La seguridad en una empresa adquiere cada vez más relevancia, ya que diariamente se identifican nuevas amenazas informáticas y vulnerabilidades. Por ello, proteger la información es una tarea que involucra a toda la empresa, puesto que todos los empleados interactúan con ella.
Un empleado tiene que saber que tiene la responsabilidad de utilizar adecuadamente todos los activos de la empresa y proteger aquellos que estén bajo su responsabilidad.
Todos los empleados deben cumplir las siguientes pautas:
Conocer y aceptar las normas de seguridad de la empresa.
Es muy importante identificar la información con la que se está trabajando para poder clasificarla y poder aplicar las políticas de la empresa en concepto de tratamiento de la información de forma correcta para evitar riesgos de fuga de información.
No compartir información de la empresa con otras entidades.
Para destruir documentos impresos o en formato digital se deben utilizar las herramientas adecuadas para realizar un borrado seguro de la información.
Mantener el escritorio limpio y bloquear la sesión cuando se encuentre desatendido es muy importante para no exponer la información privada a terceros no autorizados.
Las contraseñas son el principal método para la autenticación de usuarios en los sistemas y plataformas, por lo que los empleados suelen tener varias contraseñas para los distintos sistemas internos que utilicen. Por ello, es importante que la contraseña sea fuerte para evitar acceso a información confidencial o al sistema por parte de un atacante o un código malicioso. Entendemos como contraseñas débiles aquellas que no combinan letras, números, símbolos y mayúsculas y minúsculas como mínimo, y que son de menos de 10 caracteres. “Una contraseña segura tiene que ser fácil de recordar y difícil de adivinar”. En este sentido, es recomendable la utilización de un software para la gestión de contraseñas, así como el uso de diferentes claves para servicios corporativos distintos. Del mismo modo, soluciones de doble factor de autenticación reducen de manera considerable los riesgos de seguridad asociados a la forma de verificar la identidad de los usuarios.
El uso del correo electrónico corporativo supone someterse a una serie de normas de actuación para preservar su seguridad. Aunque la empresa tenga instaladas herramientas de seguridad, muchas veces, sin darnos cuenta, estamos exponiendo la integridad de nuestro correo a un riesgo innecesario al darnos de alta con él en redes sociales u otros servicios para un uso personal. Al hacerlo, no solo estaremos exponiendo nuestra dirección a riesgos, sino al envío de spam, newsletters (boletines) o incluso ataques de phishing que no hacen más que mermar la productividad. Por lo tanto, es recomendable seguir las indicaciones para preservar la seguridad del correo electrónico corporativo y no utilizarlo para fines personales.
Dispositivos móviles: El empleado debe ser consciente de que transportar información sensible en el móvil implica un riesgo, ya que puede convertirse en una vía para la fuga o robo de información. El móvil se debe utilizar solo con fines laborales y utilizar herramientas de control de dispositivos MDM (Mobile Device Management) que eviten la instalación de aplicaciones no permitidas, aplicar políticas de seguridad o realizar el borrado seguro de información de manera remota.
Redes sociales: No se debe utilizar las redes sociales personales en los dispositivos de la empresa. El Community Manager debe aplicar las medidas preventivas necesarias para evitar la fuga de información por estas vías: Seguir las normas en cuanto al lenguaje corporativo a aplicar y el tipo de información que puedes compartir. Cambiar la contraseña cada tres meses. Informar ante cualquier sospecha de que la cuenta haya sido secuestrada al departamento de informática.
Redes inalámbricas .- Si vas a utilizar redes wifi públicas debes utilizar VPN (Virtual Private Network o red privada virtual). De esta manera, cada vez que te conectes a la empresa, estarás navegando de forma segura y con la información protegida.
En caso de que se utilicen dispositivos de almacenamiento USB, siempre es necesario realizar un análisis de presencia de malware en el momento de insertarlos en el equipo (tanto en el corporativo como en el personal), así como utilizar medidas de seguridad adicionales, como el cifrado de datos.
Asimismo, las buenas prácticas incluyen acciones como:
Aplicar controles de seguridad tecnológicos, como antivirus, cortafuegos o antispam, de manera adecuada para mitigar los riesgos de incidentes.
Actualizar el software y aplicar parches de seguridad para evitar la explotación de vulnerabilidades.
Reportar inmediatamente eventos sospechosos o incidentes de seguridad que puedan comprometer la información sensible y otros activos críticos de la empresa.
Fuente: Blogs Protegerse
En INFORC ECUADOR contamos con una plataforma de capacitación y concienciación en Seguridad de la Información que genera hábitos seguros en los usuarios finales. Para lograrlo integra: Herramientas de Evaluación, Herramientas de Educación y refuerzo, Herramientas de auditoría y compliance, Herramientas de medición y Herramientas de calendarización.
Comments