• Castellano
  • English
  • Directori UV

Logo de la Universitat de València Logo Conscienciació en Seguretat de la Informació a la UV Logo del portal

En el lloc de treball, no deixes papers amb informació confidencial oblidats en la taula, la impressora o l'escàner

  • Juan Perez Garcia
  • 16 de gener de 2024
Image de la noticia

Què puc fer en el meu lloc de treball a la UV pel que fa a la seguretat de la informació que manege?

Les principals conseqüències d'una fuga o pèrdua d'informació per negligència són sempre per la Universitat de València i, per tant, hem de tenir molt en compte els següents punts:

1. Manteniu confidencialitat en relació amb qualsevol informació a què tinguem accés durant el nostre treball a la UV i de manera indefinida.

Això s'ha d'aplicar tant a informació confidencial com a dades de caràcter personal i anar acompanyat d'un compromís de confidencialitat. No es deu publicar informació corporativa sobre persones o projectes en les xarxes socials.

2. Notifiqueu qualsevol incident de seguretat relacionat amb el lloc de treball, a la mateixa UV o a l'exterior.

Específicament, el personal empleat hauria de notificar:

  • alertes de virus / malware generades per l'antivirus;
  • trucades sospitoses rebudes demanant informació confidencial;
  • correus electrònics que continguen virus;
  • pèrdua de dispositius mòbils (portàtils, smartphones o tauletes) i dispositius externs d'emmagatzematge (USB, CD / DVD, etc.);
  • qualsevol activitat sospitosa que puga detectar en el seu lloc de treball
  • esborrat accidental de fitxers
  • alteració accidental de dades o registres en les aplicacions amb informació crítica
  • comportaments anòmals dels sistemes d'informació
  • troballa d'informació en ubicacions no designades per a això
  • evidència o sospita d'accés físic de personal no autoritzat, a àrees d'accés restringit (CPD, despatxos, magatzems, ...)
  • evidència o sospita d'accessos no autoritzats a sistemes informàtics o informació confidencial per part de tercers

3. Sigueu conscients de la importància negativa de publicar o compartir contrasenyes.

Les claus són elements confidencials i han de romandre en secret. Només així es pot garantir la confidencialitat i traçabilitat de les accions. Per tant, no s'han de compartir ni apuntar-se en documents ni en qualsevol altre tipus de suport. La necessitat d'accedir a l'equip d'un company per poder continuar amb el seu treball, quan aquest es trobe absent, pot solucionar-se amb mesures alternatives:

  • utilització de repositoris d'informació departamentals compartits;
  • determinar la prohibició d'emmagatzemar informació en els equips personals.

4. Bloquejeu la pantalla a l'absentar-se del lloc de treball.

Deixar un equip sense protecció durant el dinar, el menjar, o fins i tot a la nit, és equivalent a no utilitzar contrasenya d'accés. Així mateix, hem de deixar apagat el nostre equip en acabar la jornada laboral.

A més, haurem d'establir les polítiques de seguretat tècniques adequades perquè el bloqueig del lloc de treball es realitze de manera automàtica, després d'un temps prudencial sense activitat en l'equip. També es poden establir mesures perquè s'apaguen automàticament els equips quan finalitze la jornada laboral.

5. Useu serveis d'emmagatzematge en línia dins de la nostra xarxa.

Aquest tipus de serveis són molt útils per emmagatzemar còpies de la informació de la UV, facilitar el treball en equip i permetre el treball des de fora de l'oficina. Per fer un ús segur d'ells, hem de prendre una sèrie de precaucions com són:

  • donar d'alta perfils d'usuaris exclusius corporatius per al maneig d'informació corporativa;
  • prohibir utilitzar el perfil d'usuari corporatiu per a ús privat;
  • utilitzar algun mecanisme de xifratge abans de pujar la informació de la UV, sempre que no es tracte d'informació pública;
  • que l'ús d'aquest tipus de serveis vinga autoritzat pel personal d'informàtica;
  • fer ús d'entorns en el núvol que estiguen autoritzats per la UV;
  • no utilitzar aquests serveis com dipòsits permanents sinó temporals.

6. Utilitzeu de manera adequada els mitjans d'emmagatzematge extraïble.

La utilització de pendrives i discs durs externs és una pràctica habitual que comporta un alt risc de pèrdua i robatori d'informació. Hi ha diversos mecanismes per reduir la necessitat d'aquest tipus de suports i garantir així la seguretat de la informació. Podem implementar alternatives a aquest tipus de dispositius com:

  • la utilització de repositoris comuns per a l'intercanvi d'informació;
  • implantar la possibilitat d'accés remot per al treball des de fora de l'oficina (VPN) i fer ús dels serveis d'emmagatzematge en línia.

No obstant això, en cas que siga necessària la seua utilització, necessitarem aplicar certes precaucions com:

  • utilitzar mecanismes de xifratge que impedeixen l'accés a la informació en cas de pèrdua;
  • utilitzar dispositius amb mecanisme d'accés biomètric (empremta digital) o protegit per contrasenya;
  • desactivar per defecte els ports USB i habilitar-ne aquell personal que necessite aquesta funcionalitat de manera periòdica o gestione fitxers de grans dimensions.

7. Eviteu l'alteració de la configuració de l'equip i la instal·lació d'aplicacions no autoritzades.

No podem modificar els dispositius corporatius per instal·lar noves aplicacions o modificar la configuració del sistema. Encara que en els ordinadors de sobretaula aquesta mesura és senzilla d'aplicar, pot ser més difícil aplicar-la en smartphones, tauletes i fins i tot portàtils.

En cas de ser necessària la instal·lació d'una aplicació o canviar la configuració original de l'equip, aquesta ha de ser sol·licitada al personal d'informàtica.

8. Guardeu la documentació de treball en absentar-se del lloc de treball i en acabar la jornada laboral (Política de taules netes).

Tota la documentació que s'haja gestionat durant el dia, s'ha de guardar de manera adequada durant absències prolongades.

Això és especialment important si treballem en entorns compartits amb tercers, o en atenció al públic. D'aquesta manera evitarem mirades indiscretes que puguen derivar en una fuga d'informació, a més del robatori de documents que poden contenir informació confidencial.

Una política de taules netes requereix que:

  • el lloc de treball estiga net i ordenat;
  • la documentació que no estiguem utilitzant en un moment determinat, ha d'estar guardada correctament, especialment quan deixem el nostre lloc de treball i en finalitzar la jornada;
  • no hi haja usuaris ni contrasenyes apuntades en post-it o similars.

A més, encara que no siga una mesura específica de taules netes, si abandonem el lloc de treball, hem de bloquejar el nostre equip per evitar accessos no autoritzats.

9. Destruïu la documentació mitjançant mecanismes segurs.

S'hauria de destruir tota aquella documentació sensible, obsoleta o que siga innecessària. Si hem contractat un servei de destrucció segura sota demanda o mitjançant contenidors de reciclatge, hem de notificar a companys i companyes de la seua existència i obligació d'ús.

D'altra banda, hem de conéixer els riscos associats a la utilització de papereres comunes per a documents sensibles com dades personals, informació econòmica, etc.

10. No abandoneu documentació en les impressores o escàners.

És freqüent que un usuari o usuària envie un document a la impressora i el reculla més tard. O que ho imprimisca a través de la impressora d'un altre departament, per qüestions tècniques, més qualitat o funcionalitats especials (impressió en color, mida A3, etc.). Durant aquest temps la documentació roman a disposició d'altres usuaris o usuàries, que poden recollir-la accidental o intencionadament.

11. Compliu la normativa interna en matèria de seguretat de la informació i ús dels recursos informàtics al nostre abast.

Hem d'estar conscienciats sobre un ús responsable i que ha de ser utilitzat únicament per a l'activitat laboral.

12. Compte amb mòbils, tauletes, etc. d'ús mixt corporatiu / personal (BYOD).

En l'actualitat, és comú que el personal utilitze i connecte els seus dispositius personals (portàtils, smartphones, tauletes) a la xarxa de la UV des de casa, la mateixa oficina o qualsevol altre lloc, permetent-se l'ús «mixt» d'aquests dispositius amb els d'ús corporatiu.

L'ús corporatiu d'aquests dispositius pot suposar riscos importants per a la seguretat. La principal mesura de seguretat és la d'involucrar i conscienciar-nos del seu ús correcte.

Aquells dispositius personals usats per accedir a recursos corporatius poden requerir l'ús de configuracions de seguretat específiques i adaptar-se a mesures de seguretat dictades per l'organització.