Logo de la Universitat de València Logo Conscienciació en Seguretat de la Informació a la UV Logo del portal

En el lloc de treball, no deixes papers amb informació sensible oblidats en la taula, la impressora o l'escaner.

  • Juan Perez Garcia
  • 13 de setembre de 2018
Image de la noticia

Què puc fer en el meu lloc de treball a la UV que fa a la seguretat de la informació que manege?

Hem de tenir en compte que les principals conseqüències d'una fuga o pèrdua d'informació per negligència són sempre per la Universitat de València i per tant, hem de tenir molt en compte els següents punts:

1. Hem de mantenir confidencialitat en relació amb qualsevol informació a la que tinguem accés durant el nostre treball a la UV, de manera indefinida.

Això s'ha d'aplicar tant a informació confidencial com a dades de caràcter personal, i ha d'anar acompanyat d'un compromís de confidencialitat. No s'ha de publicar informació corporativa sobre persones o projectes en les xarxes socials.

2. Hem de notificar qualsevol incident de seguretat relacionat amb el lloc de treball, ja sigui a la pròpia UV o a l'exterior.

Específicament, el personal empleat hauria de notificar:

  • alertes de virus / malware generades per l'antivirus
  • trucades sospitoses rebudes demanant informació sensible
  • correus electrònics que continguen virus
  • pèrdua de dispositius mòbils (portàtils, smartphones o tauletes) i dispositius externs d'emmagatzematge (USB, CD / DVD, etc.)
  • qualsevol activitat sospitosa que puga detectar en el seu lloc de treball
  • esborrat accidental de fitxers
  • alteració accidental de dades o registres en les aplicacions amb informació crítica
  • comportaments anòmals dels sistemes d'informació
  • troballa d'informació en ubicacions no designades per a això
  • evidència o sospita d'accés físic de personal no autoritzat, a àrees d'accés restringit (CPD, despatxos, magatzems, ...)
  • evidència o sospita d'accessos no autoritzats a sistemes informàtics o informació confidencial per part de tercers

3. Hem de ser conscients de la importància negativa de publicar o compartir contrasenyes.

Les claus són elements confidencials i han de romandre en secret, ja que només així es pot garantir la confidencialitat i traçabilitat de les accions. Per tant, no s'han de compartir ni apuntar-se en documents ni en qualsevol altre tipus desoporte. La necessitat d'accedir a l'equip d'un company per poder seguir amb el seu treball quan aquest es trobe absent pot solucionar-se amb mesures alternatives:

  • utilització de repositoris d'informació departamentals compartits
  • Determinar la prohibició d'emmagatzemar informació en els equips personals

4. Hauríem bloquejar la pantalla al absentar-nos del lloc de treball.

Deixar un equip sense protecció durant el dinar, el menjar, o fins i tot a la nit, és equivalent a no utilitzar contrasenya d'accés. Així mateix, hem de deixar apagat el nostre equip en acabar la jornada laboral.

A més, haurem d'establir les polítiques de seguretat tècniques adequades perquè el bloqueig del lloc de treball es realitze de manera automàtica després d'un temps prudencial sense activitat en l'equip. També es poden establir mesures perquè s'apaguen automàticament els equips quan finalitze la jornada laboral.

5. Hem de ser conscients que l'ús de serveis d'emmagatzematge en línia s'ha de realitzar dins de la nostra xarxa.

Aquest tipus de serveis, denominats habitualment «cloud», són molt útils per emmagatzemar còpies de la informació de la UV, facilitar el treball en equip i permetre el treball des de fora de l'oficina. Per fer un ús segur d'aquest tipus de serveis, hem de prendre una sèrie de precaucions, com són:

  • donar d'alta perfils d'usuaris exclusius corporatius per al maneig d'informació corporativa
  • prohibir utilitzar el perfil d'usuari corporatiu per a ús privat
  • utilitzar algun mecanisme de xifrat abans de pujar la informació de la UV sempre que no es tracte d'informació pública
  • que l'ús d'aquest tipus de serveis vingui autoritzat pel personal d'informàtica
  • hem de fer ús d'entorns cloud que estiguin autoritzats per la UV
  • no utilitzar aquests serveis com dipòsits permanents sinó temporals

6. Hem de fer un ús adequat dels mitjans d'emmagatzematge extraïble.

La utilització de pendrives i discos durs externs és una pràctica habitual que comporta un alt risc de pèrdua i robatori d'informació. Hi ha diversos mecanismes per reduir la necessitat d'aquest tipus de suports i garantir així la seguretat de lainformació. Podem implementar alternatives a aquest tipus de dispositius, com:

  • la utilització de repositoris comuns per a l'intercanvi d'informació
  • implantar la possibilitat d'accés remot per al treball remot des de fora de l'oficina (VPN) fer ús dels serveis d'emmagatzematge en línia.

