Artículo 20.3 del Estatuto de los trabajadores:
“El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana”.
Puede que hace una década este control del empresario fuera por la mera intención de controlar que el trabajador no perdiera el tiempo en la empresa dedicado a otros quehaceres que no fueran los estrictamente laborales. Hoy en día, en cambio, el abanico de posibles peligros que puede afectar a la seguridad informática de la empresa hace que ésta se vea casi forzada a establecer una serie de instrucciones u órdenes a seguir, por parte del trabajador, en lo que se refiere al uso del ordenador, internet o teléfono móvil.
Normalmente cuando un empresario de una pequeña empresa piensa en la seguridad de la información de su organización, lo primero que le viene a la cabeza es que ha de comprar antivirus para evitar que se infecten de virus sus ordenadores y, por tanto, pueda peligrar la información de su empresa. No hay bastante sólo con equipar a los ordenadores de la organización con antivirus, hay otros muchos peligros que pueden afectar a la empresa y que éste no es capaz de evitar.
Triada CID
Para poder garantizar la seguridad de la información de una empresa hace falta que se cumplan los principios de Confidencialidad, Integridad y Disponibilidad de la información que almacena y gestiona (también conocidos como “triada CID”):
– Confidencialidad: es la propiedad que impide que la información sea divulgada a personas, entidades o sistemas no autorizados, de manera que sólo puede acceder a ella aquellas personas que cuenten con la debida autorización y de forma controlada.
– Integridad: es la propiedad que busca proteger la exactitud de la información, evitar que sufra modificaciones no autorizadas.
– Disponibilidad: el tercer y último principio de la triada CID es el que garantiza que la información sea accesible y usable bajo demanda de un usuario autorizado, que esté disponible en todo momento, evitando interrupciones del servicio por cortes de electricidad, fallos de hardware, etc.
Para que el sistema de información de una organización sea fiable hay que garantizar que se mantengan los tres principios de la triada CID. Por tanto es crucial conocer las vulnerabilidades y amenazas que se ciñen sobre la información. A continuación podéis encontrar algunos de los riesgos básicos que pueden llegar a afectar a algunos de los principios de la triada:
– Permiso de administrador en el ordenador: si los trabajadores tienen permisos de administrador en los ordenadores de la empresa se corre el riesgo que puedan instalar aplicaciones ajenas a las actividades de la empresa. Instalaciones sin supervisión que a parte de que pueden introducir códigos maliciosos, también pueden llegar a colapsar nuestra red de comunicaciones interna. También puede suceder que el trabajador ignore las actualizaciones de seguridad que precisa el ordenador, y por tanto quede expuesto al ataque de nuevos virus, con el consecuente riesgo que alguno de ellos permita acceder a información confidencial, o hasta el control del ordenador de la empresa.
– No realizar copias de seguridad: impensable en grandes empresas, pero muy habitual en las pequeñas. Es muy sencillo realizar copias de seguridad y permitirá la recuperación de la información. Es fundamental para evitar sufrir pérdidas de datos, y poderse recuperar rápidamente de un posible ciberataque.
– Buen uso de las contraseñas: Hay que ser cuidadoso y original con las contraseñas, no dejar nunca la contraseña que ha sido asignada por defecto. Se recomiendan contraseñas que usen letras (mayúsculas y minúsculas), números, y caracteres especiales (como “!”, “#”). Tampoco hay que guardar las contraseñas en el ordenador en un fichero que se llame “Contraseñas” o “Passwords”, os aseguro que eso es lo primero que buscan los hackers.
– Uso de aplicaciones de almacenamiento on-line: el uso de Dropbox o Google Drive por parte de los trabajadores, para almacenar, compartir e intercambiar archivos con información crítica de la empresa puede provocar pérdidas de los tres principios de la triada CID, tanto de confidencialidad de los datos, como de integridad y disponibilidad.
Como evitar riesgos innecesarios
Es en este punto cuando el empresario ya debe tener en mente una lista de criterios que el trabajador de su empresa tendría que seguir para minimizar los riesgos que hagan peligrar la seguridad de la información. Veamos algunos de ellos:
– Podríamos empezar por formar a los trabajadores en la cultura de la ciberseguridad, que sean cuidadosos y precavidos a la hora de abrir un determinado correo electrónico sospechoso, o de instalar un programa de dudosa procedencia. También insistir en el buen uso de las contraseñas..
– Limitar el uso de los trabajadores en los ordenadores de la empresa para usos particulares. Puede ser que se den simplemente instrucciones de que los recursos de la empresa sean de uso meramente laboral, y por tanto esté prohibido el uso del ordenador para fines particulares (correos personales tipo Gmail, uso de redes sociales, etc), o bien que se limite tecnológicamente el acceso via internet a páginas relacionadas con el negocio de la empresa.
– Si no se está haciendo ya, aunque su empresa tan sólo trabaje con la información de su cartera de clientes, haga copias de seguridad de ésta.
– No permita el intercambio de información crítica de la empresa a través de almacenamiento on-line, pendrives sin encriptar, etc.
Por Meritxell Oncins para AUCAL
Gracias por este artículo tan útil. De paso quiero recordar que se pueden utilizar las salas de datos virtuales para proteger los datos empresariales y confidenciales.