MEJORES PRÁCTICAS EN LA SEGURIDAD DE …fightfilmtheft.org/best_practice_files/sup_spanish.pdf ·...

Programa de seguridad de sitios de la MPAA

MEJORES PRÁCTICAS EN LA SEGURIDAD DE CONTENIDOS

PAUTAS SUPLEMENTARIAS

www.fightfilmtheft.org/en/bestpractices/_piracyBestPractice.asp

Versión 2.1

1 de enero de 2013

http://www.fightfilmtheft.org/en/bestpractices/_piracyBestPractice.asp

Antecedentes del documento 1 de enero de 2013

Mejores prácticas en la seguridad de contenidos de la MPAA – Pautas suplementarias Página i

ANTECEDENTES DEL DOCUMENTO

Versión Fecha Descripción Autor

1.0 31 de diciembre de 2009 Lanzamiento público inicial Deloitte & Touche LLP MPAA Empresas miembro de la MPAA

2.0 15 de mayo de 2011 Actualizaciones y revisiones Consolidación en pautas comunes y suplementos

PricewaterhouseCoopers LLP MPAA Empresas miembro de la MPAA

2.1 1 de enero de 2013 Consolidación de los 12 documentos suplementarios en un solo documento “Suplementario de mejores prácticas de la MPAA”

PricewaterhouseCoopers LLP MPAA Empresas miembro de la MPAA

Índice 1 de enero de 2013

Mejores prácticas en la seguridad de contenidos de la MPAA – Pautas suplementarias Página ii

ÍNDICE

ANTECEDENTES DEL DOCUMENTO I

I. ESQUEMA SUPLEMENTARIO DE LOS ESTABLECIMIENTOS 1

INTRODUCCIÓN 1

PROPÓSITO Y PERTINENCIA 1

PROCESO DE EXCEPCIÓN 1

GLOSARIO DE TÉRMINOS DE REFERENCIA 1

PREGUNTAS O COMENTARIOS 1

II. PAUTAS SUPLEMENTARIAS DE LAS MEJORES PRÁCTICAS 3

ANEXO A: INFORMACIÓN GENERAL DEL ESTABLECIMIENTO 18

ANEXO B: ESQUEMA DE LAS MEDIDAS DE CONTROL SUPLEMENTARIAS A LAS REFERENCIAS 27

Esquema suplementario de los establecimientos 1 de enero de 2013

Mejores prácticas en la seguridad de contenidos de la MPAA – Pautas suplementarias Página 1

I. ESQUEMA SUPLEMENTARIO DE LOS ESTABLECIMIENTOS

Introducción

Este documento sobre las pautas suplementarias se debe usar junto con las Mejores prácticas en la seguridad de los contenidos de la MPAA. Los establecimientos deben revisar la leyenda que figura a la derecha, identificar qué tipos de establecimientos corresponden a los servicios que presta el establecimiento e implementar las medidas de control adecuadas según la evaluación de riesgos.

Propósito y pertinencia

El propósito de este documento es brindar a los proveedores futuros y actuales contactados por los miembros, un entendimiento de las expectativas generales en cuanto a la seguridad de contenidos y las mejores prácticas actuales de la industria. Las decisiones con respecto al uso de proveedores por parte de cualquier miembro las toma solo ese miembro unilateralmente.

Las mejores prácticas con respecto a la seguridad de contenidos han sido diseñadas para analizar los servicios que ofrecen cada establecimiento, el tipo de contenidos que el establecimiento gestiona y el período de lanzamiento en que opera el establecimiento.

Las pautas suplementarias presentadas en este documento están sujetas a las leyes y normas locales, estatales, regionales, federales y nacionales. Las pautas suplementarias presentadas en este documento, así como los estándares de la industria o referencias a la Organización Internacional de Normalización (International Standards Organization, ISO) que el mismo incluya, están sujetos a cambios en forma periódica.

El cumplimiento de las mejores prácticas es totalmente voluntario. No se trata de un programa de acreditación.

Proceso de excepción

Si resultase imposible dar cumplimiento a una de las mejores prácticas, los establecimientos deben documentar el motivo por el cual no se puede dar cumplimiento e implementar medidas compensatorias en lugar de la mejor práctica. Las excepciones también deben informarse directamente al miembro.

Glosario de términos de referencia

En este documento, todos los términos resaltados en negrita se definen en un glosario que figura en las Mejores prácticas en la seguridad de los contenidos de la MPAA. Estas definiciones han sido tomadas de estándares ISO relevantes (27001/27002), estándares de seguridad (es decir, NIST) y mejores prácticas de la industria.

Preguntas o comentarios

Si tiene preguntas o comentarios sobre las mejores prácticas, envíe un mensaje de correo electrónico a [email protected].

Leyenda

ADS Audio, doblaje y subtitulado DVD Creación de DVD

CA Publicidad creativa FL Laboratorio cinematográfico

CDF Transporte, entrega y flete IFE IFE y servicios de hospitalidad

D Distribución PP Posproducción

DC Cine digital R Duplicación

DS Servicios digitales VFX Efectos visuales

N.º ADS CA CDF D DC DS DVD FL IFE PP R VFX

MS.S-1.0 X X X X

MS.S-3.0 X X X X X X X X X X

MS.S-4.0 X X X X X X X X

MS.S-4.1 X

MS.S-10.0 X X X X X

MS.S-10.1 X X X X

MS.S-10.2 X X X X X

MS.S-10.3 X X X X

MS.S-10.4 X X X

PS.S-1.0 X X X

PS.S-1.1 X X X X

PS.S-1.2 X X X

PS.S-1.3 X X X

PS.S-1.4 X X X

mailto:[email protected]

Esquema suplementario de los establecimientos 1 de enero de 2013



PS.S-4.0 X X X

PS.S-4.1 X X X X X

PS.S-4.2 X X X

PS.S-6.0 X X X X

PS.S-7.0 X

PS.S-9.0 X X

PS.S-9.1 X X X X X X X X

PS.S-10.0 X

PS.S-11.0 X X

PS.S-11.1 X X

PS.S-11.2 X X

PS.S-11.3 X X

PS.S-11.4 X X

PS.S-11.5 X X

PS.S-11.6 X X

PS.S-11.7 X

PS.S-11.8 X X

PS.S-12.0 X X X X X X X X X X

PS.S-12.1 X X

PS.S-13.0 X X X

PS.S-13.1 X X

PS.S-14.0 X

PS.S-15.0 X X X X


PS.S-15.1 X X X

PS.S-15.2 X

PS.S-15.3 X

PS.S-16.0 X X

PS.S-16.1 X X

PS.S-16.2 X X

PS.S-16.3 X X

PS.S-16.4 X

PS.S-17.0 X X X

PS.S-17.1 X X X X

PS.S-17.2 X X

PS.S-17.3 X X X X

PS.S-17.4 X

PS.S-17.5 X

PS.S-20.0 X X X

PS.S-21.0 X X X X

PS.S-21.1 X X X

PS.S-21.2 X X X

DS.S-9.0 X

DS.S-10.0 X

DS.S-10.1 X

DS.S-10.2 X

Sistema de gestión 1 de enero de 2013


II. PAUTAS SUPLEMENTARIAS DE LAS MEJORES PRÁCTICAS

SISTEMA DE GESTIÓN SEGURIDAD FÍSICA SEGURIDAD DIGITAL

ORGANIZACIÓN Y GESTIÓN

COMPETENCIA

ESTABLECIMIENTO GESTIÓN DE

ACTIVOS TRANSPORTE INFRAESTRUCTURA

GESTIÓN DE LOS

CONTENIDOS

TRANSFERENCIA DE LOS

CONTENIDOS

1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12

VFX N.º Tema de seguridad

Mejor práctica Guía de implementación

X X X X

MS.S-1.0 Concienciación de la seguridad ejecutiva/ Omisión

Establezca un sistema de gestión de seguridad de la información que implemente un marco de control (por ej., ISO 27001) para la seguridad de la información aprobada por la gerencia ejecutiva o los propietarios.

X X X X X X X X X X

MS.S-3.0 Organización de la seguridad

Establezca un equipo de seguridad responsable de vigilar proactivamente los sistemas informáticos y la seguridad física para identificar y dar respuesta a cualquier actividad sospechosa.

Vigile los sistemas informáticos en forma constante durante el día para detectar posibles incidentes.

Incorpore el proceso de respuesta a incidentes para gestionar los incidentes detectados.

Considere implementar un tipo de notificación automática al equipo cuando se detecten actividades sospechosas relacionadas con los sistemas informáticos.

Implemente un proceso de evaluación periódica para vigilar la eficacia de los procesos de vigilancia.

X X X X X X X X

MS.S-4.0 Seguridad de los contenidos y conciencia-ción sobre la piratería

Proporcione capacitación profunda y específica con respecto a contenidos gestionados por el establecimiento.

Incluya capacitación de seguridad con respecto a los riesgos relacionados con el transporte y la gestión de contenidos.

Enfatice las responsabilidades individuales de cada función laboral para proteger los contenidos y mitigar los problemas de piratería.

Integre los materiales de capacitación de modo que incluyan el sitio web para denunciar los



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



casos de piratería de la MPAA y la información de contacto del estudio o del cliente.

Entregue un número telefónico interno anónimo y/o un sitio web para denunciar los casos de piratería.

X

MS.S-4.1 Seguridad de los contenidos y concienciación sobre la piratería

Brinde capacitación con respecto a las aplicaciones y los procesos relacionados con la codificación y la administración de claves criptográficas a todas las personas que manipulen contenidos codificados.

Incluya capacitación de seguridad sobre la generación, distribución y anulación de claves criptográficas según sea necesario para las funciones y responsabilidades de cada persona.

X X X X X

MS.S-10.0 Uso y verificación de agencias externas

Informe a los clientes sobre el uso de proveedores externos de almacenamiento de activos físicos.

Entregue a los clientes informes de debida diligencia sobre empresas externas de almacenamiento.

Solicite que los clientes aprueben y acepten el uso de empresas externas de almacenamiento.

X X X X


Solicite que las empresas internacionales (hacia y desde EE. UU.) de transporte cuenten con certificación de la “Alianza comercial aduanera de lucha contra el terrorismo” (Customs-Trade Partnership Against Terrorism, CTPAT).

Solicite que las empresas internacionales de transporte presenten evidencia de su certificación de la CTPAT al momento de la formalización del contrato.

Mantenga una lista de empresas de transporte que cuenten con certificación de la CTPAT.

X X X X X


Reevalúe a los proveedores de servicios de transporte y embalaje en forma anual y cuando el proveedor cambie de ubicación y/o preste servicios adicionales.

Implemente procedimientos para darle seguimiento a los proveedores que hayan realizado una debida diligencia para el año (por ej., depósito de bases de datos, certificados de conclusión).



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X X

X X


Revise anualmente el acceso a sistemas de entrega de contenidos y sitios web por parte de agencias externas.

Implemente procedimientos para evaluar el acceso de usuarios, como por ejemplo:

- Usuarios eliminados

- Niveles de autorización

- Validación de cuentas de correo electrónico

X

X

X


Incorpore actividades de seguridad de debida diligencia (por ej., evaluación de la seguridad, cuestionarios de autoevaluación) como parte del proceso de selección y contratación de empleados de agencias externas que gestionen contenidos delicados.

Tenga en cuenta lo siguiente:

- Solicite a los trabajadores de agencias externas que entreguen sus normas y procedimientos para gestionar contenidos.

- Realice entrevistas con la gerencia de las agencias externas y con los responsables claves del proceso para identificar procedimientos y medidas de control para procesar, almacenar y transmitir contenidos delicados.

- Solicite a la agencia externa que entregue los resultados de la evaluación de riesgos de seguridad y los planes relevantes de mitigación.

Seguridad física 1 de enero de 2013




COMPETENCIA



GESTIÓN DE LOS

CONTENIDOS


CONTENIDOS

1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X X X

PS.S-1.0 Puntos de entrada y salida

Ubique guardias de seguridad en todos los puntos de entrada y salida regulares.

Solicite a los guardias de seguridad que revisen visualmente a todas las personas que salgan del establecimiento.

Implemente un proceso por el cual los guardias notifiquen e investiguen las conductas sospechosas.

X X X X


Cierre con llave e instale alarmas en todas las puertas de zonas de carga, y vigile las puertas de las zonas de carga cuando estén siendo usadas.

Habilite las zonas de carga solo para transacciones que tengan una orden de trabajo válida.

Solicite al personal de la empresa correspondiente que esté presente en todo momento durante la faena de carga.

X

X

X


Separe la entrada para conductores de camiones a fin de evitar que ingresen a otras áreas del establecimiento.

X X X


Implemente un proceso de ronda diario de seguridad con un horario al azar e ingrese los resultados de las rondas en una bitácora.

Solicite a los guardias de seguridad que patrullen tanto las áreas interiores como las exteriores.

Se debe revisar las salidas de emergencia, incluso la verificación de los sellos.

Considere usar un sistema de vigilancia de las rondas de los guardias para darle seguimiento a las rondas (por ej., un punto de verificación) y verifique las cerraduras.



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X X X


Registre, investigue y resuelva todos los incidentes detectados durante los turnos de los guardias de seguridad.

Establezca pautas para activar el proceso de respuesta a incidentes.

Incorpore procedimientos de respuesta a incidentes para gestionar eventos de seguridad detectados.

X X X

PS.S-4.0 Seguridad del perímetro

Instale salvaguardas adicionales para el perímetro (por ej., rejas, barricadas para vehículos) a fin de disminuir el riesgo de acceso no autorizado a las instalaciones.

Instale rejas que sean lo suficientemente altas como para mitigar el ingreso no autorizado.

Coloque barricadas para vehículos a fin de reducir la posibilidad de ingreso forzado con vehículos.

X X X X X


Cierre con llave las puertas del perímetro en todo momento y designe a un empleado del establecimiento para que gestione las funciones de desactivación de cerraduras en forma remota.

Asigne al personal de recepción la responsabilidad de gestionar las solicitudes de ingreso de los visitantes.

Coloque cámaras en las puertas del perímetro para verificar la identidad de los visitantes.

X X X


Coloque un guardia de seguridad en las entradas del perímetro e implemente un proceso (por ej., portones electromecánicos, permisos de estacionamiento) para permitir que los vehículos ingresen al recinto.

Implemente un brazo electrónico activado por el personal de seguridad a fin de controlar el ingreso de vehículos al recinto.

Distribuya permisos para estacionar al personal de la empresa y a los empleados de agencias externas que hayan llenado los formularios correspondientes.

Solicite que los vehículos de los visitantes cuenten con identificación y asegúrese de que todos los visitantes hayan sido autorizados previamente a ingresar a las instalaciones.

X X X X

PS.S-6.0 Autorización Revise el acceso a áreas restringidas (por ej., bóveda, caja fuerte) en forma mensual y cuando cambien las funciones o el estatus laboral de cualquier miembro del personal de la

Valide el estado del personal de la empresa y de los empleados de agencias externas.

Verifique que el acceso sea adecuado a la función laboral de cada usuario.



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



empresa o de los empleados de agencias externas.

X

PS.S-7.0 Acceso electrónico

Establezca el uso de habitaciones separadas para la duplicación y la masterización.

Restrinja el acceso a ambas habitaciones solo al personal que requiera ingresar por sus funciones laborales.

Haga cumplir un modelo de separación de responsabilidades que restrinja el acceso de cualquier persona a ambas habitaciones.

X X

PS.S-9.0 Cámaras Revise la posición de la cámara, la calidad de la imagen, la frecuencia de las fotos y la grabación diaria.

Revise la posición de la cámara para asegurarse de obtener la cobertura total de los puntos de entrada y salida y de otras áreas delicadas.

Revise la calidad de la imagen para asegurarse de que la luz es la adecuada y de que se puede distinguir los rostros.

Revise las bitácoras de vigilancia para asegurarse de que se mantenga al menos por 90 días.

X X X X X X X X

PS.S-9.1 Cámaras Designe a un empleado o a un grupo de empleados para que observen las imágenes durante las horas hábiles e inmediatamente investiguen los incidentes de seguridad detectados.

Incorpore el proceso de respuesta a incidentes para gestionar los incidentes de seguridad detectados.

X

PS.S-10.0 Ingreso y vigilancia

Realice una revisión semanal de las bitácoras de acceso electrónico a las siguientes áreas, si corresponde:

Bóvedas de originales y prensas de estampado

Premasterización

Servidor/sala de máquinas

Sala de residuos

Identifique y registre los eventos que se consideran inusuales.

Considere la implementación de un proceso de notificación automático que envíe alertas en tiempo real al personal de seguridad correspondiente cuando se detecten actividades de acceso electrónico sospechosas.



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



Jaulas de alta seguridad

X X

PS.S-11.0 Inspecciones Implemente un proceso de inspección a la salida que se pueda aplicar a todo el personal y visitantes al establecimiento, incluso:

Quitarse los abrigos, gorros y cinturones para realizar una inspección.

Sacarse todos los artículos de los bolsillos.

Realizar una inspección por encima de la ropa con la supervisión del personal de seguridad.

Inspección minuciosa de todos los bolsos.

Inspección de bandejas de CD/DVD de las computadoras portátiles.

Exploración con detectores manuales de metales que se colocan a unas tres pulgadas de la persona.

Indique a los guardias de seguridad que busquen artículos que se prohíbe sacar del recinto (por ej., cámaras) o material fílmico que no se puede sacar del recinto sin la autorización correspondiente.

