Protección puesto de trabajo

Protección puesto de trabajo

 

Proteccion del puesto de trabajo

Antecedentes

La gestión de la información empresarial se realiza fundamentalmente desde el puesto de trabajo, tanto desde dispositivos tecnológicos como de forma más tradicional (papel, teléfono,..). De ahí la importancia de concienciar a los empleados y exigir el cumplimiento de ciertas normas para la seguridad en, y desde, su puesto.

Por una parte el empleado debe conocer los riesgos no tecnológicos, por ejemplo:

  • información en papel al alcance de personas no autorizadas;  

  • la falta de confidencialidad de los medios de comunicación tradicionales; 

  • el peligro de robo o extravío de los dispositivos extraíbles (pendrives, discos duros externos, etc.); 

  • el acceso físico de terceras personas a las zonas de trabajo (repartidores, personal de limpieza, etc.). 

Por otra parte desde en muchos puestos de trabajo se tiene acceso a ordenadores, dispositivos móviles y portátiles con conexión a la red de la empresa y al exterior (internet). Son pues una «puerta de entrada» a la empresa y a sus recursos de información. Es esencial preparar a los empleados para evitar incidentes que puedan iniciarse en su puesto de trabajo, acentuados por desconocimiento o por falta de preparación:

  • accesos no autorizados a los ordenadores y desde ellos a aplicativos de la empresa; 

  • infecciones por malware

  • robo y fuga de datos en formato digital; 

  • ataques de ingeniería social, es decir, engaños para manipular a la víctima para obtener información (credenciales, información confidencial,…) o conseguir que realice alguna acción por él (instalar un programa, enviar algunos correos, hacer algún ingreso, etc.). 

Para garantizar un uso adecuado de los dispositivos y medios del entorno de trabajo, y minimizar el impacto que todos estos riesgos pueden tener en la empresa, debe implantarse una política de protección del puesto de trabajo. La organización debe facilitar a los empleados las obligaciones y buenas prácticas en materia de seguridad que apliquen a su puesto de trabajo. Esta normativa debe ser firmada por los empleados en su incorporación a la empresa, así como estar siempre disponible y recordar su aplicación de manera periódica.

Objetivos

Garantizar la seguridad de toda la información y los recursos gestionados desde el puesto de trabajo.

Puntos clave

Los puntos clave de esta política son:

  • Normativa de protección del puesto de trabajo. La empresa debe contar con una normativa específica que recoja todas las medidas necesarias para proteger el puesto de trabajo, revisando periódicamente su cumplimiento y modificándola si hubiera cambios que la afecten por ejemplo si se cambian los equipos o los sistemas o se adoptan nuevos servicios. 

    • También se dará a conocer a los empleados otras políticas relativas a los equipos o servicios que utilicen en su desempeño: correo electrónico, almacenamiento, etc. 

  • Destrucción avanzada de documentación mediante mecanismos seguros. La información obsoleta se destruirá de forma segura según la Política de borrado seguro y gestión de soportes [2]. En particular: 

    • mediante destructoras de papel al servicio de los empleados; 

    • contratando un servicio externo de destrucción segura, notificando a los empleados de su existencia y obligación de uso; 

    • dando a conocer los riesgos asociados a la utilización de papeleras para documentos sensibles (datos personales, información financiera, etc.). 

  • Bloqueo programado de sesión. El personal informático programará un bloqueo automático de sesión en los equipos al no detectarse actividad del usuario en un corto periodo de tiempo. Adicionalmente se puede contemplar llevar a cabo la programación del apagado general de equipos una vez terminada la actividad empresarial. 

  • Sistema operativo actualizado. El personal responsable de los sistemas aplicará la Política de actualizaciones de software revisando los equipos periódicamente para garantizar su actualización o activando las actualizaciones automáticas. 

  • Antivirus actualizado y activo. El personal responsable de los sistemas aplicará la Política antimalware que incluya la instalación y actualización de herramientas antimalware en todos los equipos y sistemas, y su revisión periódica de manera que se garantice la protección antimalware. 

  • Deshabilitar por defecto los puertos USB. El personal responsable de los sistemas deshabilitará por defecto los puertos USB de todos los equipos y los habilitará para aquellos usuarios que necesiten, de forma justificada y debidamente autorizada, dicha funcionalidad. 

  • Seguridad de impresoras y equipos auxiliares de oficina. El personal responsable verificará que las impresoras y otros equipos conectados a la red o que puedan contener información de la empresa están incluidos en las Políticas de seguridad: 

    • estarán dentro del perímetro del cortafuegos

    • se accederá a su panel de configuración mediante contraseña y por canales cifrados; 

    • si tienen wifi se ha de configurar su seguridad; 

    • si tienen discos duros se revisarán las Políticas de almacenamiento  

    • si tienen conectores USB se deshabilitarán; 

También si fuera posible, se dispondrá de mecanismos de impresión segura (con contraseña) en las impresoras.

  • Uso de los medios de almacenamiento. Para que el empleado haga un uso correcto de los dispositivos de almacenamiento disponibles, debe conocer y aplicar la normativa corporativa relativa al almacenamiento local en el equipo de trabajo, almacenamiento en la red corporativa, en la nube y en los dispositivos extraíbles. 

