Las precauciones y medidas de seguridad que podemos aplicar para proteger el puesto de trabajo son innumerables y de diferente grado de complejidad. Sin embargo, existe un conjunto reducido de medidas con un coste de implantación y mantenimiento mínimo, que aportarán una mejora sustancial en el nivel de seguridad corporativa.
Nos vamos a centrar en aquellas medidas que se traducen en mayores beneficios sobre la seguridad del puesto de trabajo. Algunas de ellas son requisitos de la Ley de Protección de datos de carácter personal y otras son recomendaciones establecidas por códigos de buenas prácticas en seguridad de la información.
La primera y fundamental medida de carácter organizativo es implantar una política de seguridad interna de la organización, que transmita a los empleados las obligaciones y buenas prácticas en relación con la seguridad de la información.
Las medidas planteadas en la política y normativas de seguridad deben trasladarse a los usuarios de la manera adecuada. La información debe estar disponible para los usuarios, recordarse mediante comunicaciones de manera periódica, y firmarse al comienzo de la relación laboral.
Ni la política ni las normativas deben trasladarse al usuario como un descargo de responsabilidad de la empresa o como un medio con el fin exclusivo de adoptar medidas disciplinarias. Las principales consecuencias de una fuga o pérdida de información por negligencia son siempre para la empresa.
Las medidas organizativas mencionadas, se deben unir a medidas de carácter técnico, con el objeto de dificultar que pueda entrar malware, y que la seguridad instalada en la empresa sea eficaz. En este sentido, existen una serie de medidas recomendables: *Implantar una política de contraseñas robustas a nivel del sistema, tanto para el acceso al sistema operativo como a las aplicaciones Con esta medida, se evita la utilización de medidas sencillas de hackear. Esta política debe contemplar los siguientes criterios:
Recordando lo expuesto anteriormente, una contraseña válida debería tener:
Implantar y configurar un antivirus para todos los equipos de la empresa, incluyendo los dispositivos móviles.
Aunque existan antivirus de uso doméstico y gratuito, es altamente recomendable utilizar aplicaciones de uso completo en términos de seguridad, que generalmente suponen un pago anual por licencia.
Además, es necesario tener en cuenta los siguientes elementos:
Configurar todo software corporativo para la actualización automática
Tanto el software como las aplicaciones corporativas de uso común, deben actualizarse.
El software sin actualizar es una de las principales razones por las cuales las empresas se exponen a peligros. En este sentido hay dos formas de actualización:
En el caso de actualización manual, se debe tener en cuenta una serie de aspectos:
Limitar la utilización de usuarios genéricos
Los usuarios genéricos impiden la posibilidad de llevar la trazabilidad de las acciones realizadas, es decir, identificar las acciones que cada empleado realiza en un sistema informático, además de dificultar el conocer si ha existido alguna entrada no autorizada y utilizando un sistema.
Por ejemplo, si varios usuarios utilizan un mismo equipo con el usuario «personal», es imposible saber cuál de ellos ha accedido en un momento concreto e identificar las causas por las que se ha producido una fuga de información, una infección por malware o un daño físico. Además, cuando algo se modifica en un entorno compartido, es más normal atribuirlo a otro usuario autorizado, en lugar de a un intruso. Por ello, debemos:
Limitar los permisos de administración y su uso generalizado
Un usuario con permisos de administrador en su equipo local puede suponer:
Por tanto, debemos configurar los equipos de modo que:
Configurar el bloqueo de sesión por inactividad en sistemas y aplicaciones
Aunque el acceso a un equipo se realice con contraseña, si la sesión permanece abierta en aquellos momentos en los que el usuario no está trabajando con el equipo, la medida pierde su eficacia.
Los equipos deben ser configurados para que, tras un periodo breve de tiempo, se bloqueen automáticamente y requieran la clave de acceso para su desbloqueo.
Restringir los puertos USB a puestos determinados Los pendrives pueden suponer un riesgo en la seguridad de la empresa porque:
Es necesario restringir el uso de USB a usuarios que lo necesiten para su trabajo o proporcionar a los usuarios herramientas para el cifrado de la información cuando ésta se transporte mediante USB.
