Cortafuegos humano: activando las políticas de seguridad

Fecha de publicación
23/07/2019
Autor
INCIBE (INCIBE)
Cortafuegos humano: activando las políticas de seguridad

En la cadena de ciberseguridad, el eslabón más importante es el empleado. Es decir,  no basta con utilizar dispositivos y programas de seguridad, ya que al final son los usuarios los que gestionan los sistemas y la información. Tenemos que activar el cortafuegos humano. ¿Quieres saber cómo hacerlo?

Dentro de una organización, tiene que haber un responsable de la ciberseguridad, que será el encargado de definir cómo hacer las cosas y establecer de forma clara los criterios, procedimientos y protocolos de actuación que deberán seguir todos los miembros de la compañía. 

De esta forma, si por ejemplo se incorpora un nuevo empleado, se deberán llevar a cabo una serie de tareas que forman parte del proceso de alta. Estas tareas pueden ser:

  • técnicas, como el alta de las cuentas de usuario en el dominio corporativo, instalación de software, permisos de acceso a las aplicaciones y carpetas del sistema que sean necesarias para desarrollar su labor diaria, etc.;
  • administrativas, como es la firma del contrato de trabajo y demás documentación relacionada con el alta laboral, protección de datos (RGPD), acuerdos de confidencialidad, etc. 

Podemos formalizar y documentar las distintas etapas de estos procedimientos y las instrucciones precisas para su aplicación, sobre todo en aquellas empresas en las que el nivel de rotación de los empleados sea alto. Igualmente se pueden planificar aquellos procedimientos que tengan algún tipo de periodicidad, entre otros: copias de seguridad, actualizaciones o gestión con proveedores.

En cuanto al uso de la tecnología por los empleados y por los técnicos, tendremos por escrito los diferentes protocolos o políticas de uso, es decir, cómo se deben hacer las cosas para desarrollar el trabajo de forma segura. En ellos se indicará de forma clara qué se puede hacer y qué no. Además, también se dejará constancia de los procesos disciplinarios y sanciones asociadas al uso incorrecto del equipamiento y la tecnología. 

En definitiva, para poder inculcar cultura de seguridad entre los miembros de la organización se deberá dejar por escrito las políticas, procedimientos e instrucciones en materia de seguridad que estén alineadas con la estrategia de seguridad de la empresa:

Imagen que muestra una estructura en forma de pirámide dividida en tres niveles. En el más bajo, formando la base de la pirámide se encuentran las instrucciones técnicas. En la zona media, las normas y procedimientos. Y en la parte más alta, coincidiendo con la punta de la estructura piramidal, las políticas de seguridad.

En seguridad, la estrategia posible se puede definir desde la total permisividad hasta el control completo. Cada empresa elige qué permite hacer y qué prohíbe en sus políticas. Por ejemplo, en el uso de dispositivos externos o móviles personales para uso profesional o en el uso de navegadores o recursos de almacenamiento ¿qué usos se permiten y cuáles no? Si está todo por escrito, tendremos un camino recorrido. 

Contar con las diferentes políticas, normas y procedimientos, e instrucciones que forman parte del Plan de Seguridad será el primer paso para dejar constancia de la importancia que tiene en la forma de hacer de la organización. El segundo paso es asegurarse de que todos los empleados las conozcan y respeten, mediante sesiones de concienciación y sensibilización y simulacros. Finalmente has de procurar la formación necesaria a quien la necesite. Con todo esto, tendrás activadas las políticas en el cortafuegos humano de tus empleados. ¡Misión cumplida!

Ir arriba