Guia de seguridad digital del trabajador - ESET NOD32 Antivirus
26
www.eset.es
-
Upload
yolanda-ruiz-hervas -
Category
Education
-
view
1.752 -
download
0
description
Según una encuesta interna entre clientes de ESET España, las acciones de concienciación y educación en seguridad son necesarias para aumentar la protección de los activos de las compañías. Al menos, así lo manifiesta el 97% de los responsables de informática consultados, que confiesan tener planes puestos en marcha solo en un 34%. La rotación de personal, la falta de tiempo y de colaboración interna, entre otros, son algunos de los factores aludidos cuando se les pregunta por qué no llevan a cabo más actividades de este tipo. A esta situación se añade la de los trabajadores autónomos, que no están integrados en una estructura empresarial y que se gestionan su propia seguridad. Con el objetivo de ayudar a empresarios, responsables de informática y trabajadores, ya sean autónomos o por cuenta ajena, ESET España lanza gratuitamente la “Guía de seguridad del trabajador“. Un documento sencillo que reúne lo que se necesita saber para aumentar el nivel de seguridad digital y proteger mejor el activo más valioso: la información. Además, se pretende ayudar a las empresas a implementar planes específicos de educación ahorrándoles el tiempo de elaborar el material pertinente. La “Guía de seguridad del trabajador“ recorre todos los aspectos relacionados con la seguridad de la información en el entorno de trabajo, en el hogar y con proveedores de bienes y servicios. Además, hace especial hincapié en un uso responsable de smartphones y tablets, especialmente si estos son personales y se utilizan para el trabajo. Igualmente, se hacen recomendaciones sobre la conveniencia de seguir las políticas corporativas de seguridad y utilizar los recursos proporcionados por la empresa para un fin única y exclusivamente laboral. En cuanto a la utilización de los recursos de Internet, la “Guía de seguridad del trabajador“ recorre los aspectos más significativos en cuanto a la protección proactiva de la información, recomendando un uso responsable del correo electrónico, el evitar utilizar redes WiFi públicas o comunicaciones no seguras con la empresa desde fuera de las instalaciones. Igualmente, se trata de concienciar a los usuarios sobre lo delicado que es usar las redes sociales desde el trabajo o bien gestionar los canales corporativos (en el caso de community managers o responsables de marketing y/o comunicación) sin tener claras las reglas del juego y sin seguir unas buenas prácticas en seguridad, como proteger las cuentas con contraseñas robustas, modificarlas de forma regular y observar la actividad de estas para detectar posibles acciones sospechosas. “Esperamos que esta guía sirva para los objetivos con la que ha sido realizada, contando con la colaboración de personas del equipo de ESET España“, afirma Yolanda Ruiz, directora de marketing de ESET. “Se ha intentado darle un tono fresco y distendido que invite a la lectura haciendo hincapié en los eslabones más débiles de la cadena de la seguridad."
Transcript of Guia de seguridad digital del trabajador - ESET NOD32 Antivirus
www.eset.es
www.eset.es
Si estás leyendo esta guía es porque te preocupa la seguridad de tu empresa y la tuya personal, lo cual es un gran paso. Hace muchos años, el mundo de la seguridad era muy sencillo: existían solo un pu-ñado de virus y gusanos, era suficiente con contar con un antivirus y la mayoría de los problemas de seguridad de una empresa venían derivados de no contar con un buen programa de seguridad.
Sin embargo, con el paso de los años y la profesionalización del mundo de los delitos a tra-vés de Internet, preservar la seguridad corporativa y personal se ha convertido en un auténti-co reto donde es necesaria una cooperación entre los responsables de informática y los empleados. Los dispositivos móviles y la deslocalización de trabajadores, las redes socia-les, el correo electrónico y las aplicaciones de mensajería… Todos y cada uno de ellos se han convertido en un potencial foco de problemas si no se tiene el debido cuidado.
Tanto si eres un trabajador por cuenta propia como si perteneces a una empresa de cual-quier tamaño, debes saber que tu información y la de tus clientes tiene un valor económi-co para los cibercriminales. Las vías para convertir en ingresos tu información, tus cuen-tas personales o perfiles en redes sociales o incluso tu propio ordenador o dispositivo móvil son múltiples, y cada día se inventan nuevas formas de sacarle provecho. Por lo tanto, toda precaución es poca.
Esta guía pretende ser una ayuda tanto para ti como para tu jefe, como empleado, y tam-bién, por supuesto, para las empresas. Solo con una adecuada concienciación y educación en seguridad se pueden conseguir los resultados más óptimos y una seguridad más eficiente.
INT
RO
DU
CC
IÓN
www.eset.es
1. Introducción
2. Objetivos•Conocerlapolíticadeseguridady/olasnormas de seguridad de la empresa•Conocerlosriesgosqueafectanalase-guridad de la información•Formaralosusuariossobrecómocom-portarse ante un incidente de seguridad
3. Seguridad de la información en el trabajo
•Seguridaddelainformaciónenelentor-no de trabajo•Seguridaddelainformaciónenelentor-no personal (hogar)•Seguridad de la información de terce-ros: proveedores de bienes y servicios
4. Lo que debes saber
•PrincipiosdeSeguridadaplicablesentuorganización
•UsosegurodeInternetoCorreoelectrónicoo Navegación webo Redes Socialeso Dispositivos móviles y conexiones con la empresaoRedesWiFipúblicasoContraseñas
•Usoaceptabledelainformacióncorpo-rativa•Controlesdeaccesoalainformaciónyaplicaciones
5. Herramientas de seguridad•Antivirus•Antispam•Cortafuegos•Cifradodelascomunicaciones•OtrasherramientasdeseguridadÍN
DIC
E
www.eset.es
Tanto como si eres un trabajador por cuenta propia como si formas parte de una em-presa, esta guía tiene como objetivos principales los siguientes puntos:
-Ayudarteaconocerlosriesgosqueafectanalaseguridaddelainformación.
- Darte la capacidad de prevenir cualquier situación que pueda poner en riesgo tu propia seguridad y la de la empresa
-Formartesobrecómocomportarseanteunincidentedeseguridad.
- Invitarte a que conozcas la política de seguridad de tu empresa, sus normas y a que crees las tuyas propias, con el fin de preservar tu información y tu dinero.
Este cuarto objetivo necesita, obligatoriamente, la colaboración de la empresa, dado quecadapolíticadeseguridadesespecialyúnicaencadaentornocorporativo.Asíque,más allá de los consejos que nosotros te podamos dar, te recomendamos que hables con tu departamento de informática o su responsable para que te guíe acerca de las normas específicas que operan en tu empresa y así podáis pactar las mejores normas de actuación y buenas prácticas.O
BJE
TIV
OS
www.eset.es
SEG
UR
IDA
D D
E LA
IN
FOR
MA
CIÓ
N E
N E
L T
RA
BA
JO Seguridad de la información en el trabajo
Muchas veces manejas tanta información de tu empresa que ni eres consciente del valor que ésta puede tener en el mercado negro. Las formas de convertir en beneficio económico tus datos o los de tus clientes, tu propio ordenador o dispositivo móvil controlados remotamente, son múltiples y variadas, y van cambiando en el tiem-po.
Existen dos aspectos sumamente importantes que debes tener en cuenta cuando se habla de seguridad infor-mática:
- La seguridad informática en sí misma, que cuenta con múltiples herramientas en el mercado para ayu-darte a preservarla.- El secreto de tu información, que tiene una parte de seguridad pero otra muy importante de conciencia-ción y de sentido común.
Por otro lado, cuando hablamos de seguridad de la información, siempre tenemos que contemplar tres escena-rios diferentes:
•SeguridaddelaInformaciónenelentornodetrabajo,
•SeguridaddelaInformaciónenelentornopersonal(hogar)
•SeguridaddelaInformacióndeterceros:proveedoresdebienesyservicios
www.eset.es
Seguridad de la Información en el entorno de trabajo
La Seguridad de la Información se encarga de garantizar la integridad, la disponibilidad ylaconfidencialidaddelainformacióndelaempresa.Cualquierinformacióncorporati-va es sumamente valiosa, tanto si se trata de planes estratégicos, como datos financie-ros o bases de datos de clientes.
La confidencialidad de la información es la necesidad de que esta solo sea conocida por personas autorizadas. Muy importante sobre todo en empresas de gran tamaño. Por ejemplo, si un usuario cualquiera pudiese acceder a la base de datos de un servidor web, o cualquier empleado pudiera conocer la información contable de la empresa, se estaría
vulnerando la confidencialidad de la información.
La disponibilidad de la información es su capacidad de estar siempre disponible en el momento en que se ne-cesite, para ser procesada por las personas autorizadas. Imaginemos que un negocio vende online, y que es atacado de forma que la tienda no está disponible. En este caso, se estaría vulnerando la disponibilidad de la información.
Por último, la integridad de la información es la característica que hace que su contenido permanezca inalte-rado, a menos que sea modificado por personal autorizado. Si un ciberdelincuente pudiera modificar los pre-cios de venta de un sitio web, o un empleado ajeno al área de ventas pudiera hacerlo, se estaría vulnerando la integridad de la información.
SEG
UR
IDA
D D
E LA
IN
FOR
MA
CIÓ
N E
N E
L T
RA
BA
JO
www.eset.es
SeguridaddelaInformaciónenelentornopersonal(hogar)
La Seguridad de la Información también es importante en un entorno personal, es decir, entucasa.Cadavezcontamosconmásdispositivosconectadosentresíycadavezmáslos utilizamos de forma indistinta para un uso personal y profesional.
Esto no hace más que incrementar los riesgos de forma exponencial, situación agravada por el hecho de que muchas veces no valoramos en su justa medida nuestros datos per-sonales.
Existen tres aspectos que debemos cuidar si queremos preservar nuestra seguridad online en el hogar:
- La seguridad de la información entendida como la preservación de nuestros datos personales y la integri-dad de nuestros dispositivos y aplicaciones- El secreto de nuestra información- Nuestra reputación online
Continuamentehabrásoídolafrasede“¡Sientranenmiordenador,queentren,solotengofotos!”.Esdecir,exis-te un menor nivel de concienciación sobre el valor que puede tener la información en nuestro hogar que en nuestra empresa.
Pues bien, muchas veces compramos online, o realizamos transacciones bancarias desde nuestros dispositivos sin caer en la cuenta de que esta simple acción puede suponer un problema si no hemos tomado las adecuadas medidas de seguridad.
SEG
UR
IDA
D D
E LA
IN
FOR
MA
CIÓ
N E
N E
L T
RA
BA
JO
www.eset.es
Trabajamos desde nuestro smartphone o tablet conectándonos a nuestra empresa, pen-sando que además le estamos haciendo un favor a nuestro jefe al emplear nuestros pro-pios dispositivos para trabajar, algo que seguramente es cierto. Pero al ser dispositivos que no están incluidos en el plan de seguridad de la empresa, lo que estamos haciendo, quizá de forma inconsciente, es poner en peligro la Seguridad de la Información de la em-presa.
Por otro lado, hay otro bien personal que debemos cuidar y preservar: nuestra privacidad ynuestrareputación.Ambossonmuyfácilesdevulnerarsinosetomanlasmedidasdeseguridadydesentidocomún adecuadas que reduzcan nuestro umbral de riesgo.
Si utilizamos las redes sociales, deberíamos cuidar la información que damos de nosotros mismos, así como las fotos o vídeos que compartimos. Igualmente, también debemos de vigilar dónde introducimos nuestros datos personales y qué tipo de información cedemos a las redes sociales u otro tipo de servicios online.
Lo mismo sucede con nuestra reputación. En Internet es muy fácil sobrepasar los límites de la libertad de ex-presión, y cualquiera puede vulnerar nuestra reputación publicando cosas acerca de nosotros en blogs, foros o redes sociales. Por lo tanto, una adecuada monitorización y seguimiento en Internet puede alertarnos de con-tenidos sobre nosotros que pudieran haber sido publicados y tomar las acciones pertinentes.
SEG
UR
IDA
D D
E LA
IN
FOR
MA
CIÓ
N E
N E
L T
RA
BA
JO
www.eset.es
SeguridaddelaInformacióndeterceros:proveedoresdebienesyservicios
El tercer aspecto que debemos tener en cuenta cuando pensamos en la Seguridad de la Información, ya sea personal o profesional, contempla las políticas que los provee-dores de bienes y servicios aplican a la hora de prestar los trabajos contratados.
Si hablamos de un entorno personal, un proveedor de servicios puede ser, por ejem-plo, tanto Facebook como cualquier servicio online que contratemos o cualquiertienda online donde adquiramos bienes.
Es sumamente importante leerse la letra pequeña de las condiciones de uso, acuerdo de licencia, condiciones de venta o de prestación de servicios y ser conscientes de que, cada vez que lo aceptamos, en realidad esta-mos firmando un contrato virtual y, por tanto, nos sometemos a sus condiciones.
En la inmensa mayoría de las ocasiones nadie se lee estas condiciones, ya que resultan tediosas, liosas y muchas veces vienen en otro idioma diferente al nuestro. Por lo tanto, no le damos mucho crédito hasta que tenemos algún problema, cuando ya es tarde para reclamar.
Enestesentido,podemosencontrarnosconsituacionesenlasqueunagranredsocialcomoFacebookguar-da todos nuestros datos para trazar un perfil sobre nosotros y, posteriormente, explotarlos publicitariamen-te. Lo mismo hace Google, quien rastrea y guarda todo lo que hacemos en Internet si tenemos la sesión abierta en cualquiera de sus servicios.
SEG
UR
IDA
D D
E LA
IN
FOR
MA
CIÓ
N E
N E
L T
RA
BA
JO
www.eset.es SEG
UR
IDA
D D
E LA
IN
FOR
MA
CIÓ
N E
N E
L T
RA
BA
JO
También podemos adquirir un bien que, si no nos gusta, no podemos devolver, porque comotalfigurabaenlascondicionesdeventa.Odarnosdealtaenunservicioquenoscompromete a una permanencia de un año y del que no nos podemos desligar antes aunque queramos.
Todas estas situaciones probablemente te resultarán familiares, y se podrían evitar si tuviéramos la buena costumbre de leer antes y saber las condiciones de cada sitio.
Estos riesgos se agravan cuando hablamos de un entorno profesional o empresarial. Pensemos en servicios de relaciones con clientes online (en la nube) o de alojamiento de información de una manera externa a la em-presa, como bases de datos, documentos, información confidencial, etc, o un proveedor de comunicaciones internas…
Prácticamente todas las grandes y conocidas marcas del mercado suelen ofrecer tanto robustos sistemas de seguridadcomolosllamadosSLAs,“ServiceLevelAgreement(Acuerdosdeniveldeservicio),dondegaranti-zan la disponibilidad de la información e incluso el pago de una indemnización en caso de problemas.
Sin embargo, no existe ningún sistema 100% seguro, y hemos visto a lo largo de los años cómo hasta los más grandes han sido víctimas, de vez en cuando, de problemas derivados de intrusiones y de robo de información.
Por no mencionar el problema que puede derivar de que un empleado haga un mal uso de la contraseña de accesooquepierdaundispositivoconunaccesodirectosin“login”yéstecaigaenmalasmanos.
Por tanto, conocer a fondo los proveedores de bienes y servicios con los que trabaja la empresa, averiguar cuáles son sus niveles de servicio y de seguridad y saber cuál es la política de contraseñas de la compañía ayu-dará sin duda a situar el nivel de riesgo de la Seguridad de la Información alojada en sitios de terceros.
www.eset.es CO
NV
IEN
E
R
ECO
RD
AR
www.eset.es LO Q
UE
DEB
ES
SA
BER
Lo que debes saber
La mejor forma de colaborar en la seguridad de la información de tu empresa es el conocimiento de todo lo que le afecta y ser conscientes de los riesgos que se pue-den correr. Solo de esta manera seremos capaces de actuar de forma proactiva ante situaciones que pudieran poner en peligro la integridad, la disponibilidad y la confidencialidad de la información.
PrincipiosdeSeguridadaplicablesentuorganización
En un mundo ideal, cada empresa debería tener unas políticas de seguridad que rigen las normas de actua-ción y de funcionamiento interno de la compañía con el objetivo de preservar la seguridad física y lógica.
La seguridad física hace referencia a todo aquello que evite riesgos en el mundo físico, como pudieran ser robos, seguridad en el puesto de trabajo, incendios, etc. La seguridad lógica es la que se aplica a todos los sistemas informáticos que utilizados para gestionar la empresa, tanto centralizados como descentralizados, tanto si están conectados a Internet como si no lo están.
Lo habitual en empresas grandes es que la formación en estas Políticas de Seguridad se haga cuando un tra-bajador se incorpora a su puesto, entregándole dichas políticas en un documento fácil de leer y de entender. Este documento debe contener todas las normas relativas a la seguridad de la información, como la gestión de usuarios y contraseñas, el uso o no de redes sociales u otros servicios de Internet, el poder instalar o no programas no corporativos en los dispositivos, uso de teléfonos o tabletas, manejo y transporte de la infor-mación en dispositivos extraíbles o correo electrónico, qué hacer ante un incidente de seguridad y cuál es el protocolo de actuación en caso de emergencia, entre otras cosas.
www.eset.es
Estas normas tienen su razón de ser y existen para ayudar a que, entre todos, la seguridad de la información se preserve y no haya problemas en la empresa en este sentido. En muchas empresas, el que un empleado se las salte puede conllevar sanciones o reprimendas.
Sin embargo, aunque este tipo de documentos formales y corporativos existen en la mayoría de las grandes empresas, en muchas otras de menor tamaño brillan por su ausencia o existen unas normas no escritas pero pactadas con los trabajadores.
Sea cual sea la situación en la que te encuentres, es recomendable que te intereses por la existencia o no de este documento o por las normas verbales, y que sepas cuáles son en cada caso para seguirlas al pie de la letra para evitar riesgos para la empresa y problemas para ti.
Uso seguro de Internet
Cualquierordenador,teléfonootabletaentrañaunriesgodeseguridad.Cadadíasecrean más de 250.000 códigos maliciosos (virus, troyanos, ataques de phishing, etc.) para conseguir engañar a los usuarios. Por lo tanto, utilicemos las herramientas que utilicemos, vamos a estar expuestos a dichos riesgos. Y estos son más altos si esta-mos conectados a Internet y navegamos, utilizamos redes sociales, etc.
Conociendolosriesgos,laprobabilidadsereduceun50%deservíctimasdeunfrau-de, un engaño o una infección, porque aprenderemos a reconocerlos y a evitarlos. Y
si completamos nuestras buenas prácticas con la instalación de herramientas de seguridad, no estaremos exentos, pero al menos reduciremos el umbral de riesgo significativamente.
LO Q
UE
DEB
ES
SA
BER
www.eset.es
a)Correoelectrónico
El uso de un correo electrónico corporativo supone someterse a una serie de nor-masdeactuaciónparapreservarsuseguridad.Aunquelaempresatengainsta-ladas herramientas de seguridad, muchas veces, sin darnos cuenta, estamos exponiendo la integridad de nuestro correo a un riesgo innecesario al darnos de alta con él en redes sociales u otros servicios para un uso personal.
Alhacerlo,nosoloestaremosexponiendonuestradirecciónariesgos,sinoalen-vío de spam, newsletters o incluso ataques de phishing que no hacen más que
mermar la productividad.
Por lo tanto, es recomendable seguir las indicaciones para preservar la seguridad del correo electrónico corporativo y no utilizarlo para fines personales. Existen multitud de servicios gratuitos, como Gmail o Yahoo!,enlosquepodemoscrearnosunadireccióndecorreopersonalyutilizarlaparadarnosdealtaencuantos sitios queramos. Si ya has utilizado tu correo electrónico para darte de alta en estos sitios, todas las redes sociales y los sitios online te dan la posibilidad de cambiarlo, así que estás a tiempo.
Y si ves que recibes muchos correos o intentos de ataques de phishing, date de baja en los newsletters que recibas y notifica al servicio de informática de tu empresa el phishing que estás recibiendo, para que pueda poner los medios para bloquear estos mensajes y así evitar que puedas ser víctima de uno de ellos.
Si te preguntas qué es el phishing, es una amenaza que en la mayoría de las ocasiones viene en un correo electrónico simulando ser tu banco o tu red social e invitándote a que introduzcas tus datos de acceso enelsistemaporquesehandetectadoproblemasdeseguridad.Cuandoaccedes,probablementeelsitioqueveasseaigualqueAmazon,Facebookotubanco,perofíjateenlabarradedireccióndetunavega-dor, porque casi siempre es una página clonada pero alojada en otro sitio diferente. Si introduces tus datos, éstos caerán en manos indeseadas que pueden hacer un uso indebido de ellos.
LO Q
UE
DEB
ES
SA
BER
www.eset.es
b) Navegación web
Muchas empresas tienen bloqueada la posibilidad de navegación de sus em-pleados, más por precaución que por distracción de sus obligaciones. Pero esta medida termina siendo contraproducente a la larga, porque es indudable que Internet es una gran herramienta de trabajo con la que un comercial puede lo-calizar nuevos clientes o una central de compras, a nuevos proveedores.
También existen muchas empresas que contemplan en su política de seguridad una forma de navegación restringida, donde el usuario puede utilizar Internet pero no entrar a determi-nados sitios, como a redes sociales, por ejemplo.
En otras ocasiones, no existe ninguna restricción.
Sea cual sea tu situación, debes saber que si utilizas Internet en el trabajo es recomendable hacerlo con un uso profesional, y no personal, para evitar problemas laborales. Pero además, también debes saber que tienes entre manos una gran herramienta con algunos riesgos, entre los que se incluyen infectar el parque de ordenadores de tu empresa por navegar por sitios inadecuados, por ejemplo. Asíquenuestrarecomendaciónesqueapliqueselsentidocomún,hagasunusoprofesionaldelanave-gación, evites ir a sitios de contenido dudoso y que hagas caso de los avisos que algunos navegadores te muestran cuando intentas visitar un sitio que pudiera contener algún tipo de amenaza.
LO Q
UE
DEB
ES
SA
BER
www.eset.es
c) Redes sociales
Tal y como hemos comentado anteriormente, algunas empresas tienen res-tringido el uso de redes sociales en el trabajo con el objetivo de que la produc-tividad no disminuya. Sin embargo, otras muchas han descubierto el gran po-tencialquedesdeelpuntodevistademarketingypromocióntieneelquelostrabajadores hablen en nombre de la empresa en las redes sociales, promocio-nensusproductosyservicios,etc.Afindecuentas,puedenmás10vocesque1.
Si este fuera el caso, la empresa debería tener un código de conducta en las redes sociales donde se nor-maliza de qué se puede hablar y de qué no, o cuándo se solicita la ayuda y cooperación de los trabajado-res para la promoción de un determinado producto o servicio.
Si la empresa tiene este código de buenas prácticas, el sentido común te dirá que las sigas. De esta ma-nera, contribuirás a que tu empresa crezca promoviendo sus productos y servicios, y tú estarás desarro-llando una práctica de buena reputación profesional.
Hay que tener especial cuidado con lo que se puede contar o no de la empresa. Muchas veces no somos capaces de distinguir si una información interna es confidencial o no, o hasta qué punto se puede contar algo.Sitienesdudas,dirígetealdepartamentodemarketingocomunicaciónapreguntar(ysinolohay,a tu jefe más directo), ya que más vale prevenir.
Por otro lado, si utilizamos nuestros perfiles de redes sociales desde los dispositivos de la empresa, de-bemos tener especial cuidado con aquellos mensajes privados o públicos que pudieran resultar sospe-chososyquesuelenveniracompañadosderimbombantestitularescomo“Elmejorvídeoquejamáshasvisto”.Lamayoríadelasamenazasquesedistribuyenatravésdelasredessocialesvienenasociadasconla descarga de un troyano u otro código malicioso que podría infectar el ordenador corporativo y, por lo tanto, poner en riesgo la integridad de la red.
LO Q
UE
DEB
ES
SA
BER
www.eset.es
Por último, si eres la persona encargada de gestionar las redes sociales de la empresa, tienes que tener en consideración otra serie de buenas prácticas:
- Sigue siempre las normas en cuanto al lenguaje corporativo a aplicar y el tipo de información que puedes compartir con tus comunidades.
- Protege el usuario y la contraseña de tus canales oficiales y encárgate de cambiarlo al menos cada tres meses.
-Antecualquiersospechadequelacuentahayasidosecuestradaovulnerada,informainme-diatamente a tus superiores y al departamento de informática, y procede a intentar recuperar la cuenta. Si ves actividad sospechosa en la cuenta, avisa a tu comunidad (desde el blog corporati-vo, por ejemplo).
LO Q
UE
DEB
ES
SA
BER
www.eset.es
Dispositivosmóvilesyconexionesconlaempresa
Puedequeentuempresatehayanproporcionadounteléfonoy/otabletacomoherramientas de trabajo. Estos dispositivos suponen una gran ventaja, ya que permiten el acceso a la información en todo momento. Pero transportar infor-mación sensible de la empresa en un dispositivo móvil puede entrañar un ries-go, ya que puede abrir las puertas a la fuga o al robo de información. ¿Qué pa-saríasieldispositivosepierde?¿Ositeloroban?
Por eso, aunque el dispositivo no sea nuestro, es necesario cuidarlo como si lo fuera, tomando precauciones proactivas, como utilizarlo solo con fines laborales, no compartirlo con personas ajenas a la organización y mantener las mejores prácticas de seguridad.
Entre estas, te recomendamos las siguientes:
-Colocaunacontraseñadeaccesoalteléfono.Deestamanera,siteloroban,dificultaráselaccesoalainformación que contiene.
- Descarga aplicaciones solo desde sitios oficiales y de confianza. Sigue siempre la normativa corporati-va y averigua si puedes hacerlo.
- Instala un software de seguridad en el dispositivo en caso de no tenerlo. Eso sí, consulta antes al de-partamento de informática.
- Por último, cifra la información almacenada en tu dispositivo. Existen muchas aplicaciones para ha-cerlo.Consúltalotambiénatudepartamentodeinformática.
Si la empresa no te proporciona estos dispositivos, probablemente acabarás utilizando los tuyos propios. Esto esloqueeninformáticasellamaahoraBYOD,siglaseninglésdeBring Your Own Device o lo que es lo mis-mo, utiliza tus propios dispositivos. LO
QU
E D
EBES
SA
BER
www.eset.es
RedesWi-Fipúblicas
EscomúnutilizarelequipoportátildetrabajoparaconectarsearedesWi-Fipú-blicas como, por ejemplo, redes de bares, cafés, aeropuertos, etc. En estos casos debe considerarse que la seguridad estará ligada a los controles existentes en di-cha red. En muchos casos, estos controles son inexistentes, tales como la ausen-ciadecontraseñapararealizarlaconexiónWi-Fi,opermitirquelosdispositivosse vean entre sí.
Por ello, recomendamos no realizar conexiones importantes, como por ejemplo acceder al correo corpora-tivo, ya que la red puede estar expuesta y que la información viaje sin ningún tipo de cifrado, haciendo que muchos de los datos enviados puedan ser vistos por otra persona que esté conectada a la misma red.
En el caso de que utilices un equipo público para conectarte con tu empresa, evita abrir archivos con informa-ción confidencial de forma local, ya que estos archivos pueden quedar accesibles en ese equipo y ser vistos por cualquier persona que utilice el mismo equipo en un futuro.
Si vas a utilizar este tipo de redes, consulta con el departamento de informática para que, si es posible, te ha-bilitenunaredVPN(VirtualPrivateNetworkoredprivadavirtual).Deestamanera,cadavezqueteconectescon la empresa, estarás navegando de forma segura y con la información protegida.
LO Q
UE
DEB
ES
SA
BER
www.eset.es
Contraseñas
Dada la cantidad de sistemas, plataformas, correos electrónicos y otros servicios de la empresa existentes, cada integrante de la compañía suele tener varias contraseñas. Sin embargo, una única contraseña débil puede significar el acceso a información con-fidencial o a un sistema por parte de un atacante o un código malicioso.
Entendemos como contraseñas débiles aquellas que no combinan letras, números, símbolosymayúsculasyminúsculas,comomínimo,yquesondemenosde10caracteres.Unacontraseñadébil es, por ejemplo, 1111111.
Teniendo en cuenta esto, es importante que las contraseñas que se utilizan dentro de la empresa (y también a nivel personal) sean fuertes: es decir, fáciles de recordar y difíciles de descifrar.
Muchas veces la motivación de crear contraseñas fuertes contrae el riesgo de que sean olvidadas. Debido a esto, la utilización de un software para la gestión de contraseñas es la alternativa más adecuada, no siendo así lautilizacióndecuadernosopapelespegadosenelescritorioparaanotarlas.Además, lautilizacióndecontraseñas diferentes para los distintos servicios corporativos claves es también muy importante.
LO Q
UE
DEB
ES
SA
BER
www.eset.es LO Q
UE
DEB
ES
SA
BER
www.eset.es
Usoaceptabledelainformacióncorporativa
El uso aceptable de la información corporativa es una política interna que de-fine el uso apropiado de los recursos informáticos. Esta se refiere a la informa-ción almacenada o transferida por medio de redes informáticas, teléfonos u otros dispositivos de comunicaciones, así como al uso y protección de los ac-tivos físicos en sí mismos.
Esta política regula el uso de ordenadores, redes, teléfonos y demás dispositivos y tiene como fin último asegu-rarse de que todos los recursos informáticos y de comunicaciones son utilizados solamente para fines laborales y que la información contenida o transmitida por estos medios esté protegida contra usos no autorizados, apropiación o corrupción. Cadapolíticainternaserádiferenteparacadaempresa,perosuelenteneralgunospuntosencomúncomolossiguientes:
- La conectividad a Internet se dará a los trabajadores solo con fines laborales y se otorga para llevar a cabo actividades directamente relacionadas con sus responsabilidades dentro de la organización.- Los usuarios deben estar al tanto de los riesgos asociados al acceso a Internet, incluyendo la falta de confidencialidad e integridad de la información enviada vía Internet. - Los usuarios no deben divulgar en Internet información clasificada como reservada o confidencial. - No se debe enviar vía correo electrónico ninguna comunicación considerada crítica, a menos que se realicen esfuerzos suficientes para asegurar la entrega y la transmisión de la misma en forma segura. - Los usuarios no deben utilizar direcciones de la organización para publicar información en sitios de In-ternet públicos. -Cualquierinformaciónpublicadaengruposdediscusión,redessociales,etc.,nodebedivulgarningúntipo de información de la organización que no esté previamente aprobada.- Los usuarios deben saber que cuando se navega en Internet, cada servidor web puede obtener informa-ción relativa al sistema que se esté utilizando, incluyendo en algunos casos información al respecto de las preferencias de la persona y otros sitios de Internet visitados durante la sesión.
Es recomendable siempre preguntar por la política interna al respecto y actuar en consecuencia. LO Q
UE
DEB
ES
SA
BER
www.eset.es
Controldeaccesoalainformaciónyaplicaciones
Estesueleserunodelos“caballosdebatalla”decualquierorganización,seacualsea su tamaño. Hay que tener claras las reglas del juego, y aunque ya hemos ha-blado anteriormente sobre las contraseñas, recomendamos seguir unas pautas de comportamiento y sentido común que pueden evitar más de un quebradero de cabeza a la organización.
1. Controldeaccesos
a. Debes tener acceso a la información y aplicaciones corporativas que necesites para tu trabajo. Dicho acceso te lo debería dar el departamento de informática. Si en algún momento hay algún tipo de acceso que ya no utilices, es recomendable notificarlo para que revoquen dicho permiso.b. Si eres responsable de dar accesos y permisos a otros usuarios, el criterio que debería prevale-cer es que solo se debe conceder dichos privilegios a la información y aplicaciones que el usuario necesite para su trabajo. c. Recuerda que en la mayoría de los sitios, los procedimientos de alta están claros, pero no así los de baja en el sistema. Es totalmente recomendable dar de baja a los usuarios si ya no se utili-za una aplicación o el trabajador ya no continúa en la empresa.
2. Administracióndecuentasycontraseñas
a. Los accesos mediante usuarios y contraseña son personales. Esto quiere decir que eres res-ponsable del uso que haces de dichos accesos. Esto es lo que deberías evitar:a.i. Compartirloconotraspersonas.a.ii.Exponerlopúblicamente.Unclaroyclásicoejemploseríaapuntarloenunanotadepapel para no olvidarlo.a.iii.Cambiarlacontraseñaquetehanproporcionadoporotramenosrobustaporque“asílarecordarásmejor”.b. Debes recordar, además, cambiar todas tus contraseñas al menos cada tres meses, a no ser que las políticas de tu empresa tengan otra normativa diferente. LO
QU
E D
EBES
SA
BER
www.eset.es
Herramientas de seguridad
Ahoraquehasllegadoaestepuntodeestaguía,habrásvistoquelamayoríadelasme-didas proactivas de seguridad son de sentido común. Pero ni siquiera el estar conciencia-dos sobre seguridad y tomar todas las precauciones del mundo nos va a garantizar el estar 100% exentos de correr riesgos, dado que muchas veces el peligro puede estar en algo que ni podemos ver .
