Inicio / Protege tu empresa / Blog / No te fíes, protege tu puesto de trabajo

No te fíes, protege tu puesto de trabajo

Publicado el 04/01/2016, por Dario Beneitez (INCIBE)
No te fíes, protege tu puesto de trabajo

Cuando se habla de fuga de información inmediatamente se piensa en un ciberdelincuente sentado delante de varias pantallas en una habitación lúgubre, con una habilidad asombrosa para la informática, que le posibilita vulnerar cualquier medida de seguridad que tenga implantada la empresa. Pero aunque en muchas ocasiones, la realidad supera a la ficción, en esta ocasión no es así. La mayoría de fugas de información son ocasionadas por empleados que desconocen las medidas básicas de ciberseguridad dentro la empresa, algunas veces de forma accidental, aunque otras veces, de forma premeditada.

La ciberseguridad en la empresa debe considerar todos los posibles riesgos. Es muy frecuente que los responsables de las organizaciones se centren en implantar medidas de protección en elementos puntuales de la empresa como la sala de servidores o proteger la red interna de las amenazas que provengan de Internet. Aplicar medidas de protección de los sistemas de información, siempre es una buena práctica para mantener segura la información de la empresa. Pero puede no ser suficiente si no se implementa una protección global. Proteger el puesto de trabajo del empleado es uno de los escenarios fundamentales para proteger la información de la empresa.

Para evitar que el puesto de trabajo sea el origen de la fuga de información es necesario aplicar una serie de medidas de protección:

  • Formación y concienciación: La formación y concienciación tienen como objetivo sensibilizar e instruir a los miembros de la organización en materia de seguridad de la información. Es de gran importancia formar al personal para que lleven a cabo buenas prácticas que puedan mejorar la seguridad de la empresa. INCIBE dispone de forma gratuita de un kit de concienciación con el que fomentar los buenos hábitos de seguridad entre todos los empleados de la empresa.

    Algunas de las medidas más fáciles de adoptar y que tienen gran repercusión en la seguridad de la empresa son las contraseñas. Una contraseña para que sea realmente útil tiene que ser personal e intransferible. La mala costumbre de poner la contraseña en un post-it a la vista de todo el mundo, ceder la contraseña a un compañero para que acceda a un recurso al que no tiene acceso o usar siempre la misma son malas prácticas que ponen en peligro la seguridad de la información.

    Otra mala costumbre muy común en las empresas es dejar el equipo desbloqueado y sin custodia. Un equipo desbloqueado es sinónimo de un equipo sin contraseña, por lo que cualquiera puede acceder a la información del equipo. Para solucionar esta mala práctica es conveniente conocer el «atajo» (en sistemas Windows la combinación de teclas es «Win+L») de teclado con el que se bloquea el equipo de forma fácil y rápida.

    Formar a los miembros de la empresa sobre los beneficios que conlleva un buen uso de Internet y del correo electrónico servirá para mejorar su uso y hacerlo más efectivo y seguro.

  • Prevención de fuga de información: Prevenir la fuga de información para que sólo las personas autorizadas puedan acceder a la información de la empresa, es esencial para evitar accesos no autorizados. Hay que evitar que se produzcan fugas de información a través de medios como son las memorias USB y restringir el acceso a la información solo para quien tiene permiso para ello.

    Cuando un miembro de la empresa tiene que hacer una presentación o reunirse con un cliente fuera de la oficina es común que transporte información, que puede ser confidencial, en una memoria USB. Este tipo de dispositivos son de gran utilidad pero también entrañan riesgos. Si la información no se encuentra cifrada y la memoria se extravía, todo su contenido será accesible por cualquiera. Para evitar este tipo de incidentes es recomendable cifrar toda la información de tal forma que solo quien conozca la contraseña de descifrado será capaz de acceder a su contenido.

    Además de implantar este tipo de herramientas es conveniente añadir otras medidas de seguridad como deshabilitar los puertos USB de aquellos equipos que tengan acceso a información sensible o confidencial. Otra medida de gran repercusión es implantar una política de seguridad en la que los usuarios tengan únicamente los permisos necesarios con los que puedan desempeñar su labor.

  • Cumplimiento legal: estas medidas de protección sirven de apoyo y guía a las organizaciones para cumplir con la legislación vigente. También permiten mejorar los procesos de negocio y su seguridad además de mejorar la imagen que la empresa proyecta hacia el exterior.

    Todos los miembros de la organización tienen que ser conscientes de la sensibilidad de los datos que manejan y la obligación de mantener la confidencialidad de manera indefinida por medio de un contrato de confidencialidad.

  • Seguridad en dispositivos móviles: los dispositivos móviles tienen que tener implantadas medidas de protección que garanticen la autenticación de usuario, la integridad de los datos y la confidencialidad de las comunicaciones. Estos dispositivos manejan información de carácter sensible igual que los equipos internos de la organización por lo que es una buena práctica tener implantadas medidas de protección específicas en estos dispositivos.

    ¿Qué es lo que ocurre cuando se usan móviles personales para acceder a información corporativa? Esta situación se conoce con el nombre de BYOD (Bring Your Own Device, la traducción es trae tu propio dispositivo). Es importante aplicar medidas de protección específicas a estos dispositivos cuando tienen acceso a información confidencial. Cifrar el dispositivo o utilizar una VPN corporativa para acceder a la red interna de la empresa son medidas indispensables para garantizar la seguridad de la información.

  • Anti-fraude y anti-malware: este tipo de medidas protegen a los usuarios frente a ataques de ingeniería social y malware. Las herramientas anti-fraude tienen el objetivo de proteger frente a ataques de phishing y spam. La mayoría de estos ataques son llevados a cabo a través del correo electrónico, por lo que además de utilizar este tipo de herramientas, los usuarios deben aprender a reconocer fraudes por Internet y evitar abrir correos considerados sospechosos, que no provenga de un remitente conocido.

    Las herramientas anti-malware protegen los equipos frente a software malicioso detectando y eliminando cualquier clase de malware. Evitar que los usuarios naveguen por sitios web de dudosa confianza o instalen en su equipo software sin licencia evitará en gran medida la infección por este tipo de software.

    Pero antes de comenzar a trabajar estas medidas, debemos de conocer el nivel de sensibilidad de la información que se maneja, y que miembros de la organización tienen permisos para acceder a ella. Por esta razón las medidas de seguridad que se apliquen tienen que ser proporcionales a la información que maneja cada usuario, y del riesgo de fuga de información.

    Todas estas medidas ayudarán a mantener la seguridad de la información protegiendo un elemento que muchas veces se descuida y que es de gran importancia para cualquier empresa. La protección del puesto de trabajo es esencial para proteger la organización.

Etiquetas: 
Concienciación
Cumplimiento legal
Protección
Artículos relacionados
Lupa buscando personas
INCIBE | 21/02/2023
Qué es el egosurfing y cómo practicarlo en mi empresa
teclado con palabra keylogger en rojo
INCIBE | 31/01/2023
¡Cuidado! Un keylogger podría estar registrando tus contraseñas
Mano insertando usb en un ordenador
INCIBE | 03/01/2023
Rubber Ducky, ¿una simple memoria USB?