Seguridad y Protección de Datos: política de escritorio despejado

Publicado el 02 marzo 2022 por José María Acuña Morgado @jmacuna73
Una política de escritorio limpio o despejado es una forma sencilla de mantener la seguridad de tu empresa. En términos generales, implica eliminar cualquier información confidencial de tu escritorio o almacenarla de forma adecuada: memorias USB, portátiles, tarjetas de visita y documentos impresos, entre otros. Las sanciones por incumplimiento interno pueden variar desde advertencias hasta multas.
Tras la vuelta a la presencia física en oficinas, os recordamos algunos aspectos de la política de escritorio despejado que todos los empleados y empleadas deben cumplir.

Frame psd created by freepik - www.freepik.com
1- Tu PC portátil debe permanecer siempre con candado cuando abandones tu puesto de trabajo aunque se trate de un período corto de tiempo (pausa para el café o similar).
2- No esperes a que automáticamente se active el "salvapantallas" cuando no estés en tu puesto de trabajo.
Bloquea la pantalla con [Windows] + [L] y, similarmente, con [Ctrl] + [Alt] + [Supr] y guarda bajo llave los documentos confidenciales con los que estés trabajando.
Lleva contigo la PKI (Public Key Infrastructure) y la tarjeta identificativa de tu empresa corporativa (en adelante EC). Recuerda no llevar visible la tarjeta identificativa si estás fuera de las instalaciones de