Las 12+1 medidas de carácter organizativo que Ricardo implantó en su asesoría

Ricardo no quería problemas de seguridad en su asesoría fiscal, pero tampoco quería gastarse un dineral en productos y servicios para «amurallar» su empresa que fueran desproporcionados. ¿Qué podía hacer? ¿Por dónde tendría que empezar? Cuando comenzaron a analizar la empresa con su proveedor de tecnología habitual y un asesor en ciberseguridad empezaron a ver a través del diseño de un plan director de seguridad cuales eran las medidas organizativas de seguridad adecuadas y proporcionales a sus necesidades y estrategia empresarial.

Tras un primer análisis vieron que un porcentaje muy elevado de los agujeros de seguridad que sufría su empresa se debían a unas medidas de protección del puesto de trabajo insuficientes o ineficaces. El ser humano es confiado y descuidado por naturaleza, un paseo por las oficinas junto con el equipo que le asesoraba le hizo ver como los empleados (y el mismo) habían descuidado algunas medidas: tenía el ordenador desbloqueado o dejaban sus contraseñas a la vista de todo el mundo.

Por esta razón Ricardo, comenzó a tomar medidas e implantar una serie de medidas regulatorias en temas de protección del puesto de trabajo, para que sus empleados tuvieran claro las limitaciones en su quehacer diario.

Las 12 medidas de seguridad que Ricardo definió

Dentro de la política de seguridad que Ricardo implantó en su organización se incluyeron una serie de normativas con obligaciones y buenas prácticas en relación con la ciberseguridad. Entre ellas comunicó a su empresa las siguientes:

1 – Debe ser obligatorio mantener la confidencialidad sobre toda información confidencial como de carácter personal a la que el empleado tenga acceso durante su trabajo en la empresa, de manera indefinida. Aunque realmente esto era conocido, falta el punto de formalización. Por tanto, todos los empleados firmarán un acuerdo de confidencialidad de la información.

2 – Es obligatorio notificar cualquier incidente de seguridad relacionado con el puesto de trabajo, ya sea en la propia empresa o en el exterior (Alertas de virus/malware, llamadas sospechosas, correos electrónicos maliciosos, pérdida de dispositivos móviles, cualquier actividad sospechosa detectada, borrado accidental de ficheros, comportamientos anómalos de los sistemas de información, sospecha de acceso físico de personal no autorizado, etc.). Se deberá notificar a un superior y el procedimiento de notificación queda descrito en la propia normativa.

3 – Está prohibido publicar o compartir contraseñas. Las claves son elementos confidenciales, personales e intransferibles y deben permanecer en secreto, ya que sólo así se puede garantizar la confidencialidad y trazabilidad de las acciones. Por tanto, no deben compartirse ni apuntarse en documentos ni en cualquier otro tipo de soporte. En caso de que sea necesario acceder al equipo de un compañero para poder seguir con su trabajo cuando éste se encuentre ausente, pueden emplearse medidas alternativas que pueden solicitarse a nuestro proveedor de Informática.

4 – Es obligatorio bloquear la sesión al ausentarse del puesto de trabajo. Dejar un equipo sin protección durante el almuerzo, la comida, o por la noche, es equivalente a no utilizar contraseña de acceso. Todo usuario deberá de bloquear su equipo cuando se ausente de su puesto.

Además, nuestro proveedor de informática ha establecido una serie de medidas para que el equipo se quede bloqueado automáticamente tras un tiempo sin actividad en el equipo.

5.- El uso de servicios «en la nube» deberá estar limitado. Este tipo de servicios son muy útiles para almacenar copias de la información corporativa, facilitar el trabajo en equipo y permitir el trabajo desde fuera de la oficina. Son actualmente una gran herramienta de trabajo, pero para hacer un uso de este tipo de servicios sin riesgos innecesarios, debemos poner ciertos criterios y normas, como son:

Usar únicamente usuarios corporativos creados y controlados por la empresa y centralizar en la figura del responsable de informática la creación de usuarios corporativos de servicios en la nube..”

Utilizar algún mecanismo de cifrado antes de subir la información de la organización. Se puede consultar al proveedor de informática que mecanismo usar y cómo usarlo.

Que el uso de este tipo de servicios venga autorizado por Ricardo.

6 – Se exigirá realizar un uso adecuado de los medios de almacenamiento extraíble. La utilización de pendrives y discos duros externos es una práctica habitual por parte de todos que conlleva un alto riesgo de pérdida y robo de información. Existen diversos mecanismos para reducir la necesidad de este tipo de soportes y garantizar así la seguridad de la información.

