la Institución de Educación Superior y sugerir áreas de mejora.

3.2.4. Confidencialidad y protección de datos: Proteger cualquier información sensible facilitada por la Institución de Educación Superior y garantizar el cumplimiento de la normativa de protección de datos.

3.2.5. Cumplimiento de los acuerdos: Cumplir el calendario y el alcance del trabajo acordados y notificar a la HEI cualquier cambio de manera oportuna.

4. ALCANCE, LÍMITES, COMUNICACIÓN

4.1. Ámbito de aplicación y límites

4.1.1. Actividades autorizadas: La IES sólo realizará actividades explícitamente autorizadas por el LCO.

4.1.2. Ejercicios de equipos rojos: (Si procede) Todas las pruebas de penetración o actividades similares se aprobarán previamente, con normas de participación y límites claros para evitar la interrupción de los sistemas críticos.

4.1.3. Tratamiento de datos: La HEI tratará todos los datos de LCO con el máximo nivel de seguridad, siguiendo las mejores prácticas del sector en materia de protección de datos.

4.2. Protocolos de comunicación

4.2.1. Contactos principales: Designe puntos de contacto principales tanto para la HEI como para el LCO a fin de facilitar una comunicación fluida.

4.2.2. Actualizaciones periódicas: Programe revisiones periódicas e informes de progreso para mantener informadas a todas las partes.

4.2.3. Notificación de incidentes: Establezca un proceso para informar y responder a cualquier incidente o violación de la seguridad que se produzca durante el compromiso.

5. CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS

5.1. Información confidencial

5.1.1. Definición: La información confidencial incluye toda la información no pública proporcionada por cualquiera de las partes, incluidos, entre otros, los datos técnicos, los procesos empresariales y los datos personales.

5.1.2. Obligaciones: Ambas partes se comprometen a proteger la confidencialidad de dicha información y a utilizarla exclusivamente para los fines descritos en el presente SoW.

5.2. Cumplimiento de la protección de datos

5.2.1. Cumplimiento normativo: Ambas partes se comprometen a cumplir todas las leyes y reglamentos aplicables en materia de protección de datos (por ejemplo, GDPR, CCPA).

5.2.2. Medidas de seguridad de los datos: La HEI aplicará las medidas técnicas y organizativas adecuadas para salvaguardar los datos de LCO.

6. CONSIDERACIONES JURÍDICAS

6.1. Responsabilidad

6.1.1. Limitación de responsabilidad: Ninguna de las partes será responsable de los daños indirectos, incidentales o consecuentes derivados de las actividades realizadas en virtud del presente SoW.

6.1.2. 6.1.2. Indemnización: El LCO se compromete a indemnizar y mantener indemne a la Institución de Educación Superior de cualquier reclamación derivada del uso por parte del LCO de los servicios prestados por la Institución de Educación Superior.

6.2. Resolución de litigios

6.2.1. 6.2.1. Mediación: En caso de conflicto, las partes acuerdan buscar primero una solución a través de la mediación.

6.2.2. Legislación aplicable: El presente SoW se regirá por las leyes de [Jurisdicción].

7. DURACIÓN Y TERMINACIÓN

7.1. Plazo

7.1.1. 7.1.1. Duración: El presente SoW entrará en vigor el [Fecha de inicio] hasta el [Fecha de finalización], a menos que cualquiera de las partes lo rescinda con anterioridad.

7.1.2. Renovación: El SoW podrá renovarse de mutuo acuerdo.

7.2. Terminación

7.2.1. 7.2.1. Plazo de preaviso: Cualquiera de las partes podrá rescindir el presente SoW con [Insertar el Periodo de Notificación, por ejemplo, 30 días] de aviso por escrito.

7.2.2. Incumplimiento de los términos: Se permite la terminación inmediata si cualquiera de las partes incumple los términos de este SoW.

8. RECONOCIMIENTO Y ACEPTACIÓN

Al firmar a continuación, ambas partes reconocen que han leído y comprendido este Alcance del trabajo y aceptan sus términos y condiciones.

	Función (si procede):	Nombre:	Firma:	Date:
Representante de instituciones de enseñanza superior:
Representante de la organización comunitaria local:

[TEMPLATE] - Documento 3

Acuerdo de confidencialidad

Este documento debe utilizarse como preliminar base para elaborar un acuerdo de confidencialidad cuando sea necesario para la participación de la comunidad local. Realice los ajustes necesarios para su contexto específico y consulte con su equipo jurídico antes de difundir este documento.

Acuerdo de confidencialidad

---

Fecha de entrada en vigor: [Insertar fecha]
Fecha de caducidad: [Insertar fecha o "Indefinido"].
Entró en y entre: [Nombre de la institución de enseñanza superior], la Parte Reveladora (en lo sucesivo, "la HEI" o "la Parte Divulgadora") con domicilio en [dirección de la HEI],

y

[Nombre de la Organización Comunitaria Local], la Parte Receptora (en lo sucesivo, "el LCO" o "la Parte Receptora") con domicilio en [dirección del LCO].

1. PROPÓSITO

El presente Acuerdo de confidencialidad tiene por objeto proteger la información confidencial y sujeta a derechos de propiedad que las partes puedan revelar en relación con el Programa de seminarios sobre ciberseguridad de Google.org.

