Inicio / Protege tu empresa / Blog / 5 sencillos pasos para disfrutar de los beneficios de una cultura de ciberseguridad en tu empresa

5 sencillos pasos para disfrutar de los beneficios de una cultura de ciberseguridad en tu empresa

Publicado el 17/06/2015, por INCIBE
Beneficios de una cultura de ciberseguridad

¿Sabes cómo integrar una cultura de seguridad en tu empresa? Con este ejemplo verás que no es difícil. En este video, una empresa cuenta cómo vela por su información apostando por fortalecer y cuidar del eslabón más importante de la cadena de seguridad: el empleado.

Como empresarios, empleados o ciudadanos, estamos rodeados de tecnología por todas partes y cada vez se hace más invasiva. Se diría que es omnipresente. La sociedad digital no nos deja opción: si queremos estar en ella hay que usar las nuevas tecnologías y aprovechar las ventajas que nos ofrece, eso sí, conociendo cómo hacerlo de forma segura.

Hoy en día es inconcebible una empresa que no cuente con sistemas de información basados en la informática y en las redes. Además si quieres que conozcan tu negocio no puedes evitar tener página web y algún perfil de una red social. Parafraseando al poeta: «ninguna empresa es una isla».

La compañía del video, una farmacéutica, es consciente de ello. Cuenta con una arraigada cultura de seguridad. Trabajar de forma segura se ha convertido en un hábito cotidiano para sus empleados, los verdaderos protagonistas. Ellos han hecho suyos los procedimientos para velar por la información de su empresa. Además son un buen ejemplo en su entorno: sus proveedores, clientes y colaboradores externos.

Veamos qué medidas ha tomado esta empresa para desarrollar esta cultura de seguridad.

Procedimiento oara nuevas incorporaciones. Formación en seguridad. Difusión de normas y procedimientos de seguridad. Comité de seguridad. Jornadas de concienciación.

  1. Todo empieza al contratar nuevos empleados ya que se les proporciona además del contrato un compromiso de confidencialidad. Este documento lo deben firmar los empleados y colaboradores que vayan a trabajar con datos confidenciales de la empresa o de sus clientes. Al firmarlo se comprometen a no revelar ningún dato ni tampoco a facilitar contraseñas a terceros o personas ajenas a la empresa.

    También se le proporciona el conocido documento de información de recogida de datos de la LOPD. En él se informa al nuevo empleado del uso que va a hacerse de sus datos personales, quién es el responsable del fichero y cómo hacer uso de sus derechos de oposición, acceso, rectificación y cancelación.
  2. La empresa del video también cumple con los deberes de prevención de riesgos laborales según la Ley 31/1995 en concreto en lo relativo a la revisión médica y la formación.

    Al igual que no descuidan la formación en riesgos laborales, tampoco la formación en seguridad pues es una empresa que utiliza mucha información en formatos digitales: facturas, informes internos, datos de proceso, acuerdos, etc. además de tratar con datos de carácter personal de clientes y proveedores. Es inevitable que el nuevo empleado utilizará, para su actividad, esta información a través de ordenadores o algún otro dispositivo que se conecte a los servidores de la empresa. Por ello recibirá también formación para saber:
    • cómo reconocer y evitar ataques de ingeniería social, para impedir que le engañen y desvele a terceros lo que no deberían conocer
    • cómo proteger el puesto de trabajo, en particular en lo relativo a actualizaciones, uso del correo electrónico, uso de aplicaciones empresariales, etc.
    • cómo aplicar las medidas de control de acceso físico por ejemplo cuando reciba a clientes en las instalaciones
    • cómo ha de tratar soportes y dispositivos móviles (portátiles, tabletas, smartphones,…) para evitar fuga o destrucción de información
    • y entender los riesgos del acceso a páginas externas y aplicaciones o descargas no autorizadas.
  3. Una vez el nuevo empleado ha recibido la formación en seguridad y se encuentra en su puesto de trabajo, se le entregan los siguientes documentos:
    • La política de seguridad que contiene los objetivos e intenciones de la empresa en materia de seguridad de la información. Es una declaración formal de que la seguridad es una parte fundamental de la cultura de la empresa. Explica la organización de la seguridad, es decir, como se definen, aprueban y comunican los procedimientos y las normas que aplican.
    • Las normas de uso de los activos y los procedimientos de seguridad de la empresa en los que se indica lo que está permitido y lo que no, y cómo se hacen las cosas. Por ejemplo el uso adecuado del correo corporativo, los soportes extraíbles o los portátiles de empresa, cuándo hacer backup, como deben ser las contraseñas, etc.
  4. La política, las normas y los procedimientos han sido redactados por un comité de seguridad formado por representantes de todas las áreas y por el director. Este comité actualiza y mantiene los documentos para incorporar cambios legislativos, organizativos o la implantación de nuevas tecnologías. Por ejemplo, hace poco empezaron a usarse las tabletas en los almacenes y algunos servicios en la nube, lo que provocó cambios en los procedimientos y normas. Este comité también se encarga de hacer que los documentos lleguen a todos los empleados, los comprendan y apliquen. De nada serviría escribirlos si luego no se ponen en práctica.
  5. La empresa se propone que se mantengan los principios que se han aprendido, ya que sabe que con el tiempo las costumbres van relajándose. Para refrescarlos y comunicar los cambios que se van incorporando, de vez en cuando se convocan jornadas de concienciación. Todos los empleados tienen que asistir. El objetivo es que se sigan aplicando los procedimientos, normas y la política y evitar que se olviden. Sirve también para tomar el pulso de la aplicación de las buenas prácticas. Por añadidura así se trasmite el compromiso de la empresa con la seguridad de la información.

Con sólo estas cinco medidas ha calado muy dentro la cultura de seguridad, ahora forma parte inseparable de los principios que inspiran el negocio. Nadie se imagina ya que las cosas puedan hacerse de otra forma.