Hemos visto que las amenazas digitales han aumentado sustancialmente en contra de varias entidades privadas y públicas. Muchas veces, esto va de la mano de ataques directos, pero esta no es la única razón en donde nacen estas inminencias, sino que muchas veces se dan por la falta de conciencia de los empleados o servidores, que, a falta de conocimiento, son víctimas de técnicas utilizadas para el acceso no autorizado a datos. Esto, claramente, nos revela la imperiosa necesidad de mejorar las prácticas de seguridad de la información y protección de datos, como una forma efectiva de mitigar y prevenir amenazas de seguridad, ahorrar recursos y tiempo y eliminar todo tipo de riesgo, por lo que en este artículo se brindarán consejos prácticos para procurar una correcta seguridad de la información y datos personales tratados por los empleados de su entidad.

Un estudio sobre Ciber Seguridad de IBM, recogió que la mayor parte de los incidentes de seguridad de la información se debe a causa del error humano, origen que se mantendrá, sobre todo si consideramos que el teletrabajo se conservará y es la nueva tendencia general para las relacionales laborales. Todos los empleados, presenciales y teletrabajadores, deben tener un conocimiento importante sobre seguridad de la información y protección de datos, que los lleve a aplicar un pensamiento crítico en la realización de sus tareas diarias. Esto es especialmente importante debido a la entrada en vigor de normas como la Ley de Protección de Datos Personales de Ecuador.

Hay puntos críticos que no pueden quedar fuera de esta nueva necesidad de conocimiento para trabajadores, los cuales se exponen a continuación.

• Acceso a cuentas y contraseñas.- Es necesario que exista un acceso seguro a cuentas, con permisos determinados y contraseñas seguras. Esto incluye cambio periódico de claves y concesión de determinados permisos de acceso a determinados empleados y de acuerdo con los requerimientos de su labor. No se recomienda el uso de contraseñas personales para acceso a equipos corporativos, pues esto genera riesgos directos hacia la persona y el ingreso a sus dispositivos personales. Es menester recordar que las contraseñas son la primera forma de defensa contra el acceso no autorizado y datos, por lo que es un tema que tratar y que no puede estar ausente en todas las entidades.

• Dispositivos externos.- Al haber mayor teletrabajo, existen más equipos extraíbles y trasladables, tales como discos externos, dispositivos USB, entre otros. El uso de estos dispositivos en diversos equipos permite la facilidad de conducir virus o malware, por lo que se recomienda que el personal sea capacitado para el correcto uso de los equipos o que se eliminen estos equipos para que toda la información de la entidad sea utilizada a través de las nubes de información.

• Uso de redes públicas y ajenas.- Otro tema importante es la conexión para trabajo en redes públicas de internet. En algunas ocasiones, la gente realiza su trabajo en sitios públicos, como cafeterías, lo que implica la posibilidad de acceso no permitido con fines delictivos. Al acceder a redes libres o públicas, existe un riesgo sustancial de acceso a datos que circulan por estas redes, incluyendo correos electrónicos o información sensible. Para mitigar esto, es importante configurar una Red Privada Virtual (VPN), y en general, las medidas preventivas que es preciso adoptar para usar redes públicas.

• Redes Sociales.- Otro factor importante para considerar es el uso de Redes Sociales. Hoy por hoy, es usual que las personas, en general, accedan continuamente a sus Redes Sociales, más aún si se encuentran en una red libre como la de su hogar o red pública. Esto puede llevar a compartir información confidencial o acceder a sitios que parecen confiables, dando un acceso fácil de datos para ciberataques. Es recomendable que las Redes Sociales sean bloqueadas dentro de oficina o que se procure restringir su uso con dispositivos de oficina.

• Fraudes informáticos.- Técnicas de ingeniería social como el phishing o de softwares maliciosos como los ransomware, deben ser conocidos por nuestros colaboradores a fin de evitarlos. Estas técnicas se han sofisticado y evolucionado, por lo que se debe capacitar a los empleados para que eviten caer en estas prácticas, obviando acceder o contestar correos que parecen legítimos, en donde se pueden esconder archivos de malware que cifra los datos en un computador, impidiendo el acceso del legítimo propietario de la información, hasta que se pague una cantidad exigida de dinero. El reporte de estas amenazas a los departamentos de sistemas y telecomunicación es imperativo.

• Uso de dispositivos móviles.- El acceso y conexión desde dispositivos móviles, incluso personales, es cada vez más habitual, siendo un punto focal a considerar respecto de la vulnerabilidad para la seguridad de la información. En tal sentido, resulta vital que los empleados conozcan los riesgos de usar estos equipos y la importancia de limitar su utilización. Así, es recomendable que se elaboren protocolos por parte de las áreas de sistemas y TI, para que el uso de dispositivos móviles sea condicionado y de forma segura.

• Seguridad en la nube.- Los servicios cloud o de nube son mucho más habituales para el resguardo de información; sin embargo, es fundamental que se verifique continuamente la capacidad y controles del proveedor del servicio, para así evitar que la información esté siempre cargada y protegida.

• Navegación y uso de correo electrónico.-  Como se mencionó previamente, parte del uso apropiado de un correo electrónico es contar con contraseñas seguras y no repetidas, que deben ir cambiando periódicamente. De la mano de lo anterior, está la necesidad de limitar la navegación en páginas no seguras o de entretenimiento desde computadores de oficina o trabajo o a través de la misma red, ya que dicha navegación crea brechas de seguridad que facilitan el acceso no autorizado por los ciber delincuentes.

• Acceso desde el hogar.– Finalmente, como se ha venido diciendo, el teletrabajo ha permitido que se labore más desde el hogar de las personas. Es necesario que los documentos de trabajo, sean estos físicos o digitales, sea debidamente guardados, pues si están a la vista, cualquier persona podría mirarlos y recabar datos de manera no autorizada o acceder a conversaciones confidenciales. Si bien el tema parece extremo, todo ello representa amenaza para la seguridad de la información y protección de datos, de modo que este debe ser abordado por toda entidad enfocándose en la seguridad de la información y datos personales confiados que deben ser protegidos.

Para concluir, vale resaltar que los riesgos para la seguridad de la información y protección de datos han aumentado y seguirán evolucionando, más aún ante el panorama de teletrabajo que es la nueva realidad de hoy. En tal sentido, toda entidad debe, de la manera más efectiva, tomar medidas para minimizar o eliminar esta problemática, sobre todo con sus empleados. Por ello, es esencial mantener políticas y que permitan evitar estos inconvenientes y, más allá de hacer que la Ley se cumpla, cuidar a su negocio y sitio de trabajo.

Mario Ruiz