Informe las normas sobre inspecciones de salida a todo el personal de la empresa y los empleados de agencias externas.

Realice los cambios de turnos en forma alternada para evitar largas filas y tiempos de espera excesivos.

X X

PS.S-11.1 Inspecciones No permita que el personal ingrese o salga del establecimiento con dispositivos digitales de grabación (por ej., unidades USB, cámaras digitales, teléfonos celulares) e incluya la búsqueda de tales artículos en el procedimiento de inspección a la salida.

Confisque todos los dispositivos digitales de grabación que se detecten y guárdelos en casilleros seguros.

Registre todo incidente de intento de hurto de contenidos.

Tome las medidas disciplinarias necesarias contra quienes intenten hurtar contenidos.

Implemente y haga cumplir una norma que prohíba los dispositivos móviles o celulares con funcionalidad digital de grabación.

Permita el uso de teléfonos celulares con



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



funcionalidad digital de grabación si se usan etiquetas adhesivas a prueba de adulteraciones.

X X

PS.S-11.2 Inspecciones Haga cumplir el uso de bolsas plásticas y contenedores de comida transparentes para transportar cualquier tipo de alimento a las áreas de producción.

Considere designar un área para consumir alimentos fuera del área de producción.

X X

PS.S-11.3 Inspecciones Implemente una política de código de vestir que prohíba el uso de atuendos demasiado grandes (por ej., pantalones holgados, sudaderas con capucha de varias tallas más grandes).

X X

PS.S-11.4 Inspecciones Use etiquetas adhesivas u hologramas numerados a prueba de adulteraciones para identificar los dispositivos autorizados que puedan ingresar y salir del establecimiento.

X X

PS.S-11.5 Inspecciones Implemente un proceso para poner a prueba el procedimiento de inspección a la salida.

Realice fiscalizaciones periódicas al proceso de inspección para asegurarse de que los guardias de seguridad lo realicen correctamente.

Identifique formas de mejorar el proceso de inspección a la salida.

Registre todas las fiscalizaciones y mejoras al proceso de inspección.

X X

PS.S-11.6 Inspecciones Realice un proceso de inspección de vehículos al azar a la salida del estacionamiento.



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X

PS.S-11.7 Inspecciones Separe las líneas de duplicación que procesan contenidos muy delicados y realice inspecciones al salir de las áreas separadas.

X X

PS.S-11.8 Inspecciones Implemente medidas adicionales de control para vigilar las actividades de los guardias de seguridad.

Revise el proceso de inspección a la salida para los guardias de seguridad a la salida.

Separe las responsabilidades de los guardias de seguridad en la supervisión de la planta y las áreas de producción de los puntos de salida (por ej., proceso de inspección).

X X X X X X X X X X

PS.S-12.0 Seguimiento del inventario

Use notificaciones automáticas cuando se saquen activos de la bóveda durante períodos prolongados.

Establezca la duración esperada del préstamo de cada tipo de activo.

Configure el sistema de gestión de activos de contenidos de modo que notifique automáticamente al personal de la bóveda cuando no se haya devuelto activos dentro del marco temporal esperado.

X X


Cierre con llave y registre los activos que estén retrasados o se devuelvan si no se pudo entregar los envíos a tiempo.

Establezca un procedimiento para almacenar activos en un área de acceso controlado.

Mantenga la documentación que detalle el almacenamiento de activos en el recinto, incluso la fecha y el motivo del almacenamiento.

X X X

PS.S-13.0 Recuentos de inventario

Semanalmente realice un recuento de inventario de los proyectos previos al estreno de cada cliente, compárelos con los registros de gestión de activos e informe de inmediato al cliente las diferencias.

Registre todos los recuentos de inventario.

No permita que el personal de la bóveda realice recuentos de inventario (es decir, separación de responsabilidades).

X X


Vigile los elementos fílmicos (por ej., negativos, película sin procesar) en forma constante durante el proceso del flujo de trabajo.

Compare los materiales fílmicos con las órdenes de trabajo mientras circulan por el proceso del flujo de trabajo.

Registre el movimiento de material fílmico con un formulario de cadena de custodia.



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X

PS.S-14.0 Seguimiento de medios vírgenes y materiales de inventario

Establezca un proceso para darle seguimiento al consumo de materia prima (por ej., policarbonato) en forma mensual.

Compare los materiales de inventario actuales y las órdenes de trabajo para identificar diferencias en el inventario.

Establezca un umbral de varianza que active el proceso de respuesta a incidentes cuando se sobrepase.

Considere la realización de recuentos físicos de los materiales de inventario como parte del proceso mensual de seguimiento.

X X X X

PS.S-15.0 Activos de clientes

Solicite que dos miembros del personal de la empresa con tarjetas de acceso individuales desactiven las áreas muy delicadas (por ej., caja fuerte, jaula de alta seguridad) después de la jornada laboral.

X X X


Use una jaula de acceso controlado en el área de montaje y vigile el área con cámaras de vigilancia.

X


Use una caja fuerte a prueba de fuego para almacenar paquetes no enviados que se guarden en el establecimiento durante la noche.

Instale la caja fuerte en una superficie inmóvil (por ej., una pared, el piso) por razones de seguridad.

X


Implemente un área segura especial (por ej., una jaula de seguridad, una sala segura) para almacenar copias de películas que no se hayan entregado; la sala debe tener llave, acceso controlado y debe ser vigilada con cámaras y/o guardias de seguridad.

Restrinja el acceso al personal que lo requiera dadas sus funciones laborales únicamente.

Asegúrese de que el área de almacenamiento de copias de películas esté en un área interior, totalmente cerrada y sea vigilada en todo momento.

Implemente un proceso para revisar las imágenes de vigilancia en forma constante.



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X X

PS.S-16.0 Eliminación de residuos

Implemente un proceso que requiera que el personal de seguridad vigile y registre el proceso de eliminación si se destruyen residuos.

