El puesto de trabajo es el lugar en el que realizamos nuestras tareas diarias en la empresa.
Como parte de estas actividades cotidianas, cualquier usuario necesita acceder a diversos archivos y manipular diferentes tipos de información.
El equipo de peritos informáticos de Sevilla de Ciberforensic, en colaboración con CCOO de Andalucía, hemos creado algunos consejos desde el punto de vista de la seguridad de la información.
Son varios los riesgos a los que se expone el puesto de trabajo:
– Información en papel al alcance de cualquiera
– La falta de confidencialidad de los medios de comunicación tradicionales como el teléfono
– Accesos no autorizados a los dispositivos
– Infecciones por malware
– Robo de información
– Etc.
Por ello, es necesario que apliquemos un conjunto de medidas de seguridad que nos garanticen que la información, tanto en papel como en formato electrónico, está correctamente protegida.
1. BUENAS PRÁCTICAS
Para garantizar un uso adecuado de los dispositivos y medios del entorno de trabajo, y minimizar el impacto que todos estos riesgos pueden tener en la empresa, se deben seguir buenas prácticas para proteger el puesto de trabajo.
1.1 Mesas limpias
En el día a día de la empresa es habitual trabajar con distintos documentos en papel que se dejan encima de la mesa para mayor comodidad o porque son necesarios para las tareas diarias.
Al acabar la jornada se debe guardar la documentación confidencial que se encuentre a la vista. Más aún si se trabaja en entornos compartidos con otras empresas. De esta manera, se evitaran miradas indiscretas que puedan derivar en una fuga de información, además del robo de documentos que pueden contener información confidencial. Una mala práctica muy utilizada es tener usuarios o contraseñas apuntadas en post-it o similares
Además, también deberíamos guardar fuera del alcance de terceros, cuando no estemos en nuestro puesto, los dispositivos informáticos que se puedan desconectar, como USB o discos duros.
1.2. Bloqueo de sesión
Cuantas veces nos hemos levantado de nuestro puesto de trabajo y no hemos bloqueado el equipo, incluso cuando estábamos trabajando en un documento muy importante. ¿Y si alguien hubiera accedido al equipo y hubiera copiado el documento, o si hubiera enviado un correo electrónico haciéndose pasar por quien no es? Todas esas situaciones y otras muchas se pueden evitar con un simple bloqueo de sesión.
En dispositivos de sobremesa y ordenadores portátiles, el bloqueo de pantalla se realiza por medio de los siguientes atajos de teclado:
– Windows: Win + L
– MacOS: Control + Opción + Q
– Linux: Control + Alt + L
1.3. Software actualizado
Todos los sistemas de la empresa deben estar actualizados a la última versión disponible, de esta manera estarán protegidos ante nuevas vulnerabilidades descubiertas y contarán con las últimas funcionalidades que haya liberado el fabricante.
Un dispositivo desactualizado es un riesgo para la seguridad de la empresa, ya que un ciberdelincuente puede aprovecharse de vulnerabilidades no parcheadas para acceder a la información de la empresa.
1.4. Antivirus y firewall
Tanto el antivirus como el firewall o cortafuegos son las herramientas de seguridad que protegen al equipo del software malicioso. Ambas herramientas siempre deben estar activadas, ya que son complementarias, es decir, las tareas que realiza el antivirus no interfieren con las del cortafuegos y viceversa.
Como con cualquier tipo de software, ambas herramientas deben estar configuradas y actualizadas a la última versión, ya que así detectarán un mayor número de amenazas.
2. Contrato de confidencialidad
En muchas ocasiones, bien sea por la necesidad de externalizar servicios o por proteger la información de la empresa, la empresa tiene que establecer acuerdos de confidencialidad.
Si en la empresa se trata información cuya confidencialidad debe estar garantizada, se han de incluir varias cláusulas en los contratos como:
– Indicar qué información se considera confidencial y por lo tanto está protegida por el acuerdo
– Fijar la duración de la relación de confidencialidad, que generalmente será superior al tiempo de prestación del servicio
– En caso de ser necesario, se indicará la jurisdicción legal a la que se acoge cada una de las partes
3. Uso adecuado de Internet y sistemas corporativos
Los dispositivos y recursos que la empresa ofrece están pensados para que sean utilizados para los fines de la organización. Por tanto, no deben ser usados para cuestiones personales o en circunstancias que puedan afectar a la seguridad de la empresa.
Acceder a sitios de dudosa legitimidad como webs de descargas, juego, adultos, etc., no es un uso lícito de los recursos empresariales, ya que puede acarrear daños irreparables para la empresa. Muchos de esos sitios pueden no ser seguros o contar con publicidad que puede llevar a situaciones de confusión, resultando en un incidente de seguridad, como una infección por malware del dispositivo o de toda la red.
4. Software legítimo
Las normas de protección de la propiedad intelectual obligan a las empresas a usar en todo momento software legal. El uso de «programas pirata» podría conllevar sanciones económicas y penales, nunca se debe instalar software sin licencia en ningún dispositivo de la empresa.
5. Cómo y cuándo reportar un incidente de seguridad
Si sufrimos un incidente que pudiera afectar a la seguridad de la empresa, el primer paso que tenemos que dar es analizar qué ha pasado. De esta manera, conociendo el tipo de incidente se podrá medir más eficazmente la repercusión en la organización y cómo actuar. Una clasificación posible de los incidentes es la siguiente:
– Acceso no autorizado a sistemas o información, como en el caso de robo de un dispositivo o de las credenciales de acceso
– Denegaciones de servicio, en las cuales el incidente impide el correcto funcionamiento de un recurso, como por ejemplo la página web de la empresa
– Infección por malware
– Robo de información de la empresa
Una vez conozcamos qué ha pasado, lo siguiente que tenemos que hacer es avisar a los miembros de la empresa que deban de estar en conocimiento de lo sucedido. Por ejemplo si hay fuga de información de carácter personal, lo pondremos en conocimiento del responsable que deba comunicarlo a los afectados y a la Agencia Española de Protección de Datos .
Por último, en caso de que el incidente suponga un delito (falsificación, injurias y calumnias, daños de propiedad intelectual, sabotaje, piratería, estafa, robo de identidad, etc.) es recomendable interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado aportando toda la información que se pueda de lo sucedido.
6. Uso seguro de dispositivos de almacenamiento extraíbles
Los dispositivos de almacenamiento extraíbles como memorias USB, discos duros portátiles, tarjetas de memoria, CD, etc., permiten una transferencia rápida y directa de información.
En primer lugar, si su uso está permitido en la empresa, en caso de que así sea, debemos saber en qué situaciones se pueden utilizar y qué información se puede llevar en estos dispositivos. Una buena práctica cuando se necesita almacenar en estos dispositivos información sensible o confidencial consiste en cifrar la información.
Otro aspecto importante es asegurarse de que la información que contienen los dispositivos que vamos a desechar o reutilizar, una vez es borrada, no vuelva a ser accesible, para ello se utilizarán métodos seguros de borrado y destrucción de soportes.
Si necesitas más información, puedes contactar de manera gratuita con nuestro equipo de peritos informáticos en Sevilla, te asesoraremos en todo aquello que esté en nuestras manos.