2. DEFINICIÓN DE INFORMACIÓN CONFIDENCIAL

2.1. Información confidencial
"Información Confidencial" se refiere a toda la información no pública revelada por la Parte Reveladora a la Parte Receptora, ya sea de forma escrita, oral, electrónica o de otro tipo, que se designa como confidencial o que, dadas las circunstancias que rodean la revelación, debería tratarse como confidencial.

2.2. Exclusiones de la información confidencial
La Información Confidencial no incluye información que:

• Sea o pase a ser de dominio público por causas ajenas a la Parte Receptora.
• Ya era conocida por la Parte Receptora en el momento de la divulgación, según consta en sus registros escritos.
• Sea desarrollada de forma independiente por la Parte Receptora sin utilizar o hacer referencia a la Información Confidencial de la Parte Divulgadora.
• Es revelada a la Parte Receptora por un tercero que, a conocimiento de la Parte Receptora, no incumple ninguna obligación de confidencialidad.

3. OBLIGACIONES DE LA PARTE RECEPTORA

3.1. Uso de información confidencial
La Parte Receptora se compromete a utilizar la Información Confidencial únicamente con el fin de [describa el fin específico, por ejemplo, evaluar una posible colaboración, realizar una investigación, etc.], y no para ningún otro fin.

3.2. No divulgación
La Parte Receptora se compromete a no divulgar la Información Confidencial a terceros sin el consentimiento previo por escrito de la Parte Divulgadora, salvo que así lo exija la ley o sea necesario para cumplir la finalidad del presente Acuerdo. Si la divulgación es necesaria, la Parte Receptora se asegurará de que el tercero esté sujeto a obligaciones de confidencialidad no menos restrictivas que las contenidas en el presente ADN.

3.3. Protección de la información
La Parte Receptora se compromete a tomar todas las medidas razonables para proteger la confidencialidad de la Información Confidencial, incluyendo la implementación de las salvaguardas físicas, electrónicas y administrativas apropiadas.

4. DURACIÓN Y RESCISIÓN

4.1. Término
Este Acuerdo de Confidencialidad permanecerá en vigor desde la Fecha de Entrada en Vigor hasta la Fecha de Expiración, o hasta que cualquiera de las partes lo rescinda con [Insertar el Periodo de Notificación, por ejemplo, 30 días] de aviso por escrito a la otra parte.

4.2. Devolución o destrucción de información
A la terminación de este NDA o a petición de la Parte Divulgadora, la Parte Receptora devolverá o destruirá inmediatamente todas las copias de la Información Confidencial en su posesión y certificará por escrito que lo ha hecho.

5. PROPIEDAD INTELECTUAL

5.1. Propiedad
Toda la Información Confidencial seguirá siendo propiedad de la Parte Divulgadora. No se concede a la Parte Receptora ninguna licencia, implícita o de otro tipo, sobre ninguna patente, marca comercial, derecho de autor u otros derechos de propiedad intelectual de la Parte Divulgadora.

5.2. Sin obligación
Nada de lo dispuesto en el presente Acuerdo obliga a ninguna de las partes a proceder a ninguna transacción, relación comercial o colaboración en materia de investigación, y cada una de las partes se reserva el derecho a poner fin a las conversaciones en cualquier momento.

6. CUMPLIMIENTO LEGAL Y REGLAMENTARIO

6.1. Cumplimiento de la legislación
La Parte Receptora se compromete a cumplir todas las leyes y reglamentos aplicables en el uso, manipulación y divulgación de la Información Confidencial.

6.2. Divulgación obligatoria
Si la Parte Receptora está obligada por ley o por un proceso legal a revelar cualquier Información Confidencial, lo notificará de inmediato a la Parte Reveladora y cooperará con ésta en la búsqueda de una orden de protección u otro remedio apropiado.

7. SIN GARANTÍA

La Parte Divulgadora proporciona la Información Confidencial "tal cual" y no ofrece ninguna declaración ni garantía, expresa o implícita, en relación con la exactitud, integridad o rendimiento de la Información Confidencial.

8. REMEDIOS

La Parte Receptora reconoce que la divulgación o utilización no autorizada de Información Confidencial puede causar daños irreparables a la Parte Divulgadora. Por lo tanto, la Parte Divulgadora tendrá derecho a solicitar medidas cautelares además de cualquier otro recurso legal a su disposición.

9. LEY APLICABLE Y JURISDICCIÓN

El presente Acuerdo de Confidencialidad se regirá e interpretará de conformidad con las leyes de [Insertar jurisdicción]. Cualquier disputa que surja de o esté relacionada con este Acuerdo de Confidencialidad será resuelta en los tribunales de [Insertar Jurisdicción].

10. VARIOS

10.1. Acuerdo completo
El presente Acuerdo de Confidencialidad constituye el acuerdo completo entre las partes en relación con el objeto del mismo y sustituye a todos los acuerdos y entendimientos anteriores, ya sean escritos u orales.

10.2. Enmiendas
El presente acuerdo de confidencialidad no podrá enmendarse ni modificarse salvo por escrito firmado por ambas partes.