Asegúrese de que los activos a eliminar no se puedan utilizar ni copiar.

Guarde un registro de todo el material residual destruido.

X X


Realice capacitación de seguridad periódica con todo el personal de la empresa y con empleados de agencias externas para informarles sobre los procesos de eliminación y destrucción de activos (por ej., colocar activos en contenedores designados).

Solicite al personal de la empresa y a los empleados de agencias externas que reciban capacitación sobre eliminación y destrucción de activos según corresponda a sus funciones laborales.

Implemente procedimientos para darle seguimiento a las personas que hayan realizado la capacitación durante el año (por ej., depósito de bases de datos, certificados de conclusión).

X X


Raye los discos antes de colocarlos en el contenedor de residuos.

Considere picar el medio antes de tirarlo al contenedor de residuos.

X X


Use la automatización para transferir discos rechazados desde las máquinas de duplicados directamente hasta los contenedores de residuos (sin manipulación por parte de operadores de maquinarias).

Use separación de responsabilidades (por ej., el personal que fabrica el disco grabado no es el mismo que destruye el disco) cuando la eliminación automática no es una opción.

Mantenga una bitácora con firmas de la fecha y la hora de la eliminación del disco.

X


Prohíba el uso de empresas externas para la destrucción de unidades DCDM o contenidos previamente lanzados.

Implemente y elabore procesos para la destrucción de datos de unidades DCDM u otros medios físicos que tengan contenidos previamente lanzados.

X X X

PS.S-17.0 Envío Registre y mantenga una bitácora diferente para la información sobre los conductores de camiones.

Mantenga una bitácora de todos los conductores de camiones e incluya los siguientes datos:

- Nombre

- Etiquetas de la licencia para el tractor y el remolque



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



- Empresa de afiliación

- Hora y fecha de la recolección

- Contenidos manipulados

X X X X

PS.S-17.1 Envío Solicite al personal que recoja encomiendas que verifique el recuento, la documentación del envío y que obtenga una firma en el punto de envío.

Solicite a los destinatarios que verifiquen que el recuento del envío coincida con sus órdenes de trabajo.

Informe de inmediato de cualquier discrepancia o daño en los bienes enviados.

X X

PS.S-17.2 Envío Observe y vigile el empaquetado y sellado de los remolques cuando el envío se realice en el establecimiento.

Solicite al personal de seguridad que esté presente en todo momento mientras se cargan y sellan los remolques.

X X X X

PS.S-17.3 Envío Implemente un proceso formal para registrar, vigilar y revisar el tiempo de viaje, las rutas y las horas de entrega de los envíos realizados entre establecimientos.

Establezca un punto de referencia para las horas de entrega entre los puntos de envío comunes y vigile las horas reales para conocer la varianza.

Investigue, informe y envíe las varianzas importantes al personal correspondiente.

Designe zonas de descanso aprobadas.

X

PS.S-17.4 Envío No permita que elementos fílmicos salgan del recinto si no es por medio del envío, salvo con una autorización firmada.

Elabore un formulario para registrar activos salientes que son transportados por métodos inusuales.

Solicite una autorización del personal correspondiente antes de que los activos puedan ser transportados.

Registre cualquier elemento que salga del recinto, independientemente de que sea a través del envío o por otros medios.

X

PS.S-17.5 Envío Envíe las copias para exhibiciones pre-estreno en segmentos (por ej., carretes pares versus carretes impares).



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X X X

PS.S-20.0 Embalaje Use empaquetado retráctil en todos los envíos, e inspeccione el embalaje antes del envío final para asegurarse de que esté bien empaquetado.

Use empaquetado retráctil en los activos individuales (por ej., cajas, paletas) o sobre un eje si se realiza embalaje de bultos.

X X X X

PS.S-21.0 Vehículos de transporte

Incluya las siguientes características de seguridad en los vehículos de transporte (por ej., remolques):

Separación de la cabina del conductor

Capacidad de cerrar y sellar las puertas del área de carga

GPS para envíos de alta seguridad

Use vehículos equipados con sistemas de seguimiento GPS o XDA para la entrega de contenidos delicados y activos de alto valor.

X X X


Aplique sellos numerados a las puertas de carga para los envíos de títulos muy delicados.

Solicite a los guardias de seguridad que apliquen, registren y vigilen los sellos.

Considere medidas de seguridad adicionales para paquetes muy delicados (por ej., área de carga cerrada/asegurada, maletines pelican cerrados con llave).

X X X


Solicite el uso de escoltas de seguridad cuando se entreguen contenidos muy delicados en áreas de alto riesgo.

Contrate personal de seguridad capaz de proteger contenidos muy delicados contra intercepciones, asaltos y otras situaciones que podrían traducirse en el hurto de contenidos.

Seguridad digital 1 de enero de 2013




COMPETENCIA



GESTIÓN DE LOS

CONTENIDOS


CONTENIDOS

1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X

DS.S-9.0 Ingreso y vigilancia

Implemente mecanismos de ingreso en todos los sistemas que se emplean para:

Generación de claves criptográficas

Administración de claves criptográficas

Gestión de certificados de proveedores

Asegúrese de que todas las claves criptográficas generadas y los certificados adjuntados puedan ser rastreados a un usuario único.

X

DS.S-10.0 Técnicas de seguridad

Implemente un proceso de administración de claves criptográficas que aborde lo siguiente:

Aprobación y revocación de dispositivos confiables

Generación, renovación y revocación de las claves criptográficas de los contenidos

Distribución interna y externa de las claves criptográficas de los contenidos

Refine y registre el proceso de administración de claves criptográficas según sea necesario.

Incorpore el proceso de administración de claves criptográficas en el flujo de trabajo de los contenidos e identifique los riesgos en cada etapa del ciclo vital de la administración de claves criptográficas (es decir, generación, distribución, revocación).

X


Confirme que los dispositivos de la Lista de dispositivos confiables (Trusted Devices List, TDL) son adecuados según la aprobación de los propietarios de los derechos.

