Uso aceptable¶
Objetivo¶
Esta página ofrece una guía práctica para el uso cotidiano de la tecnología en Cafh. Ayuda a que voluntariado, personas colaboradoras y socios de confianza cuiden sistemas, enseñanzas, registros y el área de miembros de una forma estable y humana.
Por qué importa esta página¶
El cuidado digital se juega en hábitos ordinarios. Un clic apurado, un archivo copiado o un mensaje enviado sin pausa puede abrir más problemas que un ataque complejo. Reglas claras y cercanas ayudan a personas con distinto nivel técnico a actuar con confianza y cuidado. Eso mantiene en mejor estado el portal, el contenido para miembros y los registros compartidos.
Riesgos que esta página busca reducir¶
- Phishing y malware
- Datos sensibles en servicios personales
- Difusión pública de material restringido
- Uso desordenado de herramientas nuevas
- Privilegios amplios sin necesidad
- Errores que no se reportan a tiempo
Expectativas¶
Estas expectativas marcan la base diaria del trabajo digital de Cafh. No piden que cada persona piense como técnica. Dan hábitos simples que bajan riesgo en muchos roles y niveles de experiencia.
- Utilizar cuentas institucionales sólo para actividades autorizadas.
- Usar el gestor de contraseñas de Cafh para credenciales compartidas o críticas.
- Activar segundo factor en cada servicio crítico.
- Instalar software únicamente desde fuentes aprobadas o confiables.
- Evitar guardar información sensible en servicios personales o no gestionados.
- Reportar mensajes sospechosos, malware o divulgaciones accidentales de inmediato.
Área de miembros y enseñanzas¶
Esta área pide cuidado extra. Reúne material compartido para miembros y material ligado al estudio y la formación. El riesgo principal no es sólo la pérdida. El riesgo principal es una difusión hacia espacios que no corresponden al propósito del contenido.
- Tratar el contenido para miembros como contenido restringido.
- Compartir libros, enseñanzas y material de estudio sólo por canales aprobados.
- No publicar contenido para miembros en herramientas públicas ni en redes públicas.
- Guardar archivos y borradores en el lugar aprobado para ese trabajo.
Dispositivos y cuentas¶
Una disciplina diaria clara sobre dispositivos y cuentas evita muchos problemas. La meta no es control pesado. La meta es tener menos sorpresas, más claridad de responsabilidad y mejor recuperación.
- Los dispositivos compartidos deben usar cuentas nominales en la operación normal.
- Las cuentas inactivas deben deshabilitarse de inmediato.
- La pérdida o robo de un dispositivo debe reportarse el mismo día.
- Los privilegios administrativos deben quedar en el grupo más pequeño posible.
Dispositivos personales usados para tareas de Cafh¶
La mayoría de las personas de Cafh usan sus propios teléfonos y computadoras para tareas de Cafh. Eso forma parte real del modo de trabajo de la organización. Cafh no puede exigir un producto, un sistema operativo o una herramienta de protección igual para todos los dispositivos personales. Sí puede fijar prácticas de base para acceder a sistemas y datos de Cafh.
Cuando un dispositivo personal se usa para tareas de Cafh:
- Mantener actualizados sistema operativo, navegador y aplicaciones principales
- Usar bloqueo de pantalla y cifrado nativo del dispositivo
- Mantener el trabajo de Cafh dentro de apps, almacenamiento o sesiones aprobadas
- Evitar copias locales de archivos restringidos
- Usar copias locales sólo para una tarea breve y clara
- Borrar descargas de Cafh al cerrar la tarea
- Separar el trabajo de Cafh de apps personales de compartición y de cuentas familiares compartidas
- Evitar tareas admin desde dispositivos públicos o prestados
- Reportar el mismo día pérdida, robo, malware o conducta sospechosa del dispositivo
Estas medidas bajan riesgo aun sin gestión central completa por parte de Cafh.
Tabla modelo de auto revisión de dispositivo personal¶
| Miembro | Dispositivo usado para Cafh | Tipo de acceso | Bloqueo de pantalla | Actualizaciones al día | Archivos locales restringidos | Última revisión |
|---|---|---|---|---|---|---|
| Ana R. | Laptop personal | Admin y registros | Sí | Sí | No | 2026-04-15 |
| Marta S. | Teléfono personal | Correo y redes sociales | Sí | Sí | No | 2026-04-18 |
| Luis M. | Laptop personal | Soporte de miembros y acceso a datos | Sí | Sí | Exportación temporal solamente | 2026-04-20 |
Herramientas nuevas¶
Las herramientas nuevas suelen parecer pequeñas al inicio. Un piloto pequeño puede abrir nuevas copias de datos, nuevas rutas admin y costos de largo plazo. Esta revisión da a Cafh una pausa antes de que ese cambio se vuelva costumbre.
Para cada herramienta nueva, revisar:
- Ubicación y retención de datos
- Controles de acceso y roles
- Opciones de exportación y recuperación
- Impacto contractual o de costos
- Compatibilidad con políticas vigentes
Ninguna herramienta nueva debe usarse para trabajo de Cafh antes de la revisión del comité. La revisión puede ser breve para herramientas de bajo riesgo. Debe ser más profunda para herramientas que guardan datos de miembros, contenido oficial o accesos admin.
Lista de revisión de herramientas¶
La lista da al comité una mirada común. Evita que la decisión descanse sólo en comodidad o entusiasmo. Ayuda a comparar herramientas de bajo y alto riesgo con las mismas preguntas de base.