10.3. Divisibilidad
Si alguna disposición de este acuerdo de confidencialidad se considera inválida o inaplicable, el resto de las disposiciones seguirán en pleno vigor y efecto.

10.4. Asignación
Ninguna de las partes podrá ceder o transferir los derechos u obligaciones derivados del presente acuerdo sin el consentimiento previo por escrito de la otra parte.

11. RECONOCIMIENTO Y FIRMAS

Con su firma, las partes reconocen haber leído y comprendido el presente Acuerdo de confidencialidad y se comprometen a cumplir sus cláusulas.

	Función (si procede):	Nombre:	Firma:	Date:
Representante de la Parte Reveladora (Institución de Educación Superior):
Representante de la parte receptora (organización comunitaria local):

[TEMPLATE] - Documento 4.1

Exención de responsabilidad de LCO

Este documento debe utilizarse como preliminar base para desarrollar una Exención de Responsabilidad de LCO para facilitar el compromiso de la comunidad local. Por favor, realice los ajustes necesarios para su contexto específico y consulte con su equipo jurídico antes de difundir este documento.

Exención de responsabilidad entre [Nombre de la institución de enseñanza superior] y [Nombre del estudiante]

---

Fecha de entrada en vigor: [Insertar fecha]
Fecha de caducidad: [Insertar fecha o "Indefinido"].
Entró en y entre: [Nombre de la institución de enseñanza superior] (en lo sucesivo, "la IES", o "la Institución") situada en [dirección de la IES],

y

[Nombre de la organización comunitaria local] (en lo sucesivo, "el LCO") situado en [dirección del LCO].

1. PROPÓSITO

El objeto del presente Acuerdo de Exención y Exoneración de Responsabilidad es describir las responsabilidades, los riesgos y las obligaciones relacionados con la colaboración entre la Institución y el LCO en relación con el [20XX Programa de Seminarios sobre Ciberseguridad de Google.org], y eximir a cada una de las partes de responsabilidad por cualquier lesión, daño o pérdida que pueda producirse como consecuencia de su participación.

2. RECONOCIMIENTO DEL RIESGO

2.1. Participación voluntaria
Tanto la Institución como el LCO reconocen que su participación en el [Programa de Seminarios de Ciberseguridad de Google.org 20XX] es totalmente voluntaria.

2.2. Asunción de riesgos
Cada una de las partes entiende que la participación en el [20XX Programa de Seminarios sobre Ciberseguridad de Google.org] puede implicar riesgos inherentes, incluidos, entre otros, [enumere los riesgos específicos, p. ej., lesiones físicas, daños materiales, riesgos de ciberseguridad, etc.]. Ambas partes asumen la plena responsabilidad de todos y cada uno de los riesgos de lesiones, enfermedades, daños o pérdidas que puedan derivarse de su participación.

3. EXENCIÓN DE RESPONSABILIDAD

3.1. Liberación general
Por la presente, la Institución y el LCO, en su nombre y en el de sus directivos, empleados, agentes, representantes y voluntarios (colectivamente, "las Partes exoneradas"), se eximen, renuncian, liberan y se comprometen a no demandarse mutuamente de todas y cada una de las reclamaciones, demandas, acciones, causas de acción o responsabilidades, de cualquier tipo o naturaleza, derivadas o relacionadas de algún modo con su participación en el [20XX Programa de seminarios sobre ciberseguridad de Google.org], incluidas, entre otras, las reclamaciones por lesiones corporales, enfermedad, fallecimiento, daños materiales u otras pérdidas.

3.2. Liberación específica por negligencia
Tanto la Institución como el LCO entienden y aceptan específicamente que esta exoneración incluye cualquier reclamación basada en la negligencia, acción o inacción de las Partes Exoneradas de la otra parte, y cubre lesiones corporales (incluida la muerte) y daños a la propiedad, ya sean sufridos antes, durante o después de dicha participación.

4. INDEMNIZACIÓN

4.1. Indemnización mutua
La Institución acuerda indemnizar, defender y eximir de responsabilidad al LCO y a sus Partes Exoneradas de toda reclamación, responsabilidad, daños, costos o gastos (incluidos honorarios razonables de abogados) que surjan o estén relacionados con la participación de la Institución en [describa la actividad, programa o proyecto específico]. Del mismo modo, el LCO acuerda indemnizar, defender y eximir de toda responsabilidad a la Institución y a sus Partes Exoneradas de toda reclamación, responsabilidad, daños, costos o gastos que surjan o estén relacionados con la participación del LCO en [describa la actividad, programa o proyecto específico].

4.2. Reclamaciones de terceros
Ambas partes acuerdan indemnizarse y eximirse mutuamente de cualquier reclamación presentada por terceros derivada o relacionada con acciones u omisiones de sus respectivos directivos, empleados, agentes o voluntarios en relación con el presente Acuerdo.

5. SEGURO

5.1. Cobertura del seguro
Tanto la Institución como el LCO se comprometen a mantener una cobertura de seguro adecuada, que incluya un seguro de responsabilidad civil general y, si procede, un seguro de responsabilidad civil profesional, para cubrir cualquier posible reclamación o responsabilidad derivada de su participación en [describa la actividad, programa o proyecto específico].