Solicite a los clientes que entreguen una lista de dispositivos confiables para la reproducción de contenidos.

Solo debe crear Mensajes de entrega de claves (Key Delivery Messages, KDM) para los dispositivos incluidos en la TDL.

X


Confirme la validez de las claves criptográficas de contenidos y asegúrese de que las fechas de caducidad concuerdan con las

Solicite a los clientes que entreguen fechas de caducidad para las claves criptográficas de contenidos.

Seguridad digital 1 de enero de 2013


1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



instrucciones del cliente. Especifique una fecha de finalización para cuando las claves criptográficas caduquen para restringir el tiempo durante el cual se puede visualizar los contenidos.

Anexo A: Información general del establecimiento 1 de enero de 2013


ANEXO A: INFORMACIÓN GENERAL DEL ESTABLECIMIENTO

La tabla que figura a continuación ofrece una breve reseña de cada tipo de establecimiento para las Mejores prácticas en la seguridad de contenidos de la MPAA – Pautas suplementarias.

Tipo de estableci-miento

Descripción general Tipo de contenidos

Atributos de video

Descripción Ejemplos típicos de riesgos

Audio, doblaje y subtitulado

Los establecimientos que manipulan el sonido tienen la responsabilidad de procesar el sonido grabado durante el proceso de producción e incrementarlo con efectos sonoros adicionales y con una banda sonora. Los establecimientos que se encargan de los servicios de doblaje y subtitulado tienen la responsabilidad de superponer diálogo y leyendas alternos.

Imágenes fijas

Guión

Solo audio

Video y audio

Grado de terminación

Total

Parcial

Extravío, intercepción o hurto de contenidos delicados, como:

- Video finalizado y con audio incorporado.

- Archivos originales de audio.

- Banda sonora completa.

- Pistas de voz y de efectos sonoros de alta calidad

- Archivos de audio sin procesar

- Diálogos completos en subtítulos

Transferencia no autorizada de salida de archivos de audio pequeños, archivos de subtítulos y archivos de video de baja resolución

Software especializado y/o personalizado que contenga vulnerabilidades de seguridad, lo cual se podría emplear para comprometer aplicaciones y contenidos

Falta de medidas de control de seguridad en establecimientos más pequeños que cuentan con menos recursos, como:

- Seguridad física en los puntos de entrada y salida

- Cadena de custodia

- Separación de responsabilidades

- Otras medidas avanzadas de control de seguridad

Resolución Alta Baja

Calidad Óptima Con sellos de agua Baja





Atributos de video


Información general de la publicidad creativa

Los establecimientos de publicidad creativa se encargan de crear, gestionar y manipular la publicidad con respecto a los títulos de los estudios.

Imágenes fijas

Guión

Audio (sin video)

Video y audio


Total Parcial


- Avances, sinopsis y otros productos finales de publicidad

- Video parcial de alta calidad con audio

- Imágenes fijas

- Video, audio y gráficos mucho antes del lanzamiento de los contenidos

Medidas de control de seguridad débiles en el flujo de trabajo y la gestión de activos

Falta de sofisticación en las redes informáticas y en la restricción de acceso a contenidos

Participación de otros establecimientos externos pequeños y personal externo que los estudios no perciben

Falta de medidas de control de seguridad en establecimientos más pequeños que cuentan con menos recursos, como:











Atributos de video


Información general de la distribución

Los establecimientos de distribución tienen la responsabilidad de enviar los productos finales embalados a las tiendas y otras entidades de comercialización de videos. Los contenidos generalmente se guardan en áreas intermedias o bodegas dentro de los establecimientos antes de ser enviados.

Imágenes fijas

Guión

Solo audio

Video y audio


Total Parcial


- Productos terminados para consumidores

- Medios físicos que incluyen contenidos fílmicos completos

Falta de clasificación de activos y capacitación sobre cómo gestionar los contenidos muy delicados

Almacenamiento de medios físicos que incluyen productos finales embalados y productos para consumidores en áreas intermedias y bodegas sin vigilancia

El tamaño pequeño de los productos para consumidores los hace fáciles de hurtar (distribución de videos)

Participación de otras empresas externas pequeñas y de personal externo que los estudios no perciben

El gran tamaño de los establecimientos dificulta la vigilancia de todos los empleados

Ubicaciones riesgosas de los establecimientos

Los empleados temporeros y estacionarios pueden carecer de capacitación y de incentivos para proteger los contenidos







Atributos de video


Información general del cine digital

Los establecimientos que gestionan cine digital están a cargo de procesar las copias originales digitales y de copiar y distribuir los contenidos fílmicos digitales completos a los cines que cuentan con tecnología digital. Tales servicios se pueden realizar simultáneamente en un solo establecimiento o en establecimientos individuales separados.

Imágenes fijas

Guión

Solo audio

Video y audio


Total Parcial


- Copias originales digitales (Digital Source Masters, DSM)

- Copias originales para distribución en cines digitales (Digital Cinema Distribution Masters, DCDM)

- Paquetes para cines digitales (Digital Cinema Packages, DCP)

- Audio y video completos de alta calidad y alta resolución

Los procesos ad-hoc en la generación de claves criptográficas y la gestión de claves criptográficas que posiblemente no se sigan congruentemente en los establecimientos de masterización

Listas de Dispositivos Confiables (TDL) no actualizadas a fin de restringir la reproducción de contenidos a los dispositivos especificados únicamente

Duplicación y distribución de discos duros con DCP fílmicos completos que pueden ser hurtados durante el almacenamiento o transporte

Áreas de gestión a donde se envían y desde donde se devuelven las unidades de almacenamiento.







Atributos de video


Información general de los servicios digitales

Los establecimientos que gestionan servicios digitales están a cargo del proceso digital intermedio (DI), el cual incluye el escaneo de la cinta, los ajustes de colores y la grabación de la cinta. El proceso DI normalmente comienza con el escaneo de la cinta, en el cual la cinta se convierte a formato digital que se puede manipular y procesar con computadoras. Se puede usar herramientas para realizar retoques, como la corrección del color, reducción automática del polvo, transiciones, gráfica y masterización final con mucho más precisión y velocidad.

Imágenes fijas

Guión

Solo audio

Video y audio


Total Parcial


- Contenidos de audio y video en película, cinta, discos duros y archivos digitales

- Contenidos fílmicos completos en alta calidad y alta resolución

- Copias originales digitales

- Copias originales para distribución

Procesos ad-hoc de gestión de activos de contenidos en la película así como en archivos digitales que posiblemente no se sigan en forma congruente

Uso de empresa de transporte y servicios de entrega externos para el transporte de contenidos fílmicos completos

Grandes cantidades y varios formatos de contenidos muy delicados que requieren altos niveles de seguridad



Información general de la creación de DVD

Los establecimientos para la creación de DVD se encargan del proceso de premasterización de Blu-ray o DVD, el cual incluye una gran variedad de pasos necesarios para producir el disco final reproducible que se distribuye para video.

Imágenes fijas

Guión

Solo audio

Video y audio


Total Parcial


- Copias originales y discos grabados limpios en Blu-ray o DVD

- Audio y video completos de alta calidad

- Copias originales digitales

- Intermedios digitales de alta resolución

Procesos ad-hoc en las siguientes áreas:

- Gestión de activos y seguimiento de discos grabados

- Acuse de recibo, extravío y hurto de discos grabados

- Almacenamiento y destrucción seguros de productos no comercializados

Distribución excesiva de discos grabados

Procedimientos débiles en la cadena de custodia para la distribución de discos grabados







Atributos de video


Información general del laboratorio cinematográfico

Los laboratorios cinematográficos se encargan de la creación, el procesamiento y el montaje de la película física. Cuando se trata de producciones filmadas en película física y no se requiere pasar por el proceso digital intermedio, todos los pasos del procesamiento y montaje se deben realizar con la película física misma.

Imágenes fijas

Guión

Solo audio

Video y audio


Total Parcial


- Audio y video completos de alta calidad

- Copias para el lanzamiento

Grabación de contenidos fílmicos parciales o totales durante las revisiones de medidas de control de calidad

Falta de implementación y de aplicación de normas que prohíban el uso de dispositivos digitales de grabación

Procesos ad-hoc en el almacenamiento y destrucción de residuos que posiblemente no se sigan congruentemente

Procesos inadecuados en el envío y la recepción de carretes de películas



Información general del IFE y servicios de hospitalidad

El entretenimiento aéreo (In-Flight Entertainment, IFE) y los servicios de hospitalidad se encargan de la distribución de contenidos fílmicos usados para ser reproducidos en aviones y otros lugares distintos a cines (como por ejemplo, hoteles, cruceros, transbordadores, bibliotecas, hospitales y cárceles). Tales establecimientos realizan varios procesos, incluso la revisión de copias de películas, la codificación y el uso de claves criptográficas en los contenidos, y la integración de los contenidos con el software y la consola IFE.

Imágenes fijas

Guión

Solo audio

Video y audio


Total Parcial


- Audio y video completos en discos duros

- Contenidos fílmicos parciales o totales de alta calidad

- Copias originales para IFE

Aerolíneas pequeñas y establecimientos distintos a los cines que cuenten con poca seguridad para almacenar contenidos o que no dispongan de ella


- Notificación de extravíos y hurtos de copias de películas

- Gestión de activos de contenidos







Atributos de video


Información general de posproducción

Los establecimientos para la posproducción se encargan de muchos servicios, como la digitalización de contenidos, edición de sonido y video, corrección y graduación del color, control de calidad y masterización digital.

Imágenes fijas

Guión

Solo audio

Video y audio


Total Parcial


- Acabado de contenidos limpios y de alta resolución

- Archivos originales de audio

- Banda sonora completa

Subcontratación de establecimientos y personal externos que los estudios no perciben

Controles de acceso físico débiles

Acceso a Internet de salida sin restricción en sistemas y dispositivos de transferencia de medios

Falta de separación de redes, lo cual permite el acceso no autorizado a los contenidos

Establecimientos con recursos limitados que pueden disuadir o restringir la capacidad de implementar medidas de control de seguridad, tales como:











Atributos de video


Información general de la duplicación

Los establecimientos a cargo de la duplicación se encargan de la producción masiva de los DVD para distribuirlos en el mercado del entretenimiento casero. Tales establecimientos gestionan grandes volúmenes de productos terminados para consumidores que se encuentran embalados y listos para la distribución.

Imágenes fijas

Guión

Solo audio

Video y audio


Total Parcial

Extravío, intercepción o hurto de contenidos delicados, tales como:

- Productos terminados para consumidores

- Copias originales de DVD

- Prensas de estampado

Gran volumen de contenidos físicos que esperan ser comercializados

El tamaño pequeño de los productos para consumidores, lo cual facilita el hurto

Falta de conciencia sobre la seguridad con respecto al hurto y extravío de contenidos


- Destrucción de restos de DVD y de productos rechazados

- Notificación de extravíos y hurtos de contenidos

- Clasificación de activos y capacitación sobre cómo manipular contenidos muy delicados

- Recuentos de envíos y recepciones

Ubicaciones riesgosas de los establecimientos







Atributos de video


Información general de los efectos visuales (Visual Effect, VFX)

Los establecimientos para efectos visuales se encargan de aumentar las secuencias de acción en vivo con efectos visuales, incluso animaciones digitales, imágenes generadas por computadoras y otras formas de efectos especiales.