Antes de aprobar, el comité debe confirmar:
- Qué problema resuelve la herramienta
- Qué equipo o qué personas la usarán
- Qué datos de Cafh entrarán en la herramienta
- Si esos datos son públicos, internos o restringidos
- Dónde se almacenan los datos
- Quién controla la cuenta y la facturación
- Si Cafh puede controlar admins, segundo factor y recuperación
- Si la herramienta permite exportación y borrado
- Si el proveedor da una ruta clara de soporte
- Si la herramienta encaja con las reglas de incidentes y privacidad de Cafh
Disparadores de alto riesgo¶
Algunas herramientas piden una revisión más lenta y un registro más fuerte. Estos casos tocan datos, identidad, voz pública o la cadena central del servicio. Por eso el comité debe tratarlos con más cuidado.
La revisión debe tratarse como de alto riesgo cuando una herramienta:
- Guarda datos de miembros
- Guarda registros internos del comité
- Guarda enseñanzas o material de estudio sólo para miembros
- Controla correo oficial, dominios, DNS o redes sociales
- Recibe acceso admin a nube o sistemas del sitio
- Usa IA sobre contenido de Cafh o datos de miembros
- No tiene ruta clara de exportación o salida
Tabla modelo de revisión de herramientas¶
| Herramienta | Propósito | Datos usados | Nivel de riesgo | Responsable en Cafh | Controles clave | Decisión | Fecha de revisión |
|---|---|---|---|---|---|---|---|
| Zoom | Reuniones y capacitación | Datos internos de reuniones | Medio | Coordinación del comité | Segundo factor, roles de anfitrión, control de grabaciones, ruta de soporte | Aprobada | 2026-10-01 |
| Plataforma de registros de miembros | Registros de miembros | Datos restringidos de miembros | Alto | Responsable de membresía | Exportación, borrado, control de acceso, respaldos, términos de privacidad | Aprobada con revisión | 2026-07-01 |
| Herramienta de colaboración de diseño | Borradores de contenido público | Contenido público e interno en borrador | Medio | Responsable de comunicación | Dueño admin, compartición de archivos, ruta de salida | Aprobada | 2026-09-15 |
| Nueva herramienta de escritura con IA | Borradores de resúmenes y traducciones | Texto público y notas internas en borrador | Alto | Delegado del comité | Manejo de datos, revisión humana, exportación, límites de uso de IA | Pendiente | 2026-05-15 |
Curso de concientización sobre ciberseguridad y uso seguro de IA¶
Cafh debe mantener un curso de concientización para miembros que usan sistemas oficiales, manejan datos de miembros, publican contenido o tienen acceso admin. Este curso da una base común para el cuidado digital diario. Ayuda al comité a reducir errores evitables y a construir un lenguaje común de respuesta.
El curso debe completarse:
- Antes de entregar acceso admin, de publicación o de recuperación
- Durante la entrada de miembros con tareas digitales
- Cada 12 meses como repaso
- Tras un incidente mayor o un cambio importante de política
Tabla modelo del curso¶
| Módulo | Temas principales | Resultado práctico |
|---|---|---|
| Protección diaria de cuentas | contraseñas, gestor de contraseñas, segundo factor, rutas de recuperación, bloqueo de dispositivos | Las personas saben cómo proteger accesos oficiales |
| Seguridad en dispositivos personales | actualizaciones, bloqueo de pantalla, copias locales, dispositivos compartidos, reporte el mismo día | Las personas saben cómo bajar riesgo en un entorno voluntario |
| Phishing y actividad sospechosa | páginas falsas, enlaces maliciosos, ingeniería social, mensajes inusuales | Las personas saben cuándo detenerse y reportar |
| Datos de miembros y privacidad | datos restringidos, reglas de compartición, almacenamiento aprobado, exportaciones, deberes de privacidad | Las personas saben qué datos piden cuidado extra |
| Canales oficiales y marca | correo oficial, redes sociales, voz pública, rutas de aprobación | Las personas saben cómo usar canales oficiales con cuidado |
| Reporte de incidentes y soporte | casos urgentes, casos estándar, reportes de abuso, evidencia, ruta de escalamiento | Las personas saben qué reportar y qué registrar |
| Uso seguro de IA | usos permitidos, usos restringidos, revisión humana, sesgo, datos de miembros, enseñanzas | Las personas saben cómo la IA puede ayudar y dónde debe detenerse |
Tabla modelo de seguimiento de capacitación¶
| Miembro | Rol | Nivel de acceso | Fecha del curso | Próximo repaso | Notas |
|---|---|---|---|---|---|
| Ana R. | Miembro del comité | Admin | 2026-04-15 | 2027-04-15 | Curso completo realizado |
| Marta S. | Responsable de comunicación | Publicación | 2026-04-18 | 2027-04-18 | Falta repasar módulo de escalamiento con proveedores |
| Luis M. | Soporte de membresía | Acceso a datos | 2026-04-20 | 2027-04-20 | Curso completo realizado |
Respuesta ante incidentes¶
Errores, excepciones e incidentes de seguridad deben reportarse de inmediato. La persona responsable registra el caso e inicia la contención. Un reporte temprano vale más que una explicación perfecta. El aviso rápido da tiempo para bajar daño, guardar evidencia y llamar a las personas correctas.