5.2. Prueba del seguro
Previa solicitud, cada parte se compromete a proporcionar a la otra una prueba de la cobertura del seguro, incluidos los límites y las condiciones de la póliza.

6. CUMPLIMIENTO DE LAS LEYES

6.1. Cumplimiento legal y reglamentario
La Institución y el LCO se comprometen a cumplir con todas las leyes, reglamentos y directrices aplicables en el desempeño de sus funciones y actividades en virtud del presente Acuerdo.

6.2. Divulgación obligatoria
Si alguna de las partes está obligada por ley o por un proceso legal a revelar cualquier información relacionada con el presente Acuerdo, lo notificará inmediatamente a la otra parte y cooperará en la búsqueda de una orden de protección u otro recurso adecuado.

7. DURACIÓN Y RESCISIÓN

7.1. Plazo
El presente Acuerdo permanecerá en vigor desde la Fecha de Entrada en Vigor hasta la Fecha de Expiración, o hasta que cualquiera de las partes lo rescinda mediante notificación por escrito a la otra parte con [Insertar plazo de notificación, por ejemplo, 30 días] de antelación.

7.2. Devolución o destrucción de información
A la terminación del presente Acuerdo, cada una de las partes se compromete a devolver o destruir toda la información confidencial perteneciente a la otra parte, según las indicaciones de la parte que la haya divulgado.

8. LEY APLICABLE Y JURISDICCIÓN

El presente Contrato se regirá e interpretará de conformidad con la legislación de [Insertar jurisdicción]. Cualquier controversia derivada o relacionada con el presente Contrato se resolverá en los tribunales de [Insertar jurisdicción].

9. VARIOS

9.1. Acuerdo completo
El presente Acuerdo constituye el acuerdo completo entre la Institución y el LCO en relación con el objeto del mismo y sustituye a todos los acuerdos, entendimientos o declaraciones anteriores, ya sean escritos u orales.

9.2. Enmiendas
El presente Acuerdo no podrá ser enmendado ni modificado salvo por escrito firmado por ambas partes.

9.3. Divisibilidad
Si alguna de las disposiciones del presente Acuerdo se considera inválida o inaplicable, las restantes disposiciones seguirán en pleno vigor y efecto.

9.4. Asignación
Ninguna de las partes podrá ceder o transferir los derechos u obligaciones derivados del presente Acuerdo sin el consentimiento previo por escrito de la otra parte.

10. RECONOCIMIENTO Y FIRMAS

Al firmar a continuación, las partes reconocen que han leído y comprendido el presente Acuerdo de Exención y Exoneración de Responsabilidad, y aceptan quedar vinculadas por sus términos.

	Función (si procede):	Nombre:	Firma:	Date:
LCO Representante de [Nombre del LCO]:
Representante de la institución de enseñanza superior / Supervisor:

[TEMPLATE] - Documento 4.2

Exención de responsabilidad del estudiante

Este documento debe utilizarse como preliminar base para elaborar una Exención de Responsabilidad del Estudiante que facilite la participación de la comunidad local. Por favor, realice los ajustes necesarios para su contexto específico y consulte con su equipo jurídico antes de difundir este documento.

Exención de responsabilidad entre [Nombre de la institución de enseñanza superior] y [Nombre del estudiante]

---

Fecha de entrada en vigor: [Insertar fecha]
Fecha de caducidad: [Insertar fecha o "Indefinido"].
Celebrado entre: [Nombre de la institución de enseñanza superior] (en lo sucesivo, "la IES", o "la Institución") situada en [dirección de la IES],

y

[Nombre del participante] (en lo sucesivo, "el Participante") con domicilio en [dirección del participante].

1. PROPÓSITO

El presente Acuerdo de Exención y Exoneración de Responsabilidad tiene por objeto eximir a la Institución de toda responsabilidad por lesiones, daños o pérdidas que puedan producirse como consecuencia de la participación del Participante en el Programa de Seminarios sobre Ciberseguridad de [20XX] Google.org, organizado por la Institución.

2. RECONOCIMIENTO DEL RIESGO

2.1. Participación voluntaria
El Participante reconoce que su participación en el Programa de Seminarios sobre Ciberseguridad de [20XX] Google.org es totalmente voluntaria.

2.2. Asunción de riesgos
El Participante es consciente de que la participación en el Programa de seminarios sobre ciberseguridad de [20XX] Google.org puede conllevar riesgos inherentes, entre los que se incluyen [enumere los riesgos específicos, por ejemplo, lesiones físicas, daños materiales, exposición a condiciones peligrosas, etc.]. El Participante asume plena responsabilidad por todos y cada uno de los riesgos de lesión, enfermedad, daño o pérdida que puedan derivarse de la participación en esta actividad.

3. EXENCIÓN DE RESPONSABILIDAD

3.1. Liberación general
Por la presente, el Participante, en su nombre, en el de sus herederos, cesionarios y representantes personales, libera, renuncia, exime y se compromete a no demandar a la Institución, sus directivos, empleados, agentes, representantes y voluntarios (colectivamente, "las Partes exoneradas") de cualquier reclamación, demanda, acción, causa de acción o responsabilidad, de cualquier tipo o naturaleza, derivada de la participación del Participante en el Programa de seminarios sobre ciberseguridad de [20XX] Google.org Cybersecurity Seminars Program, incluidas, entre otras, las reclamaciones por lesiones corporales, enfermedad, fallecimiento, daños materiales u otras pérdidas.