  • Prohibición de alteración de la configuración del equipo e instalación de aplicaciones no autorizadas. Es un riesgo que el empleado cambie la configuración del equipo o instale las aplicaciones que considere necesarias. Esta modificación podría tener consecuencias de infección de equipos y por lo tanto de pérdida de información. Si el empleado requiere una configuración o software específico para el desempeño de su trabajo, deberá solicitarlo formalmente al equipo informático. 

  • Política de mesas limpias. Conocemos como política de mesas limpias la obligación de guardar la documentación de trabajo al ausentarse del puesto de trabajo y al terminar la jornada laboral. No se debe dejar información sensible a la vista de personas que pudieran hacer un uso indebido de la misma. El cumplimiento de esta política conlleva: 

    • mantener el puesto de trabajo limpio y ordenado; 

    • guardar la documentación y los dispositivos extraíbles que no están siendo usados en ese momento, y especialmente al ausentarnos del puesto o al fin de la jornada laboral; 

    • no apuntar usuarios ni contraseñas en post-it o similares. 

  • Destrucción básica de documentación mediante mecanismos seguros. Todo el personal debe utilizar las destructoras de papel para eliminar la información confidencial. 

  • No abandonar documentación sensible en impresoras o escáneres. Para evitar que la información acabe en manos no deseadas el usuario debe: 

    • recoger inmediatamente aquellos documentos enviados a imprimir; 

    • guardar la documentación una vez escaneada; 

    • utilizar los mecanismos de impresión segura si los hubiera. 

  • No revelar información a usuarios no debidamente identificados. La información es uno de los activos empresariales más cotizados. Por este motivo es posible que alguien intente obtener parte de esta información (contraseñas de usuario, información de cuentas bancarias, etc.) engañando a un empleado. Esta práctica se conoce como ingeniería social.  

Los delincuentes se hacen pasar por algún responsable, persona o empresa conocida para que el empleado se confíe y facilite la información que le solicitan empleando para ello una llamada telefónica, el correo electrónico, las redes sociales o mensajes del tipo SMS o Whatsapp.

  • Obligación de confidencialidad. El empleado debe aceptar un compromiso de confidencialidad relativo a cualquier información a la que tenga acceso durante su participación laboral en la empresa. La obligación de confidencialidad tendrá validez todo el tiempo que se haya exigido en el contrato laboral. La información debe protegerse aun cuando el empleado ya no forma parte de la empresa. 

  • Uso de las contraseñas. El usuario debe seguir la Política de contraseñas: 

    • las credenciales (usuario y contraseña) son confidenciales y no pueden ser publicadas ni compartidas; 

    • no deben anotarse las credenciales en documentos ni en cualquier otro tipo de soporte; 

    • las contraseñas deben ser robustas: al menos 8 caracteres incluyendo mayúsculas, minúsculas, números y caracteres especiales (!, @, +, ], ?, etc.); 

    • se deben cambiar periódicamente. 

  • Obligación de bloqueo de sesión y apagado de equipo. Para evitar el acceso indebido o por personal no autorizado al equipo del puesto de trabajo: 

    • el empleado deberá bloquearlo cada vez que se ausente de su puesto; 

    • el empleado apagará su equipo al finalizar la jornada laboral.  

  • Uso adecuado de Internet El empleado debe conocer, aceptar y aplicar la normativa que regula el uso de Internet como herramienta de trabajo con los usos permitidos y prohibidos. También seguirá las recomendaciones de seguridad relativas a la navegación por internet como: 

    • verificar que las direcciones (URL) de destino son correctas; 

    • verificar que el certificado es válido, cuando se trate de conexiones a entornos seguros (webmail, extranet, etc.) o realicemos transacciones; 

    • comprobar que se cumple el protocolo https:// en las páginas donde trabajemos con información crítica. 

  • Uso de portátiles y dispositivos móviles propiedad de la empresa. El empleado debe conocer, aceptar (con su firma) y aplicar la Política de uso de dispositivos móviles de la empresa.  

  • Cifrado de la información confidencial. El empleado debe conocer, aceptar (con su firma) y aplicar la Política de uso de tecnologías criptográficas y la Política de clasificación de información que indica qué información debe ser cifrada. 

  • Obligación de notificar incidentes de seguridad. El empleado debe advertir de cualquier incidente relacionado con su puesto de trabajo: 

    • alertas de virus/malware generadas por el antivirus

    • llamadas sospechosas recibidas pidiendo información sensible

    • correos electrónicos que contengan virus

    • pérdida de dispositivos móviles (portátiles, smartphones o tabletas) y dispositivos externos de almacenamiento (USB, CD/DVD, etc.); 

    • borrado accidental de información; 

    • alteración accidental de datos o registros en las aplicaciones con información crítica; 

    • comportamientos anómalos de los sistemas de información; 

    • hallazgo de información en ubicaciones no designadas para ello; 

    • evidencia o sospecha de acceso físico de personal no autorizado, a áreas de acceso restringido (CPD, despachos, almacenes,…); 

    • evidencia o sospecha de accesos no autorizados a sistemas informáticos o información confidencial por parte de terceros; 

    • cualquier actividad sospechosa que pueda detectar en su puesto de trabajo. 

 

¡¡¡ NO TE LA JUEGUES !!!

La máxima seguridad es tu comprensión de la realidad

Suscríbase

¡No te pierdas nuestras futuras actualizaciones! ¡Suscríbase hoy!

©2024 DEFENSA DIGITAL.Todos los derechos reservados.