En el puesto de trabajo, no dejes papeles con información sensible olvidados en la mesa, la impresora o el escaner.

  • 13 septiembre de 2018
Image de la noticia

¿Qué puedo hacer en mi puesto de trabajo en la UV respecto a la seguridad de la información que manejo?

Hemos de tener en cuenta que las principales consecuencias de una fuga o pérdida de información por negligencia son siempre para la Universitat de València y por lo tanto, debemos tener muy en cuenta los siguientes puntos:

1. Debemos mantener confidencialidad en relación con cualquier información a la que tengamos acceso durante nuestro trabajo en la UV, de manera indefinida.

Esto debe aplicarse tanto a información confidencial como a datos de carácter personal, y debe ir acompañado de un compromiso de confidencialidad. No se debe publicar información corporativa sobre personas o proyectos en las redes sociales.

2. Debemos notificar cualquier incidente de seguridad relacionado con el puesto de trabajo, ya sea en la propia UV o en el exterior.

Específicamente, el personal empleado debería notificar:

  • alertas de virus/malware generadas por el antivirus
  • llamadas sospechosas recibidas pidiendo información sensible
  • correos electrónicos que contengan virus
  • pérdida de dispositivos móviles (portátiles, smartphones o tabletas) y dispositivos externos de almacenamiento (USB, CD/DVD, etc.)
  • cualquier actividad sospechosa que pueda detectar en su puesto de trabajo
  • borrado accidental de ficheros
  • alteración accidental de datos o registros en las aplicaciones con
  • información crítica
  • comportamientos anómalos de los sistemas de información
  • hallazgo de información en ubicaciones no designadas para ello
  • evidencia o sospecha de acceso físico de personal no autorizado, a
  • áreas de acceso restringido (CPD, despachos, almacenes,...)
  • evidencia o sospecha de accesos no autorizados a sistemas informáticos o información confidencial por parte de terceros

3. Hemos de ser conscientes de la importancia negativa de publicar o compartir contraseñas.

Las claves son elementos confidenciales y deben permanecer en secreto, ya que sólo así se puede garantizar la confidencialidad y trazabilidad de las acciones. Por tanto, no deben compartirse ni apuntarse en documentos ni en cualquier otro tipo de soporte.La necesidad de acceder al equipo de un compañero para poder seguir con su trabajo cuando éste se encuentre ausente puede solucionarse con medidas alternativas:

  • utilización de repositorios de información departamentales compartidos
  • Determinar la prohibición de almacenar información en los equipos personales

4. Deberíamos bloquear la sesión al ausentarnos del puesto de trabajo.

Dejar un equipo sin protección durante el almuerzo, la comida, o incluso por la noche, es equivalente a no utilizar contraseña de acceso. Debe enseñarse al usuario cómo puede bloquear su equipo de manera sencilla. Asimismo, debemos dejar apagado nuestro equipo al acabar la jornada laboral.

Además, deberemos establecer las políticas de seguridad técnicas adecuadas para que el bloqueo del puesto de trabajo se realice de manera automática tras un tiempo prudencial sin actividad en el equipo. También se pueden establecer medidas para que se apaguen automáticamente los equipos cuando finalice la jornada laboral.

5. Debemos ser conscientes de que el uso de servicios de almacenamiento online debe realizarse dentro de nuestra red.

Este tipo de servicios, denominados habitualmente «cloud», son muy útiles para almacenar copias de la información de la UV, facilitar el trabajo en equipo y permitir el trabajo desde fuera de la oficina. Para hacer un uso seguro de este tipo de servicios, debemos tomar una serie de precauciones, como son:

  • dar de alta perfiles de usuarios exclusivos corporativos para el manejo de información corporativa
  • prohibir utilizar el perfil de usuario corporativo para uso privado
  • utilizar algún mecanismo de cifrado antes de subir la información de la UV siempre que no se trate de información pública
  • que el uso de este tipo de servicios venga autorizado por el personal de informática
  • debemos hacer uso de entornos cloud que estén autorizados por la UV
  • no utilizar estos servicios como repositorios permanentes sino temporales

6. Debemos realizar un uso adecuado de los medios de almacenamiento extraíble.

La utilización de pendrives y discos duros externos es una práctica habitual que conlleva un alto riesgo de pérdida y robo de información. Existen diversos mecanismos para reducir la necesidad de este tipo de soportes y garantizar así la seguridad de la información. Podemos implementar alternativas a este tipo de dispositivos, como:

  • la utilización de repositorios comunes para el intercambio de información
  • implantar la posibilidad de acceso remoto para el trabajo remoto desde fuera de la oficina (VPN) hacer uso de los servicios de almacenamiento online.

