Anteriormente, nos centramos en la Seguridad de la Información. En esta segunda entrega de la serie sobre Ciberseguridad de la Cátedra de CE Consulting Empresarial con la Universidad Politécnica de Madrid, Juan Ramón Bermejo – doctor en Ingeniería Eléctrica, Electrónica y Control Industrial – va a hablarnos sobre la seguridad en los puestos de trabajo. Una acepción que abarca más que nuestro ordenador de sobremesa para integrar otros dispositivos como portátiles, teléfonos móviles y tabletas así como discos duros extraíbles, pendrives, impresoras o escáneres.

El puesto de trabajo

La gestión de la información empresarial se realiza fundamentalmente desde el puesto de trabajo. De ahí la importancia que los empleados conozcan y cumplan ciertas normas para la seguridad en y de su puesto de trabajo.

Los empleados deben conocer aquellos aspectos, tanto tecnológicos como no, que pueden suponer una vulnerabilidad en la seguridad de la información de la empresa. Hablamos, por ejemplo, de información en papel al alcance de personas no autorizadas, la falta de confidencialidad de los medios de comunicación tradicionales, el peligro de robo o extravío de los dispositivos extraíbles como pendrives y discos duros externos o el acceso físico a las zonas de trabajo de personal externo como repartidores y personal de la limpieza.

Por otra parte, desde muchos puestos de trabajo hay que tener en cuenta que se tiene acceso a ordenadores y dispositivos móviles con conexión a la red interna de la empresa y al exterior, Internet. Y por ello son una puerta de entrada a la empresa y a sus recursos de información.

Los empleados, el primer cortafuegos

Los empleados están en primera línea y son por ello un eslabón fundamental de la cadena de protección de la información.  Deben evitar accesos no autorizados a ordenadores y desde ellos a aplicativos de la empresa, infecciones por malware, robo y fuga de datos en formato digital y ataques de ingeniería social, es decir, engaños para manipular a la víctima para la obtención de credenciales o datos de carácter confidencial o conseguir que realice alguna acción como instalar un programa, enviar algunos correos hacer algún ingreso etc.

Así, la política de protección del puesto de trabajo de la empresa debe facilitar a los empleados las obligaciones y buenas prácticas en materia de seguridad que han de aplicar a su puesto de trabajo. Esta normativa debe ser firmada por los empleados cuando se incorporen a la empresa y estar siempre disponible para su consulta, además de recordarse su aplicación de manera periódica.

Puntos clave de la política de seguridad en los puestos de trabajo

La política de seguridad de los puestos de trabajo es un documento necesario para todas las organizaciones que las empresas deben desarrollar y comunicar a todos sus empleados.

Esta política debe incluir las siguientes cuestiones fundamentales:

Normativa de protección del puesto de trabajo

Los empleados tiene la obligación de conocer la normativa y observar además otras relativas a los equipos y servicios que utilicen en su desempeño profesional: correo electrónico, almacenamiento, etc.

Destrucción avanzada de documentación mediante mecanismos seguros

La información obsoleta debe destruirse siguiendo un procedimiento seguro. Este suele comprender destructoras de papel a disposición de los empleados así como un servicio externo de destrucción segura. La empresa debe notificar a los empleados su existencia y obligación de uso. Además, hay que tener en cuenta que este servicio externo debe firmar un acuerdo de confidencialidad.

Uso de los medios de almacenamiento

El empleado debe hacer un uso correcto de los dispositivos de almacenamiento y conocer y aplicar la normativa de la empresa referente al almacenamiento local – en el  equipo – en la nube y en los dispositivos extraíbles.

Prohibición de la alteración de configuración del equipo e instalación de aplicaciones no autorizadas

Es un riesgo que el empleado cambie la configuración del equipo. Por ello,  si el empleado requiere una configuración o software específico para el desempeño de su trabajo, siempre deberá solicitarlo por escrito al equipo informático.

Política de mesas limpias

Esta política hace referencia a la obligación de guardar la documentación de trabajo al ausentarse el trabajador de su mesa de trabajo y al terminar su jornada laboral. El cumplimiento de esta política conlleva:

  • Mantener el puesto de trabajo limpio y ordenado
  • Guardar la documentación y los dispositivos extraíbles que no estén siendo usados en ese momento y especialmente al ausentarnos del puesto de trabajo o terminar la jornada laboral
  • No apuntar las contraseñas en post-it o similares.
  • No abandonar documentación sensible en impresoras o escáneres.

Seguridad de impresoras y equipos auxiliares de oficina

Para evitar que la información acabe en manos no deseadas, el usuario debe recoger inmediatamente aquellos documentos enviados a imprimir y guardar la documentación una vez escaneada.

Si las impresoras disponen de mecanismos de impresión segura como contraseña hay que asegurarse de que siempre se cierra la sesión.

No revelar información a usuarios no debidamente identificados

Es posible que alguien intente obtener contraseñas de usuarios o información de cuentas bancarias engañando a alguien de la organización. Esta práctica se denomina ingeniería social y para ello se emplea una llamada telefónica, correo electrónico, redes sociales o mensajes sms o a través de whatsapp. El empleado debe por ello aceptar un compromiso de confidencialidad relativo a toda la información a la que tiene acceso durante su tiempo en la empresa.

Uso de contraseñas

Respecto al uso de contraseñas, el usuario debe seguir la política de contraseñas de la organización. Las credenciales de usuario y contraseñas son confidenciales y no deben ser publicadas ni compartidas y es imprescindible seguir unas buenas pautas que incluyendo, pero no limitadas a, las siguientes:,

  • No deben apuntarse en documentos ni en ningún otra parte.
  • Deben ser robustas, de al menos 8 caracteres mezclando números, mayúsculas y minúsculas y caracteres especiales.
  • Deberán renovarse periódicamente.

Evitar el acceso indebido por personal no autorizado al equipo del puesto de trabajo

El trabajador deberá bloquear su equipo cada vez que se ausente del puesto de trabajo y apagarlo al finalizar la jornada laboral. Deberá, además, conocer y aplicar la normativa que regula el uso de internet como herramienta de trabajo, incluyendo los usos permitidos y prohibidos. Verificar las URL de destino y la validez de los certificados cuando se trate de conexiones a entornos seguros como webmail, extranet, etc. Además, ha de comprobar que se cumple el protocolo HPPS en aquellas páginas en las que trabaje con información crítica.

Otras obligaciones en materia de seguridad

Además, el empleado debe conocer y aceptar con su firma la política de uso de dispositivos móviles, tecnologías criptográficas y la política de clasificación de la información que indica cuál debe ser cifrada.

Debe advertir de cualquier incidente relacionado con su puesto de trabajo como:

  • alertas de malware o virus generadas por su antivirus
  • llamadas sospechosas recibidas pidiendo información sensible de cualquier tipo
  • correos electrónicos sospechosos de contener virus o malware
  • pérdida de dispositivos móviles
  • sospecha de accesos no autorizados a sistemas informáticos o información confidencial por parte de terceros
  • cualquier actividad sospechosa que pueda detectar en su puesto de trabajo.

Conclusión

Hay que tener en cuenta que el puesto de trabajo es un punto sensible de almacenamiento y transmisión de información. Por ello, es necesario que la empresa cuente con una política de seguridad específica para el puesto de trabajo y que los empleados conozcan y observen dicha política, asegurando así la protección de la información.

 

Suscríbete

Suscríbete ahora a nuestro blog

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*
*

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies