Es un hecho incuestionable que ninguna organización, sea grande o pequeña, está exenta de sufrir en cualquier momento un incidente de seguridad que pueda llevar consigo desde pérdidas económicas hasta daño reputacional, incluso a veces la necesidad de cerrar la compañía. Y, obviamente, con el creciente uso de las nuevas tecnologías esta posibilidad se ha acentuado.
La experiencia dictamina que la mayoría de estos incidentes se deben al error humano, razón por la que se hace absolutamente indispensable la concienciación de todo el personal de las organizaciones sobre los riesgos asociados al empleo de los dispositivos y soluciones tecnológicas, y también sobre el manejo de los soportes no automatizados, en la medida en que el usuario es el eslabón más débil de la seguridad, y ya se sabe el dicho: “una cadena es tan fuerte como lo sea éste”. Conociendo esto, es fácil comprender la importancia de proteger el puesto de trabajo, para que todos los empleados de una entidad puedan desempeñar su actividad de manera segura.
El puesto de trabajo lo componen tanto los elementos tecnológicos asimilados al mismo, véase ordenadores, impresoras, pantallas, software, etc., como los soportes no automatizados (documentación en papel). Los elementos tecnológicos se protegen mediante el empleo de antivirus y cortafuegos. Pero estas herramientas, por si solas, no son suficientes. Por ello, lo ideal es unir su uso con una serie de buenas prácticas, al objeto de conseguir una organización segura, donde la información esté protegida.
¿Cómo gestionar la información de forma segura?
Para gestionar la información de forma segura se debe concienciar y formar a los empleados acerca de las medidas que pueden (y deben) llevar a cabo, algunas de las cuales destacamos a continuación:
- Control de contraseñas. Se deben emplear contraseñas personales e intransferibles, que sean difíciles de adivinar, que se cambien con cierta periodicidad y que no se apunten en ningún lugar ni se compartan con compañeros, algo no poco habitual y nada recomendable.
- Bloqueo de los ordenadores ante cualquier ausencia del puesto de trabajo, para evitar accesos no autorizados a los mismos. En la misma línea, es preciso ubicar las pantallas de los equipos de manera que no sean accesibles o visibles por usuarios ajenos a la organización de manera sencilla.
- Guardado bajo llave de toda la documentación y soportes que contengan información cuando no se esté trabajando con ellos, restringiendo el acceso a los mismos al personal autorizado por la organización. Su archivo se deberá llevar a cabo conforme a los criterios establecidos por la empresa, pero siempre garantizando la correcta conservación, localización y consulta de la información, de manera que se facilite el ejercicio de los derechos reconocidos en el RGPD, sí es el caso.
- Política de mesas limpias. Se deben usar entornos de trabajo despejados y si se va a atender a personas ajenas a la organización, la documentación con la que se esté trabajando debe, o bien ser guardada en cajones o archivadores, o bien ser volteada a fin de impedir la visualización por esas personas.
- Retirada inmediata de la documentación enviada a las impresoras y/o fotocopiadoras.
- Destrucción segura de información. Una vez finalizan los plazos de conservación definidos por la legislación aplicable o la política interna de la organización, la información debe destruirse. Para ello hay que seguir siempre una premisa básica, y es que bajo ninguna circunstancia se debe realizar la destrucción de forma manual. Por ello, la organización debe pautar un procedimiento de destrucción segura, bien sea mediante el empleo de destructoras de papel o mediante la contratación de una empresa especializada al efecto. En este sentido es interesante el Procedimiento PS-00054-2021, por el que se sanciona con multa de 3.000 € a una entidad por haber abandonado en un descampado de un polígono sobres con contenido médico confidencial, sin haber procedido previamente a la destrucción segura de los mismos.
- Cifrado de correos electrónicos que impliquen envío de datos personales sensibles (por ejemplo, remesas bancarias, nóminas, envío de facturas de clientes, informes médicos, datos de menores, etc.).
- Respeto de la confidencialidad en el envío de comunicaciones electrónicas. Se deben evitar el envío masivo de e-mails con copia abierta (ejemplo de ello es el Procedimiento PS-00104-2022, en que se sanciona por ello a una entidad con 9.000 €, al revelar direcciones de todos los receptores) y la inclusión en grupos de usuarios de aplicaciones de mensajería instantánea sin consentimiento (para muestra el Procedimiento PS-00260-2021, por el que se multa a un club deportivo con 4.000 € por incurrir en varias infracciones del RGPD al agregar el número teléfono de una antigua usuaria a un grupo de WhatsApp sin contar con su consentimiento). Tampoco se deben publicar imágenes de personas en RRSS o páginas web sin consentimiento (PS-00119-2021, por el que se desestima recurso de reposición interpuesto por una entidad que había sido sancionada con multa de 9.000 € por publicar fotos en RRSS sin el consentimiento de los usuarios y no proceder a su eliminación inmediata tras la solicitud de estos).
- Empleo de software autorizado y legal en el ámbito de la organización, debiéndose establecer esta obligación en la política de uso de los sistemas.
- Actualización periódica de todas las herramientas y sistemas utilizados a fin de “tapar” los agujeros de seguridad del software y evitar el acceso no autorizado a ciberdelincuentes.
Algunas consideraciones a tener en cuenta para evitar ataques basados en Ingeniería Social
Estos ataques basados en el engaño o manipulación del usuario para que revele información confidencial son una muestra clara de la importancia de una buena concienciación, ya que de ella dependerá en gran medida que el usuario sea capaz de identificarlos y así poder prevenirlos. Algunas pautas muy básicas que pueden ayudar a facilitar su identificación son las siguientes:
- Los bancos y las empresas de servicios nunca piden directamente datos confidenciales.
- Nunca se deben instalar programas de origen desconocido.
- Se debe comprobar la URL de la web en la que se navega, revisando sus avisos legales y si dispone de un certificado digital confiable.
- Se debe acceder directamente a la web y no pinchar sobre enlaces sospechosos.
- Al acceder al correo electrónico se debe revisar que la dirección del remitente es legítima y se debe desconfiar de los correos genéricos.
Todas estas medidas, y otras no menos importantes que posiblemente hayan quedado en el tintero, pueden constituir mecanismos muy eficaces para mantener la seguridad de cualquier organización, evitando dañar la operativa e imagen de la misma. Por ello, no esperes a que llegue el incidente y anticípate a él. Conciencia a tus empleados y dótalos de los mecanismos necesarios para que entre todos podáis construir una organización más segura. Si tienes alguna duda, en Softwariza3 disponemos de un equipo de consultores especializados en Derecho TIC con amplia experiencia. Contacta con nosotros y estaremos encantados de ayudarte.