En el seno de toda organización es común que haya una serie de protocolos sobre cómo los empleados deben utilizar los recursos de la empresa para realizar su trabajo. Con la información, los soportes y los dispositivos electrónicos no es diferente. Todos tenemos que conocer estas buenas prácticas y aplicarlas para cuidar de los recursos y proteger los intereses de la empresa.
1. DOCUMENTACIÓN SENSIBLE
Debido a la actividad de nuestra empresa es común que en ciertas situaciones algunos empleados hagan uso de información sensible, por ejemplo datos de facturación, nóminas, estrategias o ideas de nuevos productos o servicios. Por ello, gestionar esta información, de manera adecuada, es imprescindible, ya que un acceso no autorizado a la misma puede suponer un grave perjuicio para la organización.
Como ya se indicó en el recurso formativo anterior, cuando este tipo de documentación se encuentra en formato físico, debe quedar guardada en un lugar seguro al finalizar la jornada laboral. Pero, ya se encuentre en formato digital o en formatos tradicionales, únicamente debe estar accesible para el personal autorizado, bien sea por medio de permisos de usuario o por cualquier otro método que evite miradas indiscretas.
En ciertas ocasiones, bien sea por descuido o por olvido esta documentación sensible puede quedar abandonada en las impresoras y escáneres de la empresa. El usuario ha de prestar especial atención cuando se utiliza este tipo de dispositivos.
El almacenamiento de documentación también puede estar externalizado en un proveedor dedicado a la custodia documental. En el caso de que exista este servicio se ha de establecer un acuerdo de confidencialidad y se comprobará que la información está correctamente custodiada.
La destrucción de la información al terminar su ciclo de vida también es un proceso crítico, que si no se realiza correctamente puede derivar en una fuga de información. Cuando se destruye información que contiene datos sensibles o confidenciales, debe hacerse de forma segura utilizando destructoras de papel o por medio de empresas especializadas que ofrezcan garantías.
2. CONTRATO DE CONFIDENCIALIDAD
En muchas ocasiones, bien sea por la necesidad de externalizar servicios o por proteger la información de la empresa, el empresario tiene que establecer acuerdos de confidencialidad. Como empresa contratada, colaborador o empleado tendremos que firmar estos acuerdos si vamos a tratar información confidencial. Este tipo de acuerdos sentarán las bases de la relación que se establecerá entre ambas partes fijando los compromisos que se adquieren mutuamente.
Si en la empresa se trata información cuya confidencialidad debe estar garantizada, se han de incluir varias cláusulas en los contratos como:
► Indicar qué información se considera confidencial y por lo tanto está protegida por el acuerdo.
► Fijar la duración de la relación de confidencialidad, que generalmente será superior al tiempo de prestación del servicio.
► En caso de ser necesario, se indicará la jurisdicción legal a la que se acoge cada una de las partes.
3. USO ADECUADO DE INTERNET Y SISTEMAS OPERATIVOS
Los dispositivos y recursos que la empresa ofrece están pensados para que sean utilizados para los fines de la organización. Por tanto, no deben ser usados para cuestiones personales o en circunstancias que puedan afectar a la seguridad de la empresa.
Internet ofrece multitud de recursos que pueden ser aprovechados por los usuarios para usos no profesionales en su tiempo o lugar de trabajo o desde sus dispositivos profesionales, pero estos usos también esconden riesgos. Acceder a sitios de dudosa legitimidad como webs de descargas, juego, adultos, etc., no es un uso lícito de los recursos empresariales, pues no solo disminuye la eficiencia de estos recursos y puede ocasionar gastos innecesarios sino que puede acarrear daños irreparables para la empresa. Muchos de esos sitios pueden no ser seguros o contar con publicidad que puede llevar a situaciones de confusión, resultando en un incidente de seguridad, como una infección por malware dispositivo o de toda la red.
Al igual que sucede con Internet, los recursos de la empresa como impresoras, escáneres, ordenadores, teléfonos, etc., deben ser tratados solamente para tareas empresariales y no ser alterados si no estamos autorizados para ello.
4. SOFTWARE LEGÍTIMO
Las normas de protección de la propiedad intelectual obligan a las empresas a usar en todo momento software legal. El uso de «programas pirata» o adquiridos de forma fraudulenta podría conllevar sanciones económicas y penales, nunca se debe instalar software sin licencia en ningún dispositivo de la empresa.
Además, por norma general, instalarsoftware ilegal puede terminar en una infección por malware del equipo, bien sea por los anuncios de las web de descargas, porque el programa ha sido modificado añadiendo código malicioso; o porque se requiere de un crack para que funcione, que también podrá estar infectado.
5. CÓMO Y CUÁNDO REPORTAR UN INCIDENTE DE SEGURIDAD
Si sufrimos un incidente que pudiera afectar a la seguridad de la empresa, el primer paso que tenemos que dar es analizar qué ha pasado. De esta manera, conociendo el tipo de incidente se podrá medir más eficazmente la repercusión en la organización y cómo actuar. Una clasificación posible de los incidentes es la siguiente:
► Acceso no autorizado a sistemas o información, como en el caso de robo de un dispositivo o de las credenciales de acceso.
► Denegaciones de servicio, en las cuales el incidente impide el correcto funcionamiento de un recurso, como por ejemplo la página web de la empresa.
► Infección por malware.
► Robo de información de la empresa.
Una vez conozcamos qué ha pasado, lo siguiente que tenemos que hacer es avisar a los miembros de la empresa que deban de estar en conocimiento de lo sucedido. Por ejemplo si hay fuga de información de carácter personal, lo pondremos en conocimiento del responsable que deba comunicarlo a los afectados y a la Agencia Española de Protección de Datos.
Por último, en caso de que el incidente suponga un delito (falsificación, injurias y calumnias, daños de propiedad intelectual, sabotaje, piratería, estafa, robo de identidad, etc.) es recomendable interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado aportando toda la información que se pueda de lo sucedido.
6. USO SEGURO DE DISPOSITIVOS DE ALMACENAMIENTO EXTRAÍBLES
Los dispositivos de almacenamiento extraíbles como memorias USB, discos duros portátiles, tarjetas de memoria, CD, etc., permiten una transferencia rápida y directa de información. Hoy en día son muy utilizados, por ello tenemos que minimizar las situaciones de riesgo como robo, manipulación, extravío e infección por virus.
En primer lugar, si su uso está permitido en la empresa, en caso de que así sea, debemos saber en qué situaciones se pueden utilizar y qué información se puede llevar en estos dispositivos. Una buena práctica cuando se necesita almacenar en estos dispositivos información sensible o confidencial consiste en cifrar la información. También tendremos que estar atentos ante cualquier incidente como robo o pérdida de dispositivos con este tipo de información para informar de forma inmediata al responsable.
Otro aspecto importante es asegurarse de que la información que contienen los dispositivos que vamos a desechar o reutilizar, una vez es borrada, no vuelva a ser accesible, para ello se utilizarán métodos seguros de borrado y destrucción de soportes.
Índice
1. Buenas Prácticas
En el seno de toda organización es común que haya una serie de protocolos sobre cómo los empleados deben utilizar los recursos de la empresa para realizar su trabajo. Con la información, los soportes y los dispositivos electrónicos no es diferente. Todos tenemos que conocer estas buenas prácticas y aplicarlas para cuidar de los recursos y proteger los intereses de la empresa.
1. DOCUMENTACIÓN SENSIBLE
Debido a la actividad de nuestra empresa es común que en ciertas situaciones algunos empleados hagan uso de información sensible, por ejemplo datos de facturación, nóminas, estrategias o ideas de nuevos productos o servicios. Por ello, gestionar esta información, de manera adecuada, es imprescindible, ya que un acceso no autorizado a la misma puede suponer un grave perjuicio para la organización.
Como ya se indicó en el recurso formativo anterior, cuando este tipo de documentación se encuentra en formato físico, debe quedar guardada en un lugar seguro al finalizar la jornada laboral. Pero, ya se encuentre en formato digital o en formatos tradicionales, únicamente debe estar accesible para el personal autorizado, bien sea por medio de permisos de usuario o por cualquier otro método que evite miradas indiscretas.
En ciertas ocasiones, bien sea por descuido o por olvido esta documentación sensible puede quedar abandonada en las impresoras y escáneres de la empresa. El usuario ha de prestar especial atención cuando se utiliza este tipo de dispositivos.
El almacenamiento de documentación también puede estar externalizado en un proveedor dedicado a la custodia documental. En el caso de que exista este servicio se ha de establecer un acuerdo de confidencialidad y se comprobará que la información está correctamente custodiada.
La destrucción de la información al terminar su ciclo de vida también es un proceso crítico, que si no se realiza correctamente puede derivar en una fuga de información. Cuando se destruye información que contiene datos sensibles o confidenciales, debe hacerse de forma segura utilizando destructoras de papel o por medio de empresas especializadas que ofrezcan garantías.
2. CONTRATO DE CONFIDENCIALIDAD
En muchas ocasiones, bien sea por la necesidad de externalizar servicios o por proteger la información de la empresa, el empresario tiene que establecer acuerdos de confidencialidad. Como empresa contratada, colaborador o empleado tendremos que firmar estos acuerdos si vamos a tratar información confidencial. Este tipo de acuerdos sentarán las bases de la relación que se establecerá entre ambas partes fijando los compromisos que se adquieren mutuamente.