3.2. Liberación específica por negligencia
El Participante entiende y acepta específicamente que esta exoneración incluye cualquier reclamación basada en la negligencia, acción o inacción de las Partes Exoneradas, y cubre lesiones corporales (incluyendo la muerte) y daños a la propiedad, ya sean sufridos por el Participante antes, durante o después de dicha participación.

4. INDEMNIZACIÓN

El Participante se compromete a indemnizar, defender y eximir de responsabilidad a las Partes Exoneradas frente a cualesquiera reclamaciones, responsabilidades, daños, costes o gastos (incluidos los honorarios razonables de abogados) derivados o relacionados con la participación del Participante en el Programa de Seminarios sobre Ciberseguridad de [20XX] Google.org, incluidas, entre otras, las reclamaciones presentadas por terceros.

5. TRATAMIENTO MÉDICO

5.1. Consentimiento para tratamiento médico
En caso de lesión o emergencia médica, el Participante autoriza a la Institución a proporcionar u organizar el tratamiento médico de emergencia que se considere necesario, a expensas del Participante. El Participante reconoce que la Institución no proporciona seguro médico y que el Participante es responsable de cualquier gasto médico en que incurra.

5.2. Información médica
El Participante se compromete a facilitar a la Institución cualquier información médica relevante que pueda afectar a su participación en la actividad, incluyendo cualquier alergia, afección o medicación.

6. LEY APLICABLE Y JURISDICCIÓN

El presente Contrato se regirá e interpretará de conformidad con la legislación de [Insertar jurisdicción]. Cualquier controversia derivada o relacionada con el presente Contrato se resolverá en los tribunales de [Insertar jurisdicción].

7. VARIOS

7.1. Acuerdo completo
El presente Acuerdo constituye el acuerdo íntegro entre las partes en relación con el objeto del mismo y sustituye a todos los acuerdos y entendimientos anteriores, ya sean escritos u orales.

7.2. Divisibilidad
Si alguna de las disposiciones del presente Acuerdo se considera inválida o inaplicable, las restantes disposiciones seguirán en pleno vigor y efecto.

7.3. Modificación
El presente Acuerdo no podrá ser enmendado ni modificado salvo por escrito firmado por ambas partes.

8. RECONOCIMIENTO Y ACEPTACIÓN

Con su firma, el Participante reconoce que ha leído y comprendido el presente Acuerdo de Exención y Exoneración de Responsabilidad, y que acepta quedar vinculado por sus términos. Asimismo, el Participante confirma que es mayor de edad y plenamente competente para suscribir el presente Acuerdo o, si es menor de edad, que ha obtenido el consentimiento de uno de sus padres o de su tutor.

	Función (si procede):	Nombre:	Firma:	Date:
Participante:
Padre / Tutor:
Representante de la institución de enseñanza superior / Supervisor:

[TEMPLATE] - Documento 5

Código de conducta estudiantil

Este documento debe utilizarse como preliminar base para la elaboración de un Código de Conducta Estudiantil que los alumnos deberán seguir cuando lleven a cabo actividades de compromiso con la comunidad local. Por favor, realice los ajustes necesarios para su contexto específico y consulte con su equipo legal antes de difundir este documento.

Código de conducta estudiantil entre [nombre de la institución de enseñanza superior] y [nombre del estudiante]

---

Fecha de entrada en vigor: [Insertar fecha]
Fecha de caducidad: [Insertar fecha o "Indefinido"].
Celebrado entre: [Nombre de la institución de enseñanza superior] (en lo sucesivo, "la HEI") situada en [dirección de la HEI],

y

[Nombre del alumno] (en lo sucesivo, "el Estudiante") con domicilio en [dirección del estudiante].

INTRODUCCIÓN

Bienvenido al Programa de Seminarios sobre Ciberseguridad de Google.org de [nombre de la universidad]. Como participante, representará a nuestra universidad e interactuará con diversas organizaciones de la comunidad local (LCO). Este Código de Conducta describe las expectativas de su comportamiento y actuación durante su participación en el programa. El cumplimiento de este código es obligatorio para garantizar un entorno profesional, ético y seguro para todas las partes implicadas.

PROFESIONALIDAD

Respeto e integridad: Trata siempre con respeto al personal de LCO, a los miembros de la comunidad, a tus compañeros y al personal de la universidad. Ser honesto y mantener los más altos estándares de integridad en todas las interacciones.

Puntualidad: Llegue puntualmente a todos los compromisos, ya sean in situ, a distancia o en la universidad. Informe a su supervisor y al LCO de cualquier retraso o cambio en su horario.

Código de vestimenta: Vístase adecuadamente para el entorno, teniendo en cuenta la naturaleza del trabajo y el entorno. En caso de duda, pida consejo a su supervisor sobre la vestimenta adecuada.

Comunicación: Mantener una comunicación clara y profesional en todo momento. Responda con prontitud a los correos electrónicos, mensajes y llamadas. Utilice canales de comunicación seguros cuando trate información confidencial.

