Aprovecha el Primero de Mayo para saber cómo proteger tu puesto de trabajo
Cada Primero de Mayo se celebra el Día Internacional del Trabajo, fiesta por antonomasia del movimiento obrero mundial. Tradicionalmente se trata de una jornada orientada a las reivindicaciones y homenajes a aquellos que allá por el siglo XIX lucharon por conseguir la jornada de 8 horas, y desde Protege tu Empresa queremos aprovecharlo para refrescar cuáles son las políticas de seguridad en materia de ciberseguridad que se deben tener en cuenta a la hora de proteger el puesto de trabajo, con independencia de que esté formado por elementos tecnológicos (ordenador, Smartphone, etc.), o tradicionales (documentos en papel, teléfono fijo, etc.).
Desconocimiento, simples descuidos o falta de buenas prácticas, pueden ser las principales causas que llevan a un empleado a no proteger los elementos que forman parte de su puesto de trabajo. En otros casos, algunos podrían considerar que es más «cómodo» no aplicar medidas de seguridad, o que no es «necesario» utilizar más de una contraseña para nuestros servicios, que además sea sencilla de recordar y además, la tengamos anotada para no tener que memorizarla, etc.
Por las cuestiones anteriores, es necesario recordar que la información en una empresa se gestiona fundamentalmente desde el puesto de trabajo, independientemente de si se utilizan elementos tecnológicos o papel. De ahí la importancia de exigir a los empleados el cumplimiento de ciertas normas de ciberseguridad o buenas prácticas.
Para mitigar estas debilidades, en primer lugar, hay que ser conscientes de los riesgos que rodean el puesto de trabajo, ya sean de ámbito tecnológico o no, valorando aspectos como qué información dejo en mi puesto al alcance de cualquiera teniendo en cuenta la confidencialidad de la misma, qué puede ocurrir si mi equipo queda desbloqueado cuando me ausento del puesto, las consecuencias de posibles infecciones por virus o malware, robo y fuga de información, etc.
Por lo tanto, la primera aproximación podría girar en torno a preguntarse, ¿cuáles son las situaciones de riesgo más comunes en el puesto de trabajo? Aquí tenemos unos ejemplos:
- Abandonar el puesto de trabajo sin bloquear el equipo.
- Anotar las contraseñas en un pósit y esconderlo bajo el teclado o alfombrilla del ratón.
- Utilizar contraseñas débiles.
- Revelar credenciales e información corporativa a través del teléfono.
- Almacenar información corporativa o información confidencial en memorias USB sin cifrar, subirla a entornos Cloud no autorizados, etc.
Una vez detectados los riesgos y las debilidades, si queremos garantizar un uso adecuado de los elementos que componen el puesto de trabajo, debemos establecer una política de protección del puesto de trabajo, la cual, una vez implementada y firmada, tendrá que comunicarse a todos los empleados.
Esta política deberá estar compuesta por una serie de puntos clave, tales como:
- Normativa de protección del puesto de trabajo, que recoja todas las medias necesarias para proteger el puesto de trabajo. Deberá ser revisada periódicamente y actualizada si hubiera cambios que lo requirieran.
- Destrucción de documentación obsoleta, mediante mecanismos seguros, como las destructoras de papel o servicios externos contratados siempre que el nivel de confidencialidad de la misma así lo exija.
- Bloqueos programados de sesión, de tal manera que un equipo se bloquee automáticamente tras un tiempo determinado en el que se detecte que no hay actividad.
- Sistemas operativos actualizados, mediante las políticas de actualizaciones de software.
- Antivirus actualizados y activos.
- Deshabilitar por defecto los puertos USB, únicamente siendo habilitados para usuarios que necesiten hacer uso de los mismos, de forma justificada y debidamente autorizada.
- Seguridad en impresoras y equipos auxiliares, a través de mecanismos de impresión segura (con contraseña), en la impresión de documentos.
- Uso de medios de almacenamiento seguros, tanto en red corporativa, nube o dispositivos extraíbles.
- Prohibición de alteración de la configuración del equipo e instalación de aplicaciones no autorizadas, evitando así las posibles consecuencias ante una infección por virus o malware.
- Política de mesas limpias, o la obligación de guardar la documentación del trabajo al ausentarse del puesto, ya sea circunstancial o por finalización de la jornada laboral.
- No abandonar documentación sensible en impresoras o escáneres, evitando así que caiga en malas manos.
- No revelar información a usuarios no debidamente identificados.
- Obligación de confidencialidad, aceptando el compromiso de confidencialidad relativo a cualquier información a la que se tenga acceso el tiempo que dure la relación con la empresa.
- Uso de contraseñas, acordes con la política de contraseñas.
- Obligación de bloqueo de sesión y apagado del equipo.
- Uso adecuado de Internet, a través de la normativa de uso de internet como herramienta de trabajo.
- Uso responsable de portátiles y dispositivos móviles propiedad de la empresa.
- Cifrado de la información confidencial.
- Obligación de notificar incidentes de seguridad.
En muchas ocasiones hemos incidido en que la ciberseguridad se basa en tres pilares fundamentales: las personas, los procesos y las tecnologías. La formación y concienciación entran en el plano de las personas, y su objetivo es inculcar las mejores prácticas en materia de seguridad a fin que adopten pautas de comportamiento seguro en los distintos entornos en los que desempeñan su actividad profesional, siendo uno de los más importantes, el puesto de trabajo.