• Valencià
  • English
  • Directori UV

Logo de la Universdad de Valencia Logo Concienciación sobre Seguridad de la Información en la UV Logo del portal

En el puesto de trabajo, no dejes papeles con información sensible olvidados en la mesa, la impresora o el escaner

  • 16 enero de 2024
Image de la noticia

¿Qué puedo hacer en mi puesto de trabajo en la UV respecto a la seguridad de la información que manejo?

Las principales consecuencias de una fuga o pérdida de información por negligencia son siempre para la Universitat de València y, por lo tanto, debemos tener muy en cuenta los siguientes puntos:

1. Mantener confidencialidad en relación con cualquier información a la que tengamos acceso durante nuestro trabajo en la UV y de manera indefinida.

Esto debe aplicarse tanto a información confidencial como a datos de carácter personal. Debe ir acompañado de un compromiso de confidencialidad. No se debe publicar información corporativa sobre personas o proyectos en las redes sociales.

2. Debemos notificar cualquier incidente de seguridad relacionado con el puesto de trabajo en la UV o en el exterior.

El personal empleado debería notificar:

  • alertas de virus/malware generadas por el antivirus;
  • llamadas sospechosas recibidas pidiendo información sensible;
  • correos electrónicos que contengan virus;
  • pérdida de dispositivos móviles (portátiles, smartphones o tabletas) y dispositivos externos de almacenamiento (USB, CD/DVD, etc.);
  • cualquier actividad sospechosa que pueda detectar en su puesto de trabajo;
  • borrado accidental de ficheros;
  • alteración accidental de datos o registros en las aplicaciones con información crítica;
  • comportamientos anómalos de los sistemas de información;
  • hallazgo de información en ubicaciones no designadas para ello;
  • evidencia o sospecha de acceso físico de personal no autorizado a áreas de acceso restringido (CPD, despachos, almacenes...);
  • evidencia o sospecha de acceso no autorizado a sistemas informáticos o información confidencial por parte de terceros.

3. Ser conscientes de la importancia negativa de publicar o compartir contraseñas.

Las claves son elementos confidenciales y deben permanecer en secreto. Sólo así se puede garantizar la confidencialidad y trazabilidad de las acciones. No deben compartirse ni apuntarse en documentos ni en cualquier otro tipo de soporte. La necesidad de acceder al equipo de un compañero o compañera para poder continuar con su trabajo cuando se encuentre ausente, puede solucionarse con medidas alternativas:

  • utilización de repositorios de información departamentales compartidos;
  • determinar la prohibición de almacenar información en los equipos personales.

4. Bloquear la sesión al ausentarnos del puesto de trabajo.

Dejar un equipo sin protección durante el almuerzo, la comida, o incluso por la noche, es equivalente a no utilizar contraseña de acceso. Debe enseñarse al usuario o usuaria cómo puede bloquear su equipo de manera sencilla. Asimismo, debemos dejar apagado nuestro equipo al acabar la jornada laboral.

Además, deberemos establecer las políticas de seguridad técnicas adecuadas para que el bloqueo del puesto de trabajo se realice de manera automática, tras un tiempo prudencial sin actividad en el equipo. También se pueden establecer medidas para que se apaguen automáticamente los equipos cuando finalice la jornada laboral.

5. Usar servicios de almacenamiento online dentro de nuestra red.

Este tipo de servicios son muy útiles para almacenar copias de la información de la UV, facilitar el trabajo en equipo y permitir el trabajo desde fuera de la oficina. Para hacer un uso seguro de este tipo de servicios, debemos tomar una serie de precauciones como son:

  • dar de alta perfiles de usuario exclusivos corporativos para el manejo de información corporativa;
  • prohibir utilizar el perfil de usuario corporativo para uso privado;
  • utilizar algún mecanismo de cifrado antes de subir la información de la UV, siempre que no se trate de información pública;
  • que el uso de este tipo de servicios venga autorizado por el personal de informática;
  • debemos hacer uso de entornos en la nube que estén autorizados por la UV;
  • no utilizar estos servicios como repositorios permanentes sino temporales.

