En el día a día de cada empleado el puesto de trabajo toma especial relevancia desde el punto de vista de la ciberseguridad. El puesto de trabajo está constituido no solo por la ubicación física donde desarrollan sus funciones, sino también por una serie de elementos en los que el empleado se apoya para poder realizar sus tareas.
Parte de los elementos empleados en el puesto de trabajo guardan una relación directa con la seguridad de la información. De este modo, ordenadores (ya sea de sobremesa o portátiles), smartphones, tablets, dispositivos de almacenamiento extraíbles, impresoras, escáneres, sistemas de control industrial, herramientas informatizadas o archivos documentales, no dejan de ser potenciales repositorios de información, que probablemente sea de carácter confidencial o al menos de uso interno de la empresa. Todos estos elementos, como activos de información, tienen asociados unos riesgos de seguridad de la información. Riesgos que deben de mitigarse con la implantación de diferentes medidas de seguridad.
No obstante, a la hora de implantar medidas de seguridad en el puesto de trabajo, no solo hay que tener en cuenta medidas transversales para toda la organización. También se debe contemplar la casuística de cada perfil para implantar una serie de medidas que permitan reducir el riesgo al que se expone una organización.
En el día a día la mayoría de trabajadores hace uso de documentación que contiene información, de algún modo sensible. A menudo no somos conscientes de la importancia de preservar la confidencialidad de esta documentación.
Consejos fundamentales para evitar muchos males…
Descuidos como dejar la documentación accesible una vez terminada la jornada laboral puede suponer la fuga de información confidencial. Una vez finalizada la jornada laboral, o al ausentarse prolongadamente del puesto de trabajo, se deben habilitar medidas para que los empleados puedan almacenar de modo seguro la documentación.
La contraseña empleada para acceder a los sistemas de información, además de ser una medida de protección, es la señal de identidad que permite tener una trazabilidad de la actividad de los empleados. Poner a la vista o compartir la contraseña de un usuario, permite el acceso de personal no autorizado a los sistemas de información de la compañía, además de suponer la suplantación de la identidad del propio usuario, ya que las acciones perpetradas con esta cuenta serán asociadas al propietario del usuario. Se deberá definir una normativa que recoja la prohibición de compartir contraseñas, así como establecer la responsabilidad del usuario de mantener la confidencialidad de las mismas. A su vez, se deberá implantar una política de contraseñas robusta.
El uso de dispositivos de almacenamiento extraíbles personales supone la pérdida del control de la organización sobre su información, y puede suponer un alto riesgo por infección de virus si no se dispone de las medidas adecuadas. Muchos empleados hacen uso de dispositivos personales de almacenamiento extraíbles para poder llevarse información a su hogar y terminar tareas pendientes. No aplicar medidas de seguridad oportunas sobre estos dispositivos, puede implicar una posible fuga de información ante una posible pérdida o robo del dispositivo. La organización debe limitar, o al menos controlar, el uso de dispositivos de almacenamiento extraíble proporcionando dispositivos que dispongan de medidas de cifrado para limitar el riesgo en caso de pérdida o robo del soporte. Por otra parte se deberá configurar el antivirus para que analice los dispositivos conectados.
Estos casos son solo una muestra de las amenazas de seguridad de la información que se ciernen sobre los puestos de trabajo. Proteger el puesto de trabajo, debe encontrarse entre los objetivos de seguridad de toda organización y para esto deberá apoyarse en tres pilares básicos:
- Definir una política de puestos de trabajo despejados y mesas limpias.
- Fomentar un adecuado nivel de concienciación entre los empleados de la organización en el ámbito de la seguridad de la información.
- Implantar medidas técnicas que soporten y complementen estas políticas y normativas.
Pero cuando hablamos de seguridad debemos tener en cuenta que no siempre será lo más cómodo o lo más ágil. Hay que saber encontrar el equilibrio en nuestras organizaciones, de manera que garanticemos la seguridad de la información de forma coherente (en función de la información que manejemos), adecuada (con medidas que sean funcionales y hayan sido contrastadas) y proporcional (sin que impida desarrollar el negocio de forma corriente).