Cuando hablamos de seguridad, instintivamente pensamos en herramientas o procedimientos de seguridad, pero en realidad, la seguridad depende de un factor común a cualquier entidad pública o privada: los empleados.

De su actitud y acciones depende en gran medida el éxito o fracaso de implantar seguridad, ya que éstos son los que gestionan nuestro principal activo: la información (entre la cual se encuentra, por supuesto, los datos de carácter personal).

Por eso, es importante y debe ser recurrente, invertir en la formación y concienciación a los empleados, a fin de desarrollar una cultura de seguridad en la entidad.

Sin pretender ser una lista exhaustiva, debemos insistir en los siguientes aspectos:

• Política de escritorios limpios: mantener la mesa “limpia” de papeles que contengan información sensible.
• Bloqueo del puesto de trabajo.
• Prohibición de instalar software no autorizado.
• No manejar información corporativa en equipos públicos.
• No facilitar información sensible sin verificar quien es el receptor de la misma.
• Destruir físicamente cualquier soporte (papel o digital) que contenga información sensible, no tirarlo a la papelera.
• Atención a las conversaciones que mantener en lugares públicos. Algunas conversaciones se deben mantener a puerta cerrada.
• No apuntar las contraseñas y no compartirlas con terceros.
• Utilizar contraseñas robustas y cambiarlas frecuentemente.
• No abrir correos electrónicos sospechosos.
• Evitar entrar en páginas web no confiables.
• Cerrar despachos, armarios y cajoneras cuando éstos contengan información.
• Evitar extraer información de las instalaciones y en caso de necesitarlo, solicitar la autorización oportuna.
• Cifrar los soportes de almacenamiento externo cuyo objetivo sea contener información.
• Realizar frecuentemente copias de seguridad, o en su defecto, almacenar toda la información en los servidores, para que éstos la realicen.
• Mantener actualizado el antivirus y el sistema operativo.
• No conectar dispositivos no autorizados a la red de la entidad.
• Prestar atención a la normativa y procedimientos de seguridad descritos en la organización.
• Notificar cualquier evento sospechoso relacionado con la seguridad a la mayor brevedad posible.
• En caso de dudas, consultar con el personal de la organización con competencias en seguridad.

Esta concienciación, puede realizarse de diferentes maneras: presencial, online, remisión periódica de boletines, trípticos en zonas comunes… cualquier método es correcto si se consigue que la información llegue al empleado.

Un recurso muy útil en esta materia es el kit de concienciación del Instituto Nacional de Ciberseguridad (INCIBE).

Si quieres saber más sobre la seguridad de la información en el curso «Sistemas de Gestión de la Seguridad de la Información y el cumplimiento del RGPD» conocerás La mejor herramienta para la gestión de riesgos tecnológicos y la protección de los datos personales.

El equipo Govertis