CONFIDENCIALIDAD Y SEGURIDAD DE LOS DATOS

Información confidencial: Respete la confidencialidad de toda la información a la que acceda durante su contratación. No revele ninguna información sensible o reservada sin permiso explícito.

Tratamiento de datos: Siga las mejores prácticas para el manejo de datos, incluyendo el cifrado, el almacenamiento seguro y la eliminación adecuada de los datos innecesarios. No transfiera datos de LCO a dispositivos personales o lugares no seguros.

Control de acceso: Acceda únicamente a los sistemas, redes o datos para los que haya sido explícitamente autorizado. No comparta sus credenciales de acceso con otras personas.

CONDUCTA ÉTICA

Cumplimiento de leyes y políticas: Cumplir todas las leyes, normativas y políticas universitarias pertinentes, incluidas las relacionadas con la ciberseguridad, la protección de datos y la privacidad.

Conflicto de intereses: Comunique cualquier posible conflicto de intereses a su supervisor. Evite situaciones en las que sus intereses personales puedan entrar en conflicto con sus obligaciones para con el LCO o la universidad.

Hacking ético: Cuando participe en actividades del equipo rojo o en evaluaciones de vulnerabilidades, asegúrese de contar con una autorización clara y de seguir el ámbito de trabajo definido. No realice pruebas no autorizadas ni explote vulnerabilidades.

SEGURIDAD PERSONAL

Seguridad in situ: Siga todas las directrices de seguridad proporcionadas por el LCO y la universidad. Utilice los equipos de protección individual (EPI) necesarios y preste atención a su entorno. Considere la posibilidad de mantener sus pertenencias personales seguras, a la vista, y de no llevar objetos de valor innecesarios al lugar.

Seguridad de la participación a distancia: Asegúrese de que su entorno de trabajo es seguro y de que utiliza conexiones seguras (por ejemplo, VPN) cuando acceda remotamente a los sistemas de LCO.

Procedimientos de emergencia: Familiarícese con los procedimientos de emergencia tanto de la universidad como del LCO. Sepa cómo ponerse en contacto con los servicios de emergencia e informar de incidentes.

RENDICIÓN DE CUENTAS E INFORMES

Notificación de incidentes: Informe inmediatamente de cualquier incidente de seguridad, infracción o comportamiento poco ético a su supervisor o al contacto apropiado de la universidad.

Feedback y debriefing: Participe en las sesiones informativas posteriores a las intervenciones para comentar su experiencia, dar su opinión e identificar áreas de mejora.

Responsabilidad: Asume la responsabilidad de tus acciones y su impacto en el LCO, la universidad y la comunidad en general. Esfuérzate por dejar un impacto positivo y duradero.

MEDIDAS DISCIPLINARIAS

Incumplimiento: El incumplimiento de este Código de Conducta puede resultar en acciones disciplinarias, incluyendo pero no limitado a la eliminación del programa de seguridad cibernética, sanciones académicas, o la presentación de un informe al comité disciplinario de la universidad.

Procedimiento de recurso: Si cree que una acción disciplinaria es injustificada, puede apelar la decisión a través del proceso de apelación establecido por la universidad.

ACUSE DE RECIBO

Al participar en el Programa de Seminarios sobre Ciberseguridad de [Nombre de la Universidad] Google.org, usted reconoce haber leído, comprendido y aceptado el presente Código de Conducta. Su compromiso con estos principios es esencial para el éxito de la clínica y la confianza depositada en nosotros por nuestros socios de la comunidad.

	Función (si procede):	Nombre:	Firma:	Date:
Estudiante:
Supervisor:

[TEMPLATE] - Documento 6

Buenas prácticas de protección de dispositivos y software

Este documento debe utilizarse como preliminar base para elaborar un Documento de Buenas Prácticas de Protección de Dispositivos y Software para la participación de la comunidad local. Por favor, realice los ajustes necesarios para su contexto específico y consulte con su equipo jurídico antes de difundir este documento.

INTRODUCCIÓN

En este documento se describen las mejores prácticas para salvaguardar los dispositivos y programas informáticos utilizados durante la colaboración con las organizaciones de las comunidades locales (OCL). Estas buenas prácticas también cubren la protección de datos y la seguridad de las comunicaciones, la eliminación y el borrado de datos, la eliminación del acceso, la respuesta a incidentes y la autenticación. Su objetivo es mitigar los riesgos de ciberataques, violación de datos y acceso no autorizado a los dispositivos de los estudiantes y a los sistemas de las OCL y de la universidad, y son fundamentales para mantener la seguridad y el cumplimiento durante todo el proyecto. 

PROTECCIÓN DE DISPOSITIVOS

Registro e inspección de dispositivos

• Registro de inventario de dispositivos:
  La universidad debe mantener un registro detallado de todos los dispositivos y el hardware utilizados durante el contrato, incluido el tipo de dispositivo, el número de serie y los usuarios asignados. Este inventario garantiza la rendición de cuentas y permite hacer un seguimiento del uso de los dispositivos.