Igualmente debemos utilizar dispositivos con mecanismo de acceso biométrico (huella digital) tal y como hemos explicado anteriormente, y aplicar herramientas de borrado seguro de manera periódica a los USB o poner en marcha herramientas alternativas para el acceso a la información como la habilitación de repositorios comunes de trabajo, incluso el uso de almacenamientos en la nube.
En general, debe considerarse restringir estos dispositivos, en determinados equipos que contienen o pueden acceder a información crítica o confidencial, (servidores, maquinas con operaciones críticas...), o determinados usuarios que por su actividad no va a requerir de su uso.
Es recomendable buscar un equilibrio entre finalidad y seguridad. Estas restricciones podrían aplicarse también a otro tipo de interfaces como CD, DVD, tarjetas de almacenamiento SD, etc.
Debemos adquirir dispositivos que permitan destruir la documentación sensible que no sea necesaria: propuestas a clientes, datos personales, tarifas, currículos recibidos, etc.
En función del número de usuarios y el volumen de información que se gestione, necesitaremos más o menos dispositivos de este tipo.
Como medida alternativa, se puede optar por contratar un servicio de destrucción de información a una empresa especializada, exigiendo un certificado de destrucción que garantice la imposibilidad de su recuperación.
En este caso, en función del volumen de documentación que manejemos, para la destrucción podemos optar por la recogida de la documentación bajo demanda, o la instalación de contenedores de reciclaje propiedad del proveedor, cuyo contenido es recogido y destruido de manera regular.
El acceso a determinados sitios web puede conducir a la infección por virus, tener repercusiones legales o afectar a la imagen de la empresa. Es recomendable que implantemos medidas que bloqueen el acceso a:
Controlar y prohibir el acceso remoto hacia la propia organización
Existen herramientas que haciendo uso del protocolo HTTPS permiten el acceso no controlado a equipos de usuarios finales.
La utilización de este tipo de herramientas puede suponer el acceso incontrolado desde el exterior a nuestra organización. Se recomienda el filtrado de este tipo de aplicaciones y sistemas. En su lugar es posible la instalación sistemas de acceso remoto del estilo de VPN que garanticen la seguridad y trazabilidad de todos los accesos remotos.
Si el tamaño o la disposición de nuestra organización facilita que los documentos residan en la impresora durante un tiempo hasta que son recogidos, se deben establecer mecanismos de seguridad, tales como el uso de tarjetas o códigos personales antes de la impresión.
La conexión de determinados dispositivos a la red como smartphones personales, equipos de proveedores o portátiles de personal esporádico pueden implicar un serio riesgo de infección por virus, entre otras amenazas. Debemos prestar especial atención a la utilización de los BYOD, manteniendo una base de datos de estos dispositivos y los usuarios que los utilizan.
Hay una medida de seguridad por encima de todas las descritas anteriormente, que es la de la involucración y concienciación de los usuarios que hacen uso de los activos de la empresa en materia de ciberseguridad.
Deben llevarse a cabo programas periódicos de concienciación como los que se muestran en un informe denominado «Kit de Concienciación de INCIBE» y que se pueden resumir en:
Estos programas deben incidir sobre la importancia de las medidas incluidas dentro de la política de seguridad interna de la empresa para conseguir que los empleados las interioricen y acepten.
Se recomienda que la realización de sesiones de formación se realice de forma periódica, y que traten los principales elementos de la política de seguridad interna. Se debe realizar un seguimiento de las sesiones para evaluar el nivel de implantación de estos conceptos en el usuario, identificando los puntos débiles donde se debe incidir en próximas sesiones.
Para su aplicación, pueden ponerse en marcha las siguientes iniciativas:
La mayoría de las filtraciones de datos empiezan con un ataque exitoso de ingeniería social. Es decir, el hacker capta a un ser humano para que haga algo que le proporcione el acceso de red que está buscando. En poco tiempo supone una estafa. La ingeniería social no implica necesariamente un engaño complejo, ni siquiera implica contacto directo con la víctima. Se puede hacer por correo electrónico, a través de una página web, por teléfono o por SMS.
Por tanto, cualquier programa de formación debería cubrir las diversas maneras en las que se engaña a los usuarios.
La formación para evitar la ingeniería social debería realizarse más de una vez al año y debería incluir:
A continuación, se indican algunos consejos destinados a la implementación correcta del teletrabajo:
Si trabajas desde casa con tu propia red y equipo:
Si trabajas desde casa con red y equipo de la empresa: