Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Guia de seguridad digital del trabajador - ESET NOD32 Antivirus

2,728 views

Published on

Según una encuesta interna entre clientes de ESET España, las acciones de concienciación y educación en seguridad son necesarias para aumentar la protección de los activos de las compañías. Al menos, así lo manifiesta el 97% de los responsables de informática consultados, que confiesan tener planes puestos en marcha solo en un 34%. La rotación de personal, la falta de tiempo y de colaboración interna, entre otros, son algunos de los factores aludidos cuando se les pregunta por qué no llevan a cabo más actividades de este tipo. A esta situación se añade la de los trabajadores autónomos, que no están integrados en una estructura empresarial y que se gestionan su propia seguridad.

Con el objetivo de ayudar a empresarios, responsables de informática y trabajadores, ya sean autónomos o por cuenta ajena, ESET España lanza gratuitamente la “Guía de seguridad del trabajador“. Un documento sencillo que reúne lo que se necesita saber para aumentar el nivel de seguridad digital y proteger mejor el activo más valioso: la información. Además, se pretende ayudar a las empresas a implementar planes específicos de educación ahorrándoles el tiempo de elaborar el material pertinente.

La “Guía de seguridad del trabajador“ recorre todos los aspectos relacionados con la seguridad de la información en el entorno de trabajo, en el hogar y con proveedores de bienes y servicios. Además, hace especial hincapié en un uso responsable de smartphones y tablets, especialmente si estos son personales y se utilizan para el trabajo. Igualmente, se hacen recomendaciones sobre la conveniencia de seguir las políticas corporativas de seguridad y utilizar los recursos proporcionados por la empresa para un fin única y exclusivamente laboral.

En cuanto a la utilización de los recursos de Internet, la “Guía de seguridad del trabajador“ recorre los aspectos más significativos en cuanto a la protección proactiva de la información, recomendando un uso responsable del correo electrónico, el evitar utilizar redes WiFi públicas o comunicaciones no seguras con la empresa desde fuera de las instalaciones.

Igualmente, se trata de concienciar a los usuarios sobre lo delicado que es usar las redes sociales desde el trabajo o bien gestionar los canales corporativos (en el caso de community managers o responsables de marketing y/o comunicación) sin tener claras las reglas del juego y sin seguir unas buenas prácticas en seguridad, como proteger las cuentas con contraseñas robustas, modificarlas de forma regular y observar la actividad de estas para detectar posibles acciones sospechosas.

“Esperamos que esta guía sirva para los objetivos con la que ha sido realizada, contando con la colaboración de personas del equipo de ESET España“, afirma Yolanda Ruiz, directora de marketing de ESET. “Se ha intentado darle un tono fresco y distendido que invite a la lectura haciendo hincapié en los eslabones más débiles de la cadena de la seguridad."

Published in: Education
  • Be the first to comment

  • Be the first to like this

Guia de seguridad digital del trabajador - ESET NOD32 Antivirus

  1. 1. www.eset.es
  2. 2. www.eset.es Si estás leyendo esta guía es porque te preocupa la seguridad de tu empresa y la tuya personal, lo cual es un gran paso. Hace muchos años, el mundo de la seguridad era muy sencillo: existían solo un pu- ñado de virus y gusanos, era suficiente con contar con un antivirus y la mayoría de los problemas de seguridad de una empresa venían derivados de no contar con un buen programa de seguridad. Sin embargo, con el paso de los años y la profesionalización del mundo de los delitos a tra- vés de Internet, preservar la seguridad corporativa y personal se ha convertido en un auténti- co reto donde es necesaria una cooperación entre los responsables de informática y los empleados. Los dispositivos móviles y la deslocalización de trabajadores, las redes socia- les, el correo electrónico y las aplicaciones de mensajería… Todos y cada uno de ellos se han convertido en un potencial foco de problemas si no se tiene el debido cuidado. Tanto si eres un trabajador por cuenta propia como si perteneces a una empresa de cual- quier tamaño, debes saber que tu información y la de tus clientes tiene un valor económi- co para los cibercriminales. Las vías para convertir en ingresos tu información, tus cuen- tas personales o perfiles en redes sociales o incluso tu propio ordenador o dispositivo móvil son múltiples, y cada día se inventan nuevas formas de sacarle provecho. Por lo tanto, toda precaución es poca. Esta guía pretende ser una ayuda tanto para ti como para tu jefe, como empleado, y tam- bién, por supuesto, para las empresas. Solo con una adecuada concienciación y educación en seguridad se pueden conseguir los resultados más óptimos y una seguridad más eficiente.   INTRODUCCIÓN
  3. 3. www.eset.es 1. Introducción 2. Objetivos • Conocer la política de seguridad y/o las normas de seguridad de la empresa • Conocer los riesgos que afectan a la se- guridad de la información • Formar a los usuarios sobre cómo com- portarse ante un incidente de seguridad 3. Seguridad de la información en el trabajo • Seguridad de la información en el entor- no de trabajo • Seguridad de la información en el entor- no personal (hogar) • Seguridad de la información de terce- ros: proveedores de bienes y servicios 4. Lo que debes saber • Principios de Seguridad aplicables en tu organización • Uso seguro de Internet o Correo electrónico o Navegación web o Redes Sociales o Dispositivos móviles y conexiones con la empresa o Redes WiFi públicas o Contraseñas • Uso aceptable de la información corpo- rativa • Controles de acceso a la información y aplicaciones 5. Herramientas de seguridad • Antivirus • Antispam • Cortafuegos • Cifrado de las comunicaciones • Otras herramientas de seguridad ÍNDICE
  4. 4. www.eset.es Tanto como si eres un trabajador por cuenta propia como si formas parte de una em- presa, esta guía tiene como objetivos principales los siguientes puntos: - Ayudarte a conocer los riesgos que afectan a la seguridad de la información. - Darte la capacidad de prevenir cualquier situación que pueda poner en riesgo tu propia seguridad y la de la empresa - Formarte sobre cómo comportarse ante un incidente de seguridad. - Invitarte a que conozcas la política de seguridad de tu empresa, sus normas y a que crees las tuyas propias, con el fin de preservar tu información y tu dinero. Este cuarto objetivo necesita, obligatoriamente, la colaboración de la empresa, dado que cada política de seguridad es especial y única en cada entorno corporativo.Así que, más allá de los consejos que nosotros te podamos dar, te recomendamos que hables con tu departamento de informática o su responsable para que te guíe acerca de las normas específicas que operan en tu empresa y así podáis pactar las mejores normas de actuación y buenas prácticas. OBJETIVOS
  5. 5. www.eset.es SEGURIDADDELA INFORMACIÓNENELTRABAJO Seguridad de la información en el trabajo Muchas veces manejas tanta información de tu empresa que ni eres consciente del valor que ésta puede tener en el mercado negro. Las formas de convertir en beneficio económico tus datos o los de tus clientes, tu propio ordenador o dispositivo móvil controlados remotamente, son múltiples y variadas, y van cambiando en el tiem- po. Existen dos aspectos sumamente importantes que debes tener en cuenta cuando se habla de seguridad infor- mática: - La seguridad informática en sí misma, que cuenta con múltiples herramientas en el mercado para ayu- darte a preservarla. - El secreto de tu información, que tiene una parte de seguridad pero otra muy importante de conciencia- ción y de sentido común. Por otro lado, cuando hablamos de seguridad de la información, siempre tenemos que contemplar tres escena- rios diferentes: • Seguridad de la Información en el entorno de trabajo, • Seguridad de la Información en el entorno personal (hogar) • Seguridad de la Información de terceros: proveedores de bienes y servicios
  6. 6. www.eset.es Seguridad de la Información en el entorno de trabajo La Seguridad de la Información se encarga de garantizar la integridad, la disponibilidad y la confidencialidad de la información de la empresa. Cualquier información corporati- va es sumamente valiosa, tanto si se trata de planes estratégicos, como datos financie- ros o bases de datos de clientes. La confidencialidad de la información es la necesidad de que esta solo sea conocida por personas autorizadas. Muy importante sobre todo en empresas de gran tamaño. Por ejemplo, si un usuario cualquiera pudiese acceder a la base de datos de un servidor web, o cualquier empleado pudiera conocer la información contable de la empresa, se estaría vulnerando la confidencialidad de la información. La disponibilidad de la información es su capacidad de estar siempre disponible en el momento en que se ne- cesite, para ser procesada por las personas autorizadas. Imaginemos que un negocio vende online, y que es atacado de forma que la tienda no está disponible. En este caso, se estaría vulnerando la disponibilidad de la información. Por último, la integridad de la información es la característica que hace que su contenido permanezca inalte- rado, a menos que sea modificado por personal autorizado. Si un ciberdelincuente pudiera modificar los pre- cios de venta de un sitio web, o un empleado ajeno al área de ventas pudiera hacerlo, se estaría vulnerando la integridad de la información. SEGURIDADDELA INFORMACIÓNENELTRABAJO
  7. 7. www.eset.es Seguridad de la Información en el entorno personal (hogar) La Seguridad de la Información también es importante en un entorno personal, es decir, en tu casa. Cada vez contamos con más dispositivos conectados entre sí y cada vez más los utilizamos de forma indistinta para un uso personal y profesional. Esto no hace más que incrementar los riesgos de forma exponencial, situación agravada por el hecho de que muchas veces no valoramos en su justa medida nuestros datos per- sonales. Existen tres aspectos que debemos cuidar si queremos preservar nuestra seguridad online en el hogar: - La seguridad de la información entendida como la preservación de nuestros datos personales y la integri- dad de nuestros dispositivos y aplicaciones - El secreto de nuestra información - Nuestra reputación online Continuamente habrás oído la frase de“¡Si entran en mi ordenador, que entren, solo tengo fotos!”. Es decir, exis- te un menor nivel de concienciación sobre el valor que puede tener la información en nuestro hogar que en nuestra empresa. Pues bien, muchas veces compramos online, o realizamos transacciones bancarias desde nuestros dispositivos sin caer en la cuenta de que esta simple acción puede suponer un problema si no hemos tomado las adecuadas medidas de seguridad. SEGURIDADDELA INFORMACIÓNENELTRABAJO
  8. 8. www.eset.es Trabajamos desde nuestro smartphone o tablet conectándonos a nuestra empresa, pen- sando que además le estamos haciendo un favor a nuestro jefe al emplear nuestros pro- pios dispositivos para trabajar, algo que seguramente es cierto. Pero al ser dispositivos que no están incluidos en el plan de seguridad de la empresa, lo que estamos haciendo, quizá de forma inconsciente, es poner en peligro la Seguridad de la Información de la em- presa. Por otro lado, hay otro bien personal que debemos cuidar y preservar: nuestra privacidad y nuestra reputación. Ambos son muy fáciles de vulnerar si no se toman las medidas de seguridad y de sentido común adecuadas que reduzcan nuestro umbral de riesgo. Si utilizamos las redes sociales, deberíamos cuidar la información que damos de nosotros mismos, así como las fotos o vídeos que compartimos. Igualmente, también debemos de vigilar dónde introducimos nuestros datos personales y qué tipo de información cedemos a las redes sociales u otro tipo de servicios online. Lo mismo sucede con nuestra reputación. En Internet es muy fácil sobrepasar los límites de la libertad de ex- presión, y cualquiera puede vulnerar nuestra reputación publicando cosas acerca de nosotros en blogs, foros o redes sociales. Por lo tanto, una adecuada monitorización y seguimiento en Internet puede alertarnos de con- tenidos sobre nosotros que pudieran haber sido publicados y tomar las acciones pertinentes. SEGURIDADDELA INFORMACIÓNENELTRABAJO
  9. 9. www.eset.es Seguridad de la Información de terceros: proveedores de bienes y servicios El tercer aspecto que debemos tener en cuenta cuando pensamos en la Seguridad de la Información, ya sea personal o profesional, contempla las políticas que los provee- dores de bienes y servicios aplican a la hora de prestar los trabajos contratados. Si hablamos de un entorno personal, un proveedor de servicios puede ser, por ejem- plo, tanto Facebook como cualquier servicio online que contratemos o cualquier tienda online donde adquiramos bienes. Es sumamente importante leerse la letra pequeña de las condiciones de uso, acuerdo de licencia, condiciones de venta o de prestación de servicios y ser conscientes de que, cada vez que lo aceptamos, en realidad esta- mos firmando un contrato virtual y, por tanto, nos sometemos a sus condiciones. En la inmensa mayoría de las ocasiones nadie se lee estas condiciones, ya que resultan tediosas, liosas y muchas veces vienen en otro idioma diferente al nuestro. Por lo tanto, no le damos mucho crédito hasta que tenemos algún problema, cuando ya es tarde para reclamar. En este sentido, podemos encontrarnos con situaciones en las que una gran red social como Facebook guar- da todos nuestros datos para trazar un perfil sobre nosotros y, posteriormente, explotarlos publicitariamen- te. Lo mismo hace Google, quien rastrea y guarda todo lo que hacemos en Internet si tenemos la sesión abierta en cualquiera de sus servicios. SEGURIDADDELA INFORMACIÓNENELTRABAJO
  10. 10. www.eset.es SEGURIDADDELA INFORMACIÓNENELTRABAJO También podemos adquirir un bien que, si no nos gusta, no podemos devolver, porque como tal figuraba en las condiciones de venta. O darnos de alta en un servicio que nos compromete a una permanencia de un año y del que no nos podemos desligar antes aunque queramos. Todas estas situaciones probablemente te resultarán familiares, y se podrían evitar si tuviéramos la buena costumbre de leer antes y saber las condiciones de cada sitio. Estos riesgos se agravan cuando hablamos de un entorno profesional o empresarial. Pensemos en servicios de relaciones con clientes online (en la nube) o de alojamiento de información de una manera externa a la em- presa, como bases de datos, documentos, información confidencial, etc, o un proveedor de comunicaciones internas… Prácticamente todas las grandes y conocidas marcas del mercado suelen ofrecer tanto robustos sistemas de seguridad como los llamados SLAs, “Service Level Agreement (Acuerdos de nivel de servicio), donde garanti- zan la disponibilidad de la información e incluso el pago de una indemnización en caso de problemas. Sin embargo, no existe ningún sistema 100% seguro, y hemos visto a lo largo de los años cómo hasta los más grandes han sido víctimas, de vez en cuando, de problemas derivados de intrusiones y de robo de información. Por no mencionar el problema que puede derivar de que un empleado haga un mal uso de la contraseña de acceso o que pierda un dispositivo con un acceso directo sin“login” y éste caiga en malas manos. Por tanto, conocer a fondo los proveedores de bienes y servicios con los que trabaja la empresa, averiguar cuáles son sus niveles de servicio y de seguridad y saber cuál es la política de contraseñas de la compañía ayu- dará sin duda a situar el nivel de riesgo de la Seguridad de la Información alojada en sitios de terceros.  
  11. 11. www.eset.es CONVIENE RECORDAR
  12. 12. www.eset.es LOQUEDEBES SABER Lo que debes saber La mejor forma de colaborar en la seguridad de la información de tu empresa es el conocimiento de todo lo que le afecta y ser conscientes de los riesgos que se pue- den correr. Solo de esta manera seremos capaces de actuar de forma proactiva ante situaciones que pudieran poner en peligro la integridad, la disponibilidad y la confidencialidad de la información. Principios de Seguridad aplicables en tu organización En un mundo ideal, cada empresa debería tener unas políticas de seguridad que rigen las normas de actua- ción y de funcionamiento interno de la compañía con el objetivo de preservar la seguridad física y lógica. La seguridad física hace referencia a todo aquello que evite riesgos en el mundo físico, como pudieran ser robos, seguridad en el puesto de trabajo, incendios, etc. La seguridad lógica es la que se aplica a todos los sistemas informáticos que utilizados para gestionar la empresa, tanto centralizados como descentralizados, tanto si están conectados a Internet como si no lo están. Lo habitual en empresas grandes es que la formación en estas Políticas de Seguridad se haga cuando un tra- bajador se incorpora a su puesto, entregándole dichas políticas en un documento fácil de leer y de entender. Este documento debe contener todas las normas relativas a la seguridad de la información, como la gestión de usuarios y contraseñas, el uso o no de redes sociales u otros servicios de Internet, el poder instalar o no programas no corporativos en los dispositivos, uso de teléfonos o tabletas, manejo y transporte de la infor- mación en dispositivos extraíbles o correo electrónico, qué hacer ante un incidente de seguridad y cuál es el protocolo de actuación en caso de emergencia, entre otras cosas.
  13. 13. www.eset.es Estas normas tienen su razón de ser y existen para ayudar a que, entre todos, la seguridad de la información se preserve y no haya problemas en la empresa en este sentido. En muchas empresas, el que un empleado se las salte puede conllevar sanciones o reprimendas. Sin embargo, aunque este tipo de documentos formales y corporativos existen en la mayoría de las grandes empresas, en muchas otras de menor tamaño brillan por su ausencia o existen unas normas no escritas pero pactadas con los trabajadores. Sea cual sea la situación en la que te encuentres, es recomendable que te intereses por la existencia o no de este documento o por las normas verbales, y que sepas cuáles son en cada caso para seguirlas al pie de la letra para evitar riesgos para la empresa y problemas para ti. Uso seguro de Internet Cualquier ordenador, teléfono o tableta entraña un riesgo de seguridad. Cada día se crean más de 250.000 códigos maliciosos (virus, troyanos, ataques de phishing, etc.) para conseguir engañar a los usuarios. Por lo tanto, utilicemos las herramientas que utilicemos, vamos a estar expuestos a dichos riesgos. Y estos son más altos si esta- mos conectados a Internet y navegamos, utilizamos redes sociales, etc. Conociendo los riesgos, la probabilidad se reduce un 50% de ser víctimas de un frau- de, un engaño o una infección, porque aprenderemos a reconocerlos y a evitarlos. Y si completamos nuestras buenas prácticas con la instalación de herramientas de seguridad, no estaremos exentos, pero al menos reduciremos el umbral de riesgo significativamente. LOQUEDEBES SABER
  14. 14. www.eset.es a) Correo electrónico El uso de un correo electrónico corporativo supone someterse a una serie de nor- mas de actuación para preservar su seguridad. Aunque la empresa tenga insta- ladas herramientas de seguridad, muchas veces, sin darnos cuenta, estamos exponiendo la integridad de nuestro correo a un riesgo innecesario al darnos de alta con él en redes sociales u otros servicios para un uso personal. Al hacerlo, no solo estaremos exponiendo nuestra dirección a riesgos, sino al en- vío de spam, newsletters o incluso ataques de phishing que no hacen más que mermar la productividad. Por lo tanto, es recomendable seguir las indicaciones para preservar la seguridad del correo electrónico corporativo y no utilizarlo para fines personales. Existen multitud de servicios gratuitos, como Gmail o Yahoo!, en los que podemos crearnos una dirección de correo personal y utilizarla para darnos de alta en cuantos sitios queramos. Si ya has utilizado tu correo electrónico para darte de alta en estos sitios, todas las redes sociales y los sitios online te dan la posibilidad de cambiarlo, así que estás a tiempo. Y si ves que recibes muchos correos o intentos de ataques de phishing, date de baja en los newsletters que recibas y notifica al servicio de informática de tu empresa el phishing que estás recibiendo, para que pueda poner los medios para bloquear estos mensajes y así evitar que puedas ser víctima de uno de ellos. Si te preguntas qué es el phishing, es una amenaza que en la mayoría de las ocasiones viene en un correo electrónico simulando ser tu banco o tu red social e invitándote a que introduzcas tus datos de acceso en el sistema porque se han detectado problemas de seguridad. Cuando accedes, probablemente el sitio que veas sea igual que Amazon, Facebook o tu banco, pero fíjate en la barra de dirección de tu navega- dor, porque casi siempre es una página clonada pero alojada en otro sitio diferente. Si introduces tus datos, éstos caerán en manos indeseadas que pueden hacer un uso indebido de ellos. LOQUEDEBES SABER
  15. 15. www.eset.es b) Navegación web Muchas empresas tienen bloqueada la posibilidad de navegación de sus em- pleados, más por precaución que por distracción de sus obligaciones. Pero esta medida termina siendo contraproducente a la larga, porque es indudable que Internet es una gran herramienta de trabajo con la que un comercial puede lo- calizar nuevos clientes o una central de compras, a nuevos proveedores. También existen muchas empresas que contemplan en su política de seguridad una forma de navegación restringida, donde el usuario puede utilizar Internet pero no entrar a determi- nados sitios, como a redes sociales, por ejemplo. En otras ocasiones, no existe ninguna restricción. Sea cual sea tu situación, debes saber que si utilizas Internet en el trabajo es recomendable hacerlo con un uso profesional, y no personal, para evitar problemas laborales. Pero además, también debes saber que tienes entre manos una gran herramienta con algunos riesgos, entre los que se incluyen infectar el parque de ordenadores de tu empresa por navegar por sitios inadecuados, por ejemplo. Así que nuestra recomendación es que apliques el sentido común, hagas un uso profesional de la nave- gación, evites ir a sitios de contenido dudoso y que hagas caso de los avisos que algunos navegadores te muestran cuando intentas visitar un sitio que pudiera contener algún tipo de amenaza. LOQUEDEBES SABER
  16. 16. www.eset.es c) Redes sociales Tal y como hemos comentado anteriormente, algunas empresas tienen res- tringido el uso de redes sociales en el trabajo con el objetivo de que la produc- tividad no disminuya. Sin embargo, otras muchas han descubierto el gran po- tencial que desde el punto de vista de marketing y promoción tiene el que los trabajadores hablen en nombre de la empresa en las redes sociales, promocio- nen sus productos y servicios, etc.A fin de cuentas, pueden más 10 voces que 1. Si este fuera el caso, la empresa debería tener un código de conducta en las redes sociales donde se nor- maliza de qué se puede hablar y de qué no, o cuándo se solicita la ayuda y cooperación de los trabajado- res para la promoción de un determinado producto o servicio. Si la empresa tiene este código de buenas prácticas, el sentido común te dirá que las sigas. De esta ma- nera, contribuirás a que tu empresa crezca promoviendo sus productos y servicios, y tú estarás desarro- llando una práctica de buena reputación profesional. Hay que tener especial cuidado con lo que se puede contar o no de la empresa. Muchas veces no somos capaces de distinguir si una información interna es confidencial o no, o hasta qué punto se puede contar algo. Si tienes dudas, dirígete al departamento de marketing o comunicación a preguntar (y si no lo hay, a tu jefe más directo), ya que más vale prevenir. Por otro lado, si utilizamos nuestros perfiles de redes sociales desde los dispositivos de la empresa, de- bemos tener especial cuidado con aquellos mensajes privados o públicos que pudieran resultar sospe- chosos y que suelen venir acompañados de rimbombantes titulares como“El mejor vídeo que jamás has visto”. La mayoría de las amenazas que se distribuyen a través de las redes sociales vienen asociadas con la descarga de un troyano u otro código malicioso que podría infectar el ordenador corporativo y, por lo tanto, poner en riesgo la integridad de la red. LOQUEDEBES SABER
  17. 17. www.eset.es Por último, si eres la persona encargada de gestionar las redes sociales de la empresa, tienes que tener en consideración otra serie de buenas prácticas: - Sigue siempre las normas en cuanto al lenguaje corporativo a aplicar y el tipo de información que puedes compartir con tus comunidades. - Protege el usuario y la contraseña de tus canales oficiales y encárgate de cambiarlo al menos cada tres meses. - Ante cualquier sospecha de que la cuenta haya sido secuestrada o vulnerada, informa inme- diatamente a tus superiores y al departamento de informática, y procede a intentar recuperar la cuenta. Si ves actividad sospechosa en la cuenta, avisa a tu comunidad (desde el blog corporati- vo, por ejemplo). LOQUEDEBES SABER
  18. 18. www.eset.es Dispositivos móviles y conexiones con la empresa Puede que en tu empresa te hayan proporcionado un teléfono y/o tableta como herramientas de trabajo. Estos dispositivos suponen una gran ventaja, ya que permiten el acceso a la información en todo momento. Pero transportar infor- mación sensible de la empresa en un dispositivo móvil puede entrañar un ries- go, ya que puede abrir las puertas a la fuga o al robo de información. ¿Qué pa- saría si el dispositivo se pierde? ¿O si te lo roban? Por eso, aunque el dispositivo no sea nuestro, es necesario cuidarlo como si lo fuera, tomando precauciones proactivas, como utilizarlo solo con fines laborales, no compartirlo con personas ajenas a la organización y mantener las mejores prácticas de seguridad. Entre estas, te recomendamos las siguientes: - Coloca una contraseña de acceso al teléfono. De esta manera, si te lo roban, dificultarás el acceso a la información que contiene. - Descarga aplicaciones solo desde sitios oficiales y de confianza. Sigue siempre la normativa corporati- va y averigua si puedes hacerlo. - Instala un software de seguridad en el dispositivo en caso de no tenerlo. Eso sí, consulta antes al de- partamento de informática. - Por último, cifra la información almacenada en tu dispositivo. Existen muchas aplicaciones para ha- cerlo. Consúltalo también a tu departamento de informática. Si la empresa no te proporciona estos dispositivos, probablemente acabarás utilizando los tuyos propios. Esto es lo que en informática se llama ahora BYOD, siglas en inglés de Bring Your Own Device o lo que es lo mis- mo, utiliza tus propios dispositivos. LOQUEDEBES SABER
  19. 19. www.eset.es Redes Wi-Fi públicas Es común utilizar el equipo portátil de trabajo para conectarse a redes Wi-Fi pú- blicas como, por ejemplo, redes de bares, cafés, aeropuertos, etc. En estos casos debe considerarse que la seguridad estará ligada a los controles existentes en di- cha red. En muchos casos, estos controles son inexistentes, tales como la ausen- cia de contraseña para realizar la conexión Wi-Fi, o permitir que los dispositivos se vean entre sí. Por ello, recomendamos no realizar conexiones importantes, como por ejemplo acceder al correo corpora- tivo, ya que la red puede estar expuesta y que la información viaje sin ningún tipo de cifrado, haciendo que muchos de los datos enviados puedan ser vistos por otra persona que esté conectada a la misma red. En el caso de que utilices un equipo público para conectarte con tu empresa, evita abrir archivos con informa- ción confidencial de forma local, ya que estos archivos pueden quedar accesibles en ese equipo y ser vistos por cualquier persona que utilice el mismo equipo en un futuro. Si vas a utilizar este tipo de redes, consulta con el departamento de informática para que, si es posible, te ha- biliten una red VPN (Virtual Private Network o red privada virtual). De esta manera, cada vez que te conectes con la empresa, estarás navegando de forma segura y con la información protegida. LOQUEDEBES SABER
  20. 20. www.eset.es Contraseñas Dada la cantidad de sistemas, plataformas, correos electrónicos y otros servicios de la empresa existentes, cada integrante de la compañía suele tener varias contraseñas. Sin embargo, una única contraseña débil puede significar el acceso a información con- fidencial o a un sistema por parte de un atacante o un código malicioso. Entendemos como contraseñas débiles aquellas que no combinan letras, números, símbolos y mayúsculas y minúsculas, como mínimo, y que son de menos de 10 caracteres. Una contraseña débil es, por ejemplo, 1111111. Teniendo en cuenta esto, es importante que las contraseñas que se utilizan dentro de la empresa (y también a nivel personal) sean fuertes: es decir, fáciles de recordar y difíciles de descifrar. Muchas veces la motivación de crear contraseñas fuertes contrae el riesgo de que sean olvidadas. Debido a esto, la utilización de un software para la gestión de contraseñas es la alternativa más adecuada, no siendo así la utilización de cuadernos o papeles pegados en el escritorio para anotarlas. Además, la utilización de contraseñas diferentes para los distintos servicios corporativos claves es también muy importante. LOQUEDEBES SABER
  21. 21. www.eset.es LOQUEDEBES SABER
  22. 22. www.eset.es Uso aceptable de la información corporativa El uso aceptable de la información corporativa es una política interna que de- fine el uso apropiado de los recursos informáticos. Esta se refiere a la informa- ción almacenada o transferida por medio de redes informáticas, teléfonos u otros dispositivos de comunicaciones, así como al uso y protección de los ac- tivos físicos en sí mismos. Esta política regula el uso de ordenadores, redes, teléfonos y demás dispositivos y tiene como fin último asegu- rarse de que todos los recursos informáticos y de comunicaciones son utilizados solamente para fines laborales y que la información contenida o transmitida por estos medios esté protegida contra usos no autorizados, apropiación o corrupción. Cada política interna será diferente para cada empresa, pero suelen tener algunos puntos en común como los siguientes: - La conectividad a Internet se dará a los trabajadores solo con fines laborales y se otorga para llevar a cabo actividades directamente relacionadas con sus responsabilidades dentro de la organización. - Los usuarios deben estar al tanto de los riesgos asociados al acceso a Internet, incluyendo la falta de confidencialidad e integridad de la información enviada vía Internet. - Los usuarios no deben divulgar en Internet información clasificada como reservada o confidencial. - No se debe enviar vía correo electrónico ninguna comunicación considerada crítica, a menos que se realicen esfuerzos suficientes para asegurar la entrega y la transmisión de la misma en forma segura. - Los usuarios no deben utilizar direcciones de la organización para publicar información en sitios de In- ternet públicos. - Cualquier información publicada en grupos de discusión, redes sociales, etc., no debe divulgar ningún tipo de información de la organización que no esté previamente aprobada. - Los usuarios deben saber que cuando se navega en Internet, cada servidor web puede obtener informa- ción relativa al sistema que se esté utilizando, incluyendo en algunos casos información al respecto de las preferencias de la persona y otros sitios de Internet visitados durante la sesión. Es recomendable siempre preguntar por la política interna al respecto y actuar en consecuencia. LOQUEDEBES SABER
  23. 23. www.eset.es Control de acceso a la información y aplicaciones Este suele ser uno de los“caballos de batalla” de cualquier organización, sea cual sea su tamaño. Hay que tener claras las reglas del juego, y aunque ya hemos ha- blado anteriormente sobre las contraseñas, recomendamos seguir unas pautas de comportamiento y sentido común que pueden evitar más de un quebradero de cabeza a la organización. 1. Control de accesos a. Debes tener acceso a la información y aplicaciones corporativas que necesites para tu trabajo. Dicho acceso te lo debería dar el departamento de informática. Si en algún momento hay algún tipo de acceso que ya no utilices, es recomendable notificarlo para que revoquen dicho permiso. b. Si eres responsable de dar accesos y permisos a otros usuarios, el criterio que debería prevale- cer es que solo se debe conceder dichos privilegios a la información y aplicaciones que el usuario necesite para su trabajo. c. Recuerda que en la mayoría de los sitios, los procedimientos de alta están claros, pero no así los de baja en el sistema. Es totalmente recomendable dar de baja a los usuarios si ya no se utili- za una aplicación o el trabajador ya no continúa en la empresa. 2. Administración de cuentas y contraseñas a. Los accesos mediante usuarios y contraseña son personales. Esto quiere decir que eres res- ponsable del uso que haces de dichos accesos. Esto es lo que deberías evitar: a.i. Compartirlo con otras personas. a.ii. Exponerlo públicamente. Un claro y clásico ejemplo sería apuntarlo en una nota de papel para no olvidarlo. a.iii.Cambiar la contraseña que te han proporcionado por otra menos robusta porque“así la recordarás mejor”. b. Debes recordar, además, cambiar todas tus contraseñas al menos cada tres meses, a no ser que las políticas de tu empresa tengan otra normativa diferente. LOQUEDEBES SABER
  24. 24. www.eset.es Herramientas de seguridad Ahora que has llegado a este punto de esta guía, habrás visto que la mayoría de las me- didas proactivas de seguridad son de sentido común. Pero ni siquiera el estar conciencia- dos sobre seguridad y tomar todas las precauciones del mundo nos va a garantizar el estar 100% exentos de correr riesgos, dado que muchas veces el peligro puede estar en algo que ni podemos ver . Así que utilices Linux, Mac o Windows en tu ordenador o bien tengas un smartphone o una tablet Android o iOS (Apple), es imprescindible contar con un buen software de protección antivirus que sea capaz de bloquear y neutralizar lo que a ti se te pueda pasar o no veas, que te proteja contra el spam, contra el phishing, etc. Hay muchas herramientas de seguridad en el mercado. La elección, como siempre, a gusto del consumidor. Pero sea cual sea, estos son los criterios que debes sopesar por encima de otros: - Elige un software de seguridad que no consuma demasiada memoria. Si lo haces, tu ordenador se- guramente estará muy protegido, pero no podrás hacer nada más porque el antivirus se llevará todos los recursos del ordenador. Este punto es especialmente crítico en caso de ordenadores antiguos con procesadores lentos. - Escoge un software de seguridad que sea rápido en hacer lo que tiene que hacer. Un antivirus va a analizar cada elemento que te descargues o recibas por correo, cada conexión de red, cada fichero que crees, cada sitio por el que navegas... Este análisis tiene que ser capaz de hacerlo en milésimas de se- gundo, sin que lo notes. En caso contrario, te impedirá un desempeño normal de tu trabajo, ya que tendrás que esperar a cada momento que el antivirus haga sus análisis. - Por último, aunque todos los antivirus parecen iguales en cuanto a detección y bloqueo o eliminación de amenazas informáticas, en realidad hay muchas diferencias.Así que instala un buen software antivi- rus capaz de hacer frente a las más de 250.000 nuevas amenazas informáticas que cada día aparecen. LOQUEDEBES SABER
  25. 25. www.eset.es Así que para estar tranquilo, te recomendamos que instales, como mínimo, las siguientes herramientas en tu ordenador, que pueden ir separadas o juntas (mucho mejor esta última opción para asegurar un mejor rendi- miento y compatibilidad): Antivirus - Protege los equipos y su información de distintos ataques de códigos maliciosos. Los antivirus más efectivos incluso protegen proactivamente ante malware nuevo o desconocido. - Para smartphones o tablets, a pesar de que la creencia es que no existen amenazas para ellos, sí las hay y proliferarán en el futuro. Pero el principal riesgo, como ya hemos visto, es la pérdida o el robo del terminal. Este tipo de software es capaz de geolocalizar el dispositivo, bloquearlo, etc. Por eso recomendamos su instalación. Cortafuegos - Puede estar integrado con el antivirus y protege al equipo informático de las conexiones de Internet entrantes y salientes que se quieren realizar en diversos tipos de ataque o también las automáticas que se intentan realizar desde el equipo. Antispam - Es un software que muchas veces está integrado con la solución antivirus o con el cliente de correo y permite a la persona no recibir spam o correos no deseados en su bandeja de entrada corporativa. Software para el cifrado de las comunicaciones - Evita que toda la información que viaja a través de la red sea comprensible para un ciberdelincuente que pudiera interceptarla, protegiendo así los datos. Otras herramientas de seguridad Además, hay muchas otras herramientas que suelen ser implementadas por las empresas en el perí- metro de la red o directamente en los servidores para proteger al negocio y que no son visibles para los integrantes de la compañía, como por ejemplo: proxy, IDPS, IPS, firewall perimetral, entre otras. Te invitamos a que pruebes las soluciones de ESET que puedes descargar gratis en www.eset.es. LOQUEDEBES SABER
  26. 26. www.eset.es ¡¡SÍGUENOSENLASREDES!! SOBRE ESET Fundada en 1992, ESET es un proveedor global de software de seguridad para empresas y consumidores. El líder de la industria en detección proactiva de malware, ESET NOD32 Antivirus, posee el récord mundial en nú- mero de premios VB100 de Virus Bulletin, sin haber dejado de detectar nunca ni un solo gusano o virus“in the wild” (activo en el mundo real) desde la fundación de las pruebas en 1998. ESET tiene sus oficinas centrales en Bratislava (Eslovaquia) y oficinas en San Diego (EE.UU.), Buenos Aires (Argen- tina), Praga (República Checa) y una amplia red de partners en 160 países. En 2008, ESET abrió un nuevo centro de investigación en Cracovia (Polonia). ESET fue incluida en la listaTechnology Fast 500 de Deloitte como una de las compañías tecnológicas de más rápido crecimiento en la región de Europa, Oriente Medio y África.

×