Por este motivo, pasaremos a utilizar repositorios comunes para el intercambio de información o hacer uso de los servicios en la nube. En caso de que sea necesaria la utilización de dispositivos extraíbles, se fijarán mecanismos de cifrado que impidan el acceso a la información en caso de pérdida. Hemos deshabilitado por defecto los puertos USB y sólo lo hemos habilitado para el personal que necesite dicha funcionalidad de manera periódica.

7 – Está prohibida la alteración de la configuración del equipo así como la instalación de aplicaciones no autorizadas. Por esta razón, el proveedor de informática ha bloqueado este tipo de actividades tanto en ordenadores de sobremesa como en smartphones, tabletas e incluso portátiles.

En caso de ser necesaria la instalación de una aplicación o modificar la configuración original del equipo, ésta debe ser solicitada a nuestro proveedor con la autorización de un superior.

8 – Será obligatorio respetar una política de mesas limpias, es decir, guardar toda la documentación al ausentarse del puesto de trabajo y al terminar la jornada laboral. Además, durante ausencias prolongadas, toda la documentación que se haya gestionado debe guardarse de manera adecuada.

De esta manera evitaremos miradas indiscretas que puedan derivar en una fuga de información, además del robo de documentos que pueden contener información confidencial y daremos una buena imagen.

9 – Será obligatoriodestruir la documentación que no se vaya a utilizar más mediante mecanismos seguros. Para ello, se han puesto a vuestra disposición destructoras de papel, y se ha contratado un servicio de destrucción segura bajo demanda para casos especiales.

En nuestra entidad manejamos documentos sensibles, como datos personales, información financiera, etc. si nos los destruimos adecuadamente y los tiramos a la papelera cualquier persona podría acceder a los mismos sin dificultad.

10 – Será obligatorio no abandonar documentación en las impresoras o escáneres.

Es frecuente que se envíen documentos a la impresora y se recojan más tarde, o que lo imprimamos a través de la impresora de otro departamento, por cuestiones técnicas, mayor calidad o funcionalidades especiales. Durante ese tiempo la documentación permanece a disposición de otros usuarios, que pueden recogerla accidental o intencionadamente. Debemos de evitar que esa documentación quede expuesta durante mucho tiempo.

11 – Se establece una normativa de utilización de Internet y el correo electrónico corporativo. Internet y el correo electrónico deben utilizarse de manera responsable y para la actividad laboral. Se tomarán medidas en caso de detectarse mala fe.

12 – Se establece una normativa para la utilización de dispositivos móviles personales (lo que comúnmente se conoce como BYOD: Bring Your Own Device). Los dispositivos móviles personales utilizados para acceder a recursos de la empresa deben disponer de medidas de seguridad y configuraciones específicas de acuerdo a las medidas de seguridad que os haremos llegar durante los próximos días y que serán aplicadas por nuestro proveedor.

La medida 12+1 que Ricardo priorizó

Ricardo no es que fuera supersticioso, pero sí que creía que había una medida por encima de todas: la concienciación en materia de ciberseguridad de todos los empleados. Con el objetivo de conseguir que los empleados interioricen la necesidad de unas prácticas de trabajo seguras, llevará a cabo programas periódicos de concienciacióncon un enfoque práctico. De esta forma podrá reforzar los principales elementos de la política y normativas de seguridad.

Pero será necesario siempre hacerlo de manera continua analizando los aspectos que haya que ir mejorando y reforzando entre los empleados. Incluso incorporando nuevos aspectos a medida que la organización vaya evolucionando.

Cierre

Las normativas y buenas prácticas son un pilar básico cuando de seguridad de la información se trata, pero Ricardo se dio cuenta que si esto no viene acompañado de acciones de concienciación no tiene la misma efectividad. Por este motivo Ricardo informó a los empleados de la existencia de estas normativas junto con un programa de concienciación.

El eslabón más importante son siempre los empleados y a ellos iban dirigidas las normativas que Ricardo aplicó en su empresa.

Con la implantación de estas medidas, la potenciación de la concienciación de los empleados y la adquisición de medidas tecnológicas puntuales, Ricardo implantó medidas proporcionales y adecuadas en su empresa. Le han permitido dar un primer gran paso en la mejora de la ciberseguridad de su empresa.

Y en tu empresa ¿te falta alguna?