Seguridad de la información: ¿cómo protegerla en la oficina?

Las medidas relativas a la seguridad de la información no se limitan a la instalación de un antivirus o la utilización de una VPN. Para proteger los datos en una oficina también ha de generarse una cultura de seguridad entre los empleados.

Cada 30 de noviembre se celebra el Día de la Seguridad de la Información. Como nos recuerdan desde el Departamento de Seguridad Nacional (DSN), se trata de una iniciativa impulsada por la Association for Computing Machinery (ACM) cuyo fin es concienciar sobre la importancia de proteger la información a través de una serie de medidas técnicas de seguridad en los sistemas.

La seguridad de la información debería ser una prioridad para cualquier organización, independientemente de su tamaño. Hoy en día, para empresas como las corredurías de seguros es esencial garantizar la confidencialidad, disponibilidad e integridad de los datos. Y para lograrlo, desde el Instituto Nacional de Ciberseguridad (Incibe) observan que, además de las medidas técnicas, es importante establecer una cultura de seguridad entre los empleados.

¿Cuáles son los principales riesgos en la zona de trabajo?

Como ya se ha comentado en el blog para corredores de seguros de Senassur, las personas son el eslabón más débil de la cadena de seguridad. Y los cibercriminales lo saben. Por ello, el factor humano debe tenerse en cuenta en la zona de trabajo. Desde dejar información confidencial a la vista de terceros hasta utilizar dispositivos personales para uso profesional (BYOD), es fundamental conocer los riesgos que entraña el puesto de trabajo para la seguridad de la información.

Sobre los escenarios de riesgo en la zona de trabajo, los expertos de Incibe señalan que podemos encontrarnos con situaciones como las siguientes:

• En las empresas, muchas fugas de información tienen como origen el puesto de un empleado. Puede tratarse de actos malintencionados por parte de trabajadores descontentos o de prácticas no recomendables al utilizar los sistemas y dispositivos.
• Las aplicaciones de correo electrónico cuentan con una función que facilita autocompletar la dirección del destinatario. Un descuido podría provocar el envío accidental de información confidencial a alguien no deseado.
• Al utilizar las redes sociales, algunos trabajadores publican información de clientes o proyectos que puede ser aprovechada malintencionadamente por terceros.
• Si bien el robo o fuga de información es una de las principales amenazas, en la zona de trabajo existen otras como las infecciones por virus que afectan a la continuidad de negocio.
• La ingeniería social pone en el punto de mira a los trabajadores y es utilizada para obtener información confidencial. Para evitarlo, desde la Oficina de Seguridad del Internauta (OSI) nos ayudan a detectar los ataques de ingeniería social.
• Como se ha comentado anteriormente, algunos empleados hacen uso de dispositivos personales para uso profesional. Es lo que se conoce como Bring Your Own Device (BYOD). Si una empresa es consciente de ello y lo autoriza, debe controlar dicha práctica e implementar las medidas necesarias para reforzar la seguridad de la información.

En definitiva, un puesto de trabajo es la puerta de entrada a la red corporativa. Al respecto, es primordial contar con soluciones informáticas que reduzcan el riesgo de fuga de información. Pero, no menos relevante, el factor humano y el sentido común juegan un papel trascendental a la hora de gestionar los datos.

¿Qué medidas organizativas se pueden implementar?

Así pues, más allá de las medidas que los expertos de sistemas y ciberseguridad consideren apropiadas para la red corporativa, las organizaciones tienen que centrarse en una política de seguridad interna. La misma facilitará transmitir a los empleados una serie de obligaciones y buenas prácticas relacionadas con la seguridad de la información. Y debe considerar los siguientes aspectos:

1. A través de un compromiso formal, los trabajadores han de garantizar la confidencialidad de la información a la que tengan acceso. Como se ha visto en el apartado anterior, no deben publicar información corporativa en las redes sociales.
2. Desde alertas generadas por el antivirus hasta la pérdida de una memoria USB o la recepción de llamadas sospechosas solicitando información sensible, los empleados tienen que notificar cualquier incidente de seguridad, registrado en la propia empresa o en el exterior, relacionado con el puesto de trabajo.
3. En las organizaciones han de utilizarse contraseñas seguras y los trabajadores no pueden publicarlas ni compartirlas bajo ningún concepto. Asimismo, las contraseñas no deben apuntarse en documentos o soportes, como un pósit, que sean accesible para otras personas.
4. Al ausentarse del puesto de trabajo hay que bloquear la sesión del dispositivo que se esté utilizando. Igualmente, han establecerse los mecanismos adecuados para que los equipos se bloqueen cuando transcurra un tiempo sin actividad en los mismos. Y tienen que apagarse finalizada la jornada laboral.
5. En los últimos años se han extendido los servicios de almacenamiento de información en la nube. Con el fin de hacer un uso seguro de los mismos, las empresas deben considerar cuestiones como quién puede acceder a ellos, emplear mecanismos de cifrado, utilizar el entorno cloud como repositorio temporal en lugar de definitivo, etc.
6. Precisamente, los servicios de la nube ayudan a depender menos de los medios de almacenamiento extraíbles como las memorias USB. En caso de utilizarlos, se recomienda implementar mecanismos de cifrado, usar dispositivos con acceso biométrico o protegidos con contraseña y habilitar o deshabilitar los puertos USB de los equipos en función del perfil de usuario.
7. Los trabajadores no pueden alterar la configuración de los equipos corporativos ni instalar aplicaciones no autorizadas.
8. En el artículo Autónomos y pymes: ¿una oficina sin papel? ya hemos hecho referencia al concepto de mesas limpias. Al ausentarse del puesto de trabajo y concluir la jornada laboral, los empleados tienen que guardar la documentación que hayan gestionado durante el día.
9. También en el citado post nos ocupábamos de la destrucción de documentación. En materia de seguridad de la información, los documentos deben destruirse mediante mecanismos seguros como trituradoras de papel o servicios externos contratados para tal fin.
10. Los trabajadores no pueden abandonar documentación corporativa en impresoras o escáneres.
11. Otro aspecto destacado es regular las condiciones y circunstancias en que pueden utilizarse Internet y el correo electrónico corporativo.
12. Y, finalmente, es imprescindible concienciar a los trabajadores sobre el uso correcto de los dispositivos personales para acceder a los recursos corporativos.

Empleados formados y concienciados, más seguros

Por encima de todos los aspectos descritos anteriormente, los expertos hacen hincapié en la necesidad de involucrar y concienciar a los empleados en materia de seguridad de la información. Para ello, se aconseja:

• Una formación continua.
• Comunicar normativas y recomendaciones de seguridad.
• Utilizar materiales multimedia para explicar las medidas de seguridad recomendadas.
• Realizar informes de seguimiento anuales.

5 consejos para proteger la zona de trabajo

Por último, los especialistas de Secure&IT nos trasladan estas recomendaciones para que los corredores de seguros protejan la seguridad de la información en su zona de trabajo:

1. Bloquear siempre los ordenadores y dispositivos que se utilicen.
2. No dejar información de terceros a la vista (contraseñas, datos personales…).
3. Guardar los dispositivos en lugares seguros.
4. No permitir que otras personas accedan a los dispositivos si no es posible confirmar su identidad.
5. No sacar información de la empresa en dispositivos móviles o en papel sin la autorización del responsable de seguridad.