Imágenes fijas

Guión

Solo audio

Video y audio


Total Parcial


- Contenidos de alta resolución

- Información clave sobre juegos digitales, historias, apariencia de personajes, líneas principales del argumento y los diseños más recientes del vestuario o de las gráficas

- Efectos digitales y animaciones generadas por computadoras

Filtración de secuencias sin editar (sin efectos visuales) que puede tener un impacto en la reputación y en los ingresos totales de un título

Falta de medidas de control de seguridad en las estaciones de trabajo de los artistas que pueden permitir el tránsito saliente de contenidos

Divulgación de información delicada del proyecto por parte de empleados a través de conversaciones, sitios web personales o redes sociales



Información general sobre empresas de transporte, entrega y flete

Los establecimientos que realizan el transporte, la entrega y el flete están a cargo de transportar los medios físicos (como las cintas, los discos duros y DVD) con contenidos desde un punto a otro.

Imágenes fijas

Guión

Solo audio

Video y audio


Total Parcial


- Video completo o parcial con audio

- Todas las resoluciones de la película y de los archivos en la cinta de datos

- Archivos originales de audio

- Archivos de alta resolución en discos duros

- Doblaje de cintas de video en distintas resoluciones

Falta de verificación completa de antecedentes del personal de transporte, entrega y fletes

Procesos ad-hoc en el seguimiento y gestión de activos que posiblemente no se sigan en forma congruente

Procesos ad-hoc de notificación de extravíos y hurtos de contenidos que posiblemente no se sigan en forma congruente

Falta de clasificación de activos y capacitación sobre cómo gestionar los contenidos muy delicados



Anexo B: Esquema de las medidas de control suplementarias a las referencias 1 de enero de 2013


ANEXO B: ESQUEMA DE LAS MEDIDAS DE CONTROL SUPLEMENTARIAS A LAS REFERENCIAS

La tabla que figura a continuación ofrece un esquema general de las mejores prácticas según los estándares ISO 27001/27002 y NIST 800-53. Estos estándares se pueden consultar para obtener mayor información sobre cómo implementar las medidas de seguridad.

N.º Tema de seguridad

Referencia a la norma ISO 27002

Referencia a NIST

MS.S-1.0 Concienciación de la seguridad ejecutiva/ Omisión

6.1.1, 6.1.2 PM-1, PM-2

MS.S-3.0 Organización de la seguridad

6.1.3 PE-6, PM-2, SI-4

MS.S-4.0 Seguridad de los contenidos y concienciación sobre la piratería

8.2.2 AT-3, CP-3

MS.S-4.1 8.2.2, 12.3.1, 12.3.2 AT-3, SC-12


6.2.1

MS.S-10.1

MS.S-10.2 6.2.3, 10.2.2 PS-3

MS.S-10.3 6.2.3, 8.3.3, 10.2, 11.2.4

AC-2, PS-4, PS-5, PS-7, SA-9

MS.S-10.4 6.2.3, 8.1.2, 10.2 PS-3

PS.S-1.0 Puntos de entrada y salida Puntos de entrada y salida

PS.S-1.1 9.1.6 PE-3, PE-7, PE-16

PS.S-1.2 9.1.2, 9.1.6 PE-3 , PE-7, PE-16

PS.S-1.3 PE-1

PS.S-1.4 13.1.1, 13.1.2 IR-1



Referencia a NIST


9.1.1 PE-3

PS.S-4.1 9.1.1 PE-3

PS.S-4.2 9.1.1 PE-3

PS.S-6.0 Autorización 9.1.2, 11.2.4 PE-2, PE-3, PE-6

PS.S-7.0 Acceso electrónico

9.1.2 PE-2, PE-3

PS.S-9.0 Cámaras 9.1.1 PE-3, PE-6

PS.S-9.1 6.1.3, 9.1.1 IR-5, IR-6, PE-3, PE-6

PS.S-10.0 Ingreso y vigilancia

9.1.2, 10.10 PE-6

PS.S-11.0 Inspecciones

PS.S-11.1 7.1.3, 9.1.5, 9.2.7 AC-19

PS.S-11.2

PS.S-11.3

Esquema de las medidas de control suplementarias a las referencias 1 de enero de 2013




Referencia a NIST

PS.S-11.4 Inspecciones MP-3

PS.S-11.5

PS.S-11.6

PS.S-11.7

PS.S-11.8 10.1.3 AC-5


SI-5

PS.S-12.1 9.2.1 MP-2, MP-4


7.1.1 CM-8

PS.S-13.1

PS.S-14.0 Seguimiento de medios vírgenes y materiales de inventario


10.1.3 AC-5

PS.S-15.1 9.1.2 PE-3, PE-6

PS.S-15.2 9.2.1 MP-2, MP-4

PS.S-15.3 7.1.1, 10.7.1 MP-4, PE-2, PE-3

PS.S-16.0 Eliminación

PS.S-16.1 8.2.2, 9.2.6, 10.7.2 AT-2, AT-3, MP-6

PS.S-16.2 9.2.6 MP-6



Referencia a NIST

PS.S-16.3

PS.S-16.4 Eliminación 6.2.1

PS.S-17.0 Envío 10.8.2, 10.8.3 MP-5, SA-9

PS.S-17.1 10.8.2, 10.8.3

PS.S-17.2 10.8.3 MP-5, PE-16

PS.S-17.3 10.8.2 MP-5, PE-16

PS.S-17.4 10.8.3 PE-16

PS.S-17.5

PS.S-20.0 Embalaje 10.8.3


PS.S-21.1 10.8.3

PS.S-21.2

DS.S-9.0 Ingreso y vigilancia

10.10, 12.3.1, 12.3.2 AU-1, AU-2, AU-3, AU-6, SC-12, SC-13


12.3.1, 12.3.2 SC-12, SC-13

DS.S-10.1

DS.S-10.2 12.3.1, 12.3.2 SC-12, SC-13

MEJORES PRÁCTICAS EN LA SEGURIDAD DE …fightfilmtheft.org/best_practice_files/sup_spanish.pdf ·...

Documents

Transcript of MEJORES PRÁCTICAS EN LA SEGURIDAD DE …fightfilmtheft.org/best_practice_files/sup_spanish.pdf ·...