No obstante, en caso de que sea necesaria su utilización, necesitaremos aplicar ciertas precauciones, como:

  • utilizar mecanismos de cifrado que impidan el acceso a la información
  • en caso de pérdida
  • utilizar dispositivos con mecanismo de acceso biométrico (huella digital) o protegido por contraseña deshabilitar por defecto los puertos USB y habilitarlos en aquel personal que necesite dicha funcionalidad de manera periódica o gestione ficheros de gran tamaño.

7. Debemos evitar en la mayor medida posible la alteración de la configuración del equipo y la instalación de aplicaciones no autorizadas.

No podemos modificar los dispositivos corporativos para instalar nuevas aplicaciones o modificar la configuración del sistema. Aunque en los ordenadores de sobremesa esta medida es sencilla de aplicar, puede ser más difícil aplicarla en smartphones, tabletas e incluso portátiles.

En caso de ser necesaria la instalación de una aplicación o modificar la configuración original del equipo, ésta debe ser solicitada al personal de informática.

8. Plantearnos como obligación guardar la documentación de trabajo al ausentarnos del puesto de trabajo y al terminar la jornada laboral (Política de mesas limpias).

Toda la documentación que se haya gestionado durante el día debe guardarse de manera adecuada durante ausencias prolongadas.

Esto es especialmente importante si trabajamos en entornos compartidos con terceros, o en atención al público. De esta manera evitaremos miradas indiscretas que puedan derivar en una fuga de información, además del robo de documentos que pueden contener información confidencial.

Una política de mesas limpias requiere que:

  • el puesto de trabajo esté limpio y ordenado
  • la documentación que no estemos utilizando en un momento determinado debe estar guardada correctamente, especialmente cuando dejamos nuestro puesto de trabajo y al finalizar la jornada
  • no haya usuarios ni contraseñas apuntadas en post-it o similares

Además, aunque no sea una medida específica de mesas limpias, si abandonamos el puesto de trabajo, debemos bloquear nuestro equipo para evitar accesos no autorizados.

9. Plantearnos también como una obligación, destruir la documentación mediante mecanismos seguros.

Debería destruirse toda aquella documentación sensible obsoleta o que sea innecesaria. Si hemos contratado un servicio de destrucción segura bajo demanda o mediante contenedores de reciclaje, debemos notificar a compañeros y compañeras  de su existencia y obligación de uso.

Por otro lado, debemos conocer los riesgos asociados a la utilización de papeleras comunes para documentos sensibles, como datos personales, información económica, etc.

10. Mucho cuidado con no abandonar documentación en las impresoras o escáneres.

Es frecuente que un usuario envíe un documento a la impresora y lo recoja

más tarde, o que lo imprima a través de la impresora de otro departamento, por cuestiones técnicas, mayor calidad o funcionalidades especiales (impresión en color, tamaño A3, etc.)

Durante ese tiempo la documentación permanece a disposición de otros usuarios, que pueden recogerla accidental o intencionadamente.

11. Debemos cumplir la normativa interna en materia de seguridad de la información y uso de los recursos informáticos a nuestra disposición.

Debemos estar concienciados sobre un uso responsable y, que debe ser utilizado únicamente para la actividad laboral.

12. Cuidado con móviles, tabletas, etc de uso mixto corporativo / personal (BYOD)

En la actualidad, es común que el personal utilice y conecte sus dispositivos personales (portátiles, smartphones, tabletas) a la red de la UV desde su casa, la propia oficina o cualquier otro lugar, permitiéndose el uso «mixto» de estos dispositivos con los de uso corporativo.

El uso corporativo de estos dispositivos puede suponer riesgos importantes para la seguridad que hay que tener en cuenta. La principal medida de seguridad es la de involucrarnos y concienciarnos del correcto uso de estos dispositivos.

Debemos saber que aquellos dispositivos personales utilizados para acceder a recursos corporativos pueden requerir el uso de configuraciones de seguridad específicas y adaptarse a medidas de seguridad dictadas por la organización.