AsíqueutilicesLinux,MacoWindowsentuordenadorobientengasunsmartphoneounatabletAndroidoiOS(Apple),esimprescindiblecontarconunbuensoftwaredeprotecciónantivirusqueseacapazdebloqueary neutralizar lo que a ti se te pueda pasar o no veas, que te proteja contra el spam, contra el phishing, etc.
Hay muchas herramientas de seguridad en el mercado. La elección, como siempre, a gusto del consumidor. Pero sea cual sea, estos son los criterios que debes sopesar por encima de otros:
- Elige un software de seguridad que no consuma demasiada memoria. Si lo haces, tu ordenador se-guramente estará muy protegido, pero no podrás hacer nada más porque el antivirus se llevará todos los recursos del ordenador. Este punto es especialmente crítico en caso de ordenadores antiguos con procesadores lentos.
-Escogeunsoftwaredeseguridadquesearápidoenhacerloquetienequehacer.Unantivirusvaaanalizar cada elemento que te descargues o recibas por correo, cada conexión de red, cada fichero que crees, cada sitio por el que navegas... Este análisis tiene que ser capaz de hacerlo en milésimas de se-gundo, sin que lo notes. En caso contrario, te impedirá un desempeño normal de tu trabajo, ya que tendrás que esperar a cada momento que el antivirus haga sus análisis.
- Por último, aunque todos los antivirus parecen iguales en cuanto a detección y bloqueo o eliminación deamenazasinformáticas,enrealidadhaymuchasdiferencias.Asíqueinstalaunbuensoftwareantivi-rus capaz de hacer frente a las más de 250.000 nuevas amenazas informáticas que cada día aparecen.
LO Q
UE
DEB
ES
SA
BER
www.eset.es
Asíqueparaestartranquilo,terecomendamosqueinstales,comomínimo,lassiguientesherramientasentuordenador, que pueden ir separadas o juntas (mucho mejor esta última opción para asegurar un mejor rendi-miento y compatibilidad):
Antivirus- Protege los equipos y su información de distintos ataques de códigos maliciosos. Los antivirus más efectivos incluso protegen proactivamente ante malware nuevo o desconocido.
- Para smartphones o tablets, a pesar de que la creencia es que no existen amenazas para ellos, sí las hay y proliferarán en el futuro. Pero el principal riesgo, como ya hemos visto, es la pérdida o el robo del terminal. Este tipo de software es capaz de geolocalizar el dispositivo, bloquearlo, etc. Por eso recomendamos su instalación.
Cortafuegos- Puede estar integrado con el antivirus y protege al equipo informático de las conexiones de Internet entrantes y salientes que se quieren realizar en diversos tipos de ataque o también las automáticasque se intentan realizar desde el equipo.
Antispam- Es un software que muchas veces está integrado con la solución antivirus o con el cliente de correo y permite a la persona no recibir spam o correos no deseados en su bandeja de entrada corporativa.
Software para el cifrado de las comunicaciones- Evita que toda la información que viaja a través de la red sea comprensible para un ciberdelincuente que pudiera interceptarla, protegiendo así los datos.
OtrasherramientasdeseguridadAdemás,haymuchasotrasherramientasquesuelenserimplementadasporlasempresasenelperí-metro de la red o directamente en los servidores para proteger al negocio y que no son visibles para los integrantes de la compañía, como por ejemplo: proxy, IDPS, IPS, firewall perimetral, entre otras.
Te invitamos a que pruebes las soluciones de ESET que puedes descargar gratis en www.eset.es. LO Q
UE
DEB
ES
SA
BER
www.eset.es
¡¡SÍ
GU
ENO
S EN
LA
S R
EDES
!!
SOBRE ESET
Fundadaen1992,ESETesunproveedorglobaldesoftwaredeseguridadparaempresasyconsumidores.
Ellíderdelaindustriaendetecciónproactivademalware,ESETNOD32Antivirus,poseeelrécordmundialennú-merodepremiosVB100deVirusBulletin,sinhaberdejadodedetectarnuncaniunsologusanoovirus“inthewild”(activoenelmundoreal)desdelafundacióndelaspruebasen1998.
ESETtienesusoficinascentralesenBratislava(Eslovaquia)yoficinasenSanDiego(EE.UU.),BuenosAires(Argen-tina),Praga(RepúblicaCheca)yunaampliareddepartnersen160países.En2008,ESETabrióunnuevocentrodeinvestigaciónenCracovia(Polonia).
ESETfueincluidaenlalistaTechnologyFast500deDeloittecomounadelascompañíastecnológicasdemásrápidocrecimientoenlaregióndeEuropa,OrienteMedioyÁfrica.