Si en la empresa se trata información cuya confidencialidad debe estar garantizada, se han de incluir varias cláusulas en los contratos como:
► Indicar qué información se considera confidencial y por lo tanto está protegida por el acuerdo.
► Fijar la duración de la relación de confidencialidad, que generalmente será superior al tiempo de prestación del servicio.
► En caso de ser necesario, se indicará la jurisdicción legal a la que se acoge cada una de las partes.
3. USO ADECUADO DE INTERNET Y SISTEMAS OPERATIVOS
Los dispositivos y recursos que la empresa ofrece están pensados para que sean utilizados para los fines de la organización. Por tanto, no deben ser usados para cuestiones personales o en circunstancias que puedan afectar a la seguridad de la empresa.
Internet ofrece multitud de recursos que pueden ser aprovechados por los usuarios para usos no profesionales en su tiempo o lugar de trabajo o desde sus dispositivos profesionales, pero estos usos también esconden riesgos. Acceder a sitios de dudosa legitimidad como webs de descargas, juego, adultos, etc., no es un uso lícito de los recursos empresariales, pues no solo disminuye la eficiencia de estos recursos y puede ocasionar gastos innecesarios sino que puede acarrear daños irreparables para la empresa. Muchos de esos sitios pueden no ser seguros o contar con publicidad que puede llevar a situaciones de confusión, resultando en un incidente de seguridad, como una infección por malware dispositivo o de toda la red.
Al igual que sucede con Internet, los recursos de la empresa como impresoras, escáneres, ordenadores, teléfonos, etc., deben ser tratados solamente para tareas empresariales y no ser alterados si no estamos autorizados para ello.
4. SOFTWARE LEGÍTIMO
Las normas de protección de la propiedad intelectual obligan a las empresas a usar en todo momento software legal. El uso de «programas pirata» o adquiridos de forma fraudulenta podría conllevar sanciones económicas y penales, nunca se debe instalar software sin licencia en ningún dispositivo de la empresa.
Además, por norma general, instalar software ilegal puede terminar en una infección por malware del equipo, bien sea por los anuncios de las web de descargas, porque el programa ha sido modificado añadiendo código malicioso; o porque se requiere de un crack para que funcione, que también podrá estar infectado.
5. CÓMO Y CUÁNDO REPORTAR UN INCIDENTE DE SEGURIDAD
Si sufrimos un incidente que pudiera afectar a la seguridad de la empresa, el primer paso que tenemos que dar es analizar qué ha pasado. De esta manera, conociendo el tipo de incidente se podrá medir más eficazmente la repercusión en la organización y cómo actuar. Una clasificación posible de los incidentes es la siguiente:
► Acceso no autorizado a sistemas o información, como en el caso de robo de un dispositivo o de las credenciales de acceso.
► Denegaciones de servicio, en las cuales el incidente impide el correcto funcionamiento de un recurso, como por ejemplo la página web de la empresa.
► Infección por malware.
► Robo de información de la empresa.
Una vez conozcamos qué ha pasado, lo siguiente que tenemos que hacer es avisar a los miembros de la empresa que deban de estar en conocimiento de lo sucedido. Por ejemplo si hay fuga de información de carácter personal, lo pondremos en conocimiento del responsable que deba comunicarlo a los afectados y a la Agencia Española de Protección de Datos.
Por último, en caso de que el incidente suponga un delito (falsificación, injurias y calumnias, daños de propiedad intelectual, sabotaje, piratería, estafa, robo de identidad, etc.) es recomendable interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado aportando toda la información que se pueda de lo sucedido.
6. USO SEGURO DE DISPOSITIVOS DE ALMACENAMIENTO EXTRAÍBLES
Los dispositivos de almacenamiento extraíbles como memorias USB, discos duros portátiles, tarjetas de memoria, CD, etc., permiten una transferencia rápida y directa de información. Hoy en día son muy utilizados, por ello tenemos que minimizar las situaciones de riesgo como robo, manipulación, extravío e infección por virus.
En primer lugar, si su uso está permitido en la empresa, en caso de que así sea, debemos saber en qué situaciones se pueden utilizar y qué información se puede llevar en estos dispositivos. Una buena práctica cuando se necesita almacenar en estos dispositivos información sensible o confidencial consiste en cifrar la información. También tendremos que estar atentos ante cualquier incidente como robo o pérdida de dispositivos con este tipo de información para informar de forma inmediata al responsable.
Otro aspecto importante es asegurarse de que la información que contienen los dispositivos que vamos a desechar o reutilizar, una vez es borrada, no vuelva a ser accesible, para ello se utilizarán métodos seguros de borrado y destrucción de soportes.
Archivos adjuntos1
-
Add a note