• Inspección de dispositivos antes y después de su uso:
  Todos los dispositivos, ya sean personales o proporcionados por la universidad o LCO, deben someterse a una inspección de seguridad antes y después de su uso. Esto incluye la comprobación de malware, asegurándose de que el software está actualizado y verificando que no se han producido cambios no autorizados o instalaciones de software. Los dispositivos también deben ser escaneados en busca de posibles vulnerabilidades antes de ser devueltos o desconectados de los sistemas de LCO.

Dispositivos personales y LCO

• Uso de dispositivos personales:
  Si se utilizan dispositivos personales para acceder a los sistemas de LCO, deben cumplir las normas de seguridad de la universidad, como sistemas operativos actualizados y protección antivirus.

• Dispositivos LCO:
  Los dispositivos proporcionados por LCO deben utilizarse siempre que sea posible, y deben configurarse y parchearse de forma segura antes de su uso.

Seguridad de puntos finales

• Antivirus/Antimalware:
  Asegúrese de que se instala y actualiza periódicamente un software antivirus y antimalware fiable en todos los dispositivos utilizados durante el compromiso.

• Cortafuegos:
  Habilita cortafuegos en todos los dispositivos para protegerlos de accesos no autorizados.

Cifrado de dispositivos

• Cifrado de datos:
  Todos los dispositivos que manejen datos sensibles deben utilizar cifrado, como el cifrado de disco completo (por ejemplo, BitLocker para Windows, FileVault para macOS), para protegerlos contra el robo de datos en caso de pérdida del dispositivo o acceso no autorizado.

Seguridad física

• Control de acceso a dispositivos:
  Proteja los dispositivos con contraseñas seguras, autenticación biométrica (si está disponible) o PIN. Asegúrate de que los dispositivos se bloquean automáticamente tras periodos de inactividad para evitar accesos no autorizados.

• Almacenamiento seguro:
  Guarde los dispositivos en lugares seguros cuando no los utilice, sobre todo si viaja o trabaja en entornos no seguros.

PROTECCIÓN DE SOFTWARE

Configuración segura del software

• Permisos mínimos:
  Configure el software para que siga el principio de mínimo privilegio, concediendo a los usuarios el acceso mínimo necesario para realizar las tareas.

• Autenticación por software:
  Utilice la autenticación multifactor (MFA) para el software que maneja información sensible, especialmente cuando acceda a los sistemas de LCO de forma remota.

Actualizaciones periódicas de software

• Gestión de parches:
  Asegúrese de que existe un programa de gestión de parches para actualizar periódicamente los sistemas operativos, las aplicaciones de terceros y las herramientas de seguridad para parchear las vulnerabilidades conocidas.

Uso de software autorizado

• Software verificado:
  Utilice únicamente software aprobado que haya sido examinado para detectar riesgos de seguridad. Evite descargar o utilizar software no autorizado, sobre todo de fuentes no fiables.

Software de código abierto

• Precaución con el código abierto:
  Si se utiliza software de código abierto, asegúrese de que cuenta con una comunidad de soporte acreditada, actualizaciones periódicas y una supervisión activa de la seguridad. Compruebe periódicamente las vulnerabilidades conocidas en el repositorio del software.

PROTECCIÓN DE DATOS Y SEGURIDAD DE LAS COMUNICACIONES

Cifrado de datos

• Datos en tránsito:
  Cifre todos los datos transferidos entre dispositivos y sistemas LCO utilizando métodos seguros, como una red privada virtual (VPN) o cifrado SSL/TLS. Evite los canales de comunicación no cifrados para los datos confidenciales.

• Datos en reposo:
  Asegúrese de que los datos confidenciales almacenados en los dispositivos estén cifrados, especialmente cuando utilice almacenamiento externo como USB o discos duros portátiles.

Herramientas de comunicación seguras

• Comunicación cifrada:
  Utiliza plataformas de comunicación seguras y cifradas para colaborar y compartir datos (por ejemplo, Signal, ProtonMail, Microsoft Teams con cifrado). Evita utilizar canales de comunicación no seguros, como aplicaciones de mensajería públicas o el correo electrónico habitual, para comunicaciones confidenciales.

• Acceso a distancia:
  Al acceder a los sistemas de LCO de forma remota, asegúrese de que los estudiantes utilicen una VPN segura y encriptada para proteger los canales de comunicación de posibles interceptaciones.

Copia de seguridad de datos

• Copia de seguridad regular:
  Realice copias de seguridad periódicas de los datos críticos utilizando soluciones de copia de seguridad seguras y cifradas. Almacene las copias de seguridad en un lugar seguro y externo, y asegúrese de que pueden restaurarse en caso de pérdida de datos o fallo del sistema.

SUPRESIÓN Y ELIMINACIÓN DE DATOS

Protocolo de supresión de datos

• Borrar datos cuando ya no se necesitan:
  Una vez finalizado el proyecto, y cuando los datos ya no sean necesarios, todos los datos sensibles deben eliminarse de forma segura de los dispositivos. Esto incluye eliminar todos los archivos, documentos o datos almacenados localmente o en dispositivos de almacenamiento externos. Asegúrese de que los datos borrados no puedan recuperarse utilizando métodos de borrado seguro, como programas de destrucción de archivos o herramientas del sistema operativo que sobrescriban los datos.