6. Realizar un uso adecuado de los medios de almacenamiento extraíble.

La utilización de pendrives y discos duros externos es una práctica habitual que conlleva un alto riesgo de pérdida y robo de información. Existen diversos mecanismos para reducir la necesidad de este tipo de soportes y garantizar así la seguridad de la información. Podemos implementar alternativas a este tipo de dispositivos como:

  • la utilización de repositorios comunes para el intercambio de información;
  • implantar la posibilidad de acceso remoto para el trabajo desde fuera de la oficina (VPN) y hacer uso de los servicios de almacenamiento online.

No obstante, en caso de que sea necesaria su utilización, necesitaremos aplicar ciertas precauciones como:

  • utilizar mecanismos de cifrado que impidan el acceso a la información en caso de pérdida;
  • utilizar dispositivos con mecanismo de acceso biométrico (huella digital) o protegido por contraseña;
  • deshabilitar por defecto los puertos USB y habilitarlos en aquel personal que necesite dicha funcionalidad de manera periódica o gestione ficheros de gran tamaño.

7. Evistar la alteración de la configuración del equipo y la instalación de aplicaciones no autorizadas.

No podemos modificar los dispositivos corporativos para instalar nuevas aplicaciones o modificar la configuración del sistema. Aunque en los ordenadores de sobremesa esta medida es sencilla de aplicar, puede ser más difícil en smartphones, tabletas o portátiles.

En caso de ser necesaria la instalación de una aplicación o modificar la configuración original del equipo, debe ser solicitada al personal de informática.

8. Guardar la documentación de trabajo al ausentarnos del puesto de trabajo y al terminar la jornada laboral (Política de mesas limpias).

Toda la documentación que se haya gestionado durante el día debe guardarse de manera adecuada durante ausencias prolongadas.

Esto es especialmente importante si trabajamos en entornos compartidos con terceros o en atención al público. De esta manera evitaremos miradas indiscretas que puedan derivar en una fuga de información, además del robo de documentos que pueden contener información confidencial.

Una política de mesas limpias requiere que:

  • el puesto de trabajo esté limpio y ordenado;
  • la documentación que no estemos utilizando en un momento determinado debe estar guardada correctamente, especialmente cuando dejamos nuestro puesto de trabajo y al finalizar la jornada;
  • no haya usuarios ni contraseñas apuntadas en post-it o similares.

Además, aunque no sea una medida específica de mesas limpias, si abandonamos el puesto de trabajo, debemos bloquear nuestro equipo para evitar accesos no autorizados.

9. Destruir la documentación mediante mecanismos seguros.

Debería destruirse toda aquella documentación sensible obsoleta o que sea innecesaria. Si hemos contratado un servicio de destrucción segura bajo demanda o mediante contenedores de reciclaje, debemos notificar a compañeros y compañeras de su existencia y obligación de su uso.

Por otro lado, debemos conocer los riesgos asociados a la utilización de papeleras comunes para documentos sensibles, como datos personales, información económica, etc.

10. No abandonar documentación en las impresoras o escáneres.

Es frecuente que un usuario o usuaria envíe un documento a la impresora y lo recoja más tarde. O que lo imprima a través de la impresora de otro departamento, por cuestiones técnicas, mayor calidad o funcionalidades especiales (impresión en color, tamaño A3, etc.). Durante ese tiempo la documentación permanece a disposición de otros usuarios y usuarias que pueden recogerla accidental o intencionadamente.

11. Cumplir la normativa interna en materia de seguridad de la información y uso de los recursos informáticos a nuestra disposición.

Debemos estar concienciados sobre un uso responsable y que debe ser utilizado únicamente para la actividad laboral.

12. Cuidado con móviles, tabletas... de uso mixto corporativo / personal (BYOD).

En la actualidad es común que el personal utilice y conecte sus dispositivos personales (portátiles, smartphones, tabletas) a la red de la UV desde su casa, la oficina o cualquier otro lugar, permitiéndose el uso «mixto» de estos dispositivos con los de uso corporativo.

El uso corporativo de estos dispositivos puede suponer riesgos importantes para la seguridad que hay que tener en cuenta. La principal medida de seguridad es la de involucrarnos y concienciarnos del correcto uso de estos dispositivos.

Aquellos dispositivos personales utilizados para acceder a recursos corporativos pueden requerir el uso de configuraciones de seguridad específicas y adaptarse a medidas de seguridad dictadas por la organización.