No obstant això, en cas que sigui necessària la seva utilització, necessitarem aplicar certes precaucions, com:

  • utilitzar mecanismes de xifrat que impedeixin l'accés a la informació
  • en cas de pèrdua
  • utilitzar dispositius amb mecanisme d'accés biomètric (empremta digital) o protegit per contrasenya desactivar per defecte els ports USB i habilitar-en aquell personal que necessiti aquesta funcionalitat de manera periòdica o gestioni fitxers de grans dimensions.

7. Hem d'evitar en la major mesura possible l'alteració de la configuració de l'equip i la instal·lació d'aplicacions no autoritzades.

No podem modificar els dispositius corporatius per instal·lar noves aplicacions o modificar la configuració del sistema. Encara que en els ordinadors de sobretaula aquesta mesura és senzilla d'aplicar, pot ser més difícil aplicar-la ensmartphones, tauletes i fins i tot portàtils.

En cas de ser necessària la instal·lació d'una aplicació o canviar la configuració original de l'equip, aquesta ha de ser sol·licitada al personal d'informàtica.

8. Plantejar-com obligació guardar la documentació de treball a absentar del lloc de treball i en acabar la jornada laboral (Política de taules netes).

Tota la documentació que s'hagi gestionat durant el dia s'ha de guardar de manera adequada durant absències prolongades.

Això és especialment important si treballem en entorns compartits amb tercers, o en atenció al públic. D'aquesta manera evitarem mirades indiscretes que puguin derivar en una fuga d'informació, a més del robatori de documents que poden contenir informació confidencial.

Una política de taules netes requereix que:

  • el lloc de treball estigui net i ordenat
  • la documentació que no estiguem utilitzant en un moment determinat ha d'estar guardada correctament, especialment quan deixem el nostre lloc de treball i en finalitzar la jornada
  • no hi hagi usuaris ni contrasenyes apuntades en post it o similars

A més, encara que no sigui una mesura específica de taules netes, si abandonem el lloc de treball, hem de bloquejar el nostre equip per evitar accessos no autoritzats.

9. Plantejar-també com una obligació, destruir la documentació mitjançant mecanismes segurs.

Hauria destruir tota aquella documentació sensible obsoleta o que sigui innecessària. Si hem contractat un servei de destrucció segura sota demanda o mitjançant contenidors de reciclatge, hem de notificar a companys i companyes   de la seva existència i obligació d'ús.

D'altra banda, hem de conèixer els riscos associats a la utilització de papereres comuns per a documents sensibles, com dades personals, informació econòmica, etc.

10. Molt de compte amb no abandonar documentació en les impressores o escàners.

És freqüent que un usuari enviï un document a la impressora i el reculli

més tard, o que ho imprimeixi a través de la impressora d'un altre departament, per qüestions tècniques, més qualitat o funcionalitats especials (impressió en color, mida A3, etc.)

Durant aquest temps la documentació roman a disposició d'altres usuaris, que poden recollir-accidental o intencionadament.

11. Hem de complir la normativa interna en matèria de seguretat de la informació i ús dels recursos informàtics al nostre abast.

Hem d'estar conscienciats sobre un ús responsable i, que ha de ser utilitzat únicament per a l'activitat laboral.

12. Compte amb mòbils, tauletes, etc d'ús mixt corporatiu / personal (BYOD)

En l'actualitat, és comú que el personal utilitzi i connecti els seus dispositius personals (portàtils, smartphones, pastilles) a la xarxa de la UV des de casa, la mateixa oficina o qualsevol altre lloc, permetent-se l'ús «mixt» d'aquests dispositius amb els d'ús corporatiu.

L'ús corporatiu d'aquests dispositius pot suposar riscos importants per a la seguretat que cal tenir en compte. La principal mesura de seguretat és la d'involucrar i conscienciar-nos del correcte ús d'aquests dispositius.

Hem de saber que aquells dispositius personals utilitzats per accedir a recursos corporatius poden requerir l'ús de configuracions de seguretat específiques i adaptar-se a mesures de seguretat dictades per l'organització.