• Políticas de conservación de datos:
  Seguir las políticas de conservación de datos de la universidad y del LCO, garantizando que cualquier dato que deba conservarse se almacene de forma segura y se proteja de acuerdo con la normativa aplicable. Esto puede implicar estar al día de las prácticas y requisitos locales y nacionales. Los datos que no se necesiten para futuras consultas o con fines de cumplimiento de la normativa deben eliminarse.

Eliminación segura de datos

• Eliminación de soportes físicos:
  En el caso de dispositivos o soportes que contengan datos confidenciales, como discos duros, unidades USB u otros medios de almacenamiento físico, utilice métodos seguros para la destrucción de datos (por ejemplo, desmagnetización, destrucción física o servicios de trituración certificados) para garantizar que no se pueda recuperar ningún dato.

• Desinfección de dispositivos:
  Antes de devolver o reutilizar los dispositivos, asegúrese de que se borran completamente todos los datos relacionados con el proyecto utilizando herramientas seguras de borrado de datos. Esto se aplica tanto a los dispositivos personales como a los de LCO utilizados durante el proyecto.

ACCESO ELIMINACIÓN

Revocar el acceso al sistema

• Eliminación del acceso a tiempo:
  Una vez finalizado el contrato, revoque inmediatamente todo acceso a los sistemas, plataformas y datos confidenciales de LCO para estudiantes y supervisores. Esto incluye la eliminación de las cuentas de usuario, la desactivación de las credenciales de inicio de sesión y la desactivación de las herramientas de acceso remoto.

• Auditoría del sistema:
  Realice una auditoría final de todas las cuentas y permisos relacionados con el compromiso. Asegúrese de que no queda ningún acceso residual para ningún usuario o dispositivo asociado al proyecto.

Revocar licencias de software

• Desactivar licencias:
  Si a los estudiantes o a los LCO se les ha proporcionado software con licencia para el compromiso, asegúrese de que dichas licencias se desactivan o devuelven correctamente una vez finalizado el proyecto. Confirme con las partes necesarias que no sigue habiendo acceso no autorizado a software con licencia.

NOTIFICACIÓN Y RESPUESTA A INCIDENTES

Supervisión y detección de incidentes

• Supervise la actividad sospechosa:
  Supervise continuamente los dispositivos en busca de signos de actividad sospechosa, como intentos de acceso no autorizados o cambios inesperados en el software y la configuración.

Notificación de incidentes de seguridad

• Informe inmediato:
  Informe inmediatamente a LCO y a los supervisores de la universidad de cualquier incidente de seguridad, como dispositivos perdidos o robados, accesos no autorizados o sospechas de infracción. Una documentación adecuada y una respuesta rápida son esenciales para minimizar los daños.

Plan de respuesta a incidentes

• Activar el Plan de Crisis:
  En caso de que se produzca una violación de la seguridad o un incidente significativo, active el plan de respuesta a la crisis desarrollado durante la fase de planificación. Adopte medidas inmediatas para contener el problema, proteger los datos críticos y restablecer la seguridad del sistema.

AUTENTICACIÓN

Contraseñas

• Complejidad de la contraseña:
  Asegúrese de que las contraseñas sean seguras, consten de al menos 12 caracteres e incluyan una mezcla de letras mayúsculas y minúsculas, números y símbolos. Evita utilizar información fácil de adivinar, como nombres o palabras comunes.

• Uso de gestores de contraseñas:
  Utilice un gestor de contraseñas de confianza para generar y almacenar de forma segura contraseñas complejas. Evita almacenar contraseñas en archivos no seguros o reutilizar la misma contraseña en varias cuentas.

• Biometría:
  Utilizar métodos de autenticación biométrica cuando estén disponibles, siempre que estos métodos protejan adecuadamente la privacidad de los datos biométricos utilizados.

Autenticación multifactor (AMF)

• Activar MFA:
  Active MFA en todas las cuentas y sistemas que manejen información confidencial para añadir una capa adicional de protección más allá de las simples contraseñas.

Acerca del Programa de Seminarios sobre Ciberseguridad de Google.org

El programa de seminarios de ciberseguridad de Google.org apoya cursos de seminarios de ciberseguridad en

universidades seleccionadas y otras instituciones de enseñanza superior elegibles de Europa, Oriente Medio y África, para ayudar a los estudiantes a aprender más sobre ciberseguridad y explorar vías en este campo.

El programa apoya activamente la expansión de la formación en ciberseguridad en las universidades, para crear la mano de obra diversa necesaria para ayudar a las organizaciones más vulnerables a prevenir posibles ciberataques. También aborda los nuevos riesgos derivados de la inteligencia artificial (IA), proporcionando a los estudiantes una comprensión de los cambios basados en la IA en el panorama de las ciberamenazas y ayudándoles a integrar eficazmente la IA en medidas prácticas de ciberseguridad.

Se espera que las universidades participantes promuevan activamente la igualdad, la diversidad y la inclusión en sus programas. Deben fomentar la participación activa de personas de diversos orígenes y crear un entorno inclusivo para la educación, enriqueciendo así la experiencia general de aprendizaje y fortaleciendo la comunidad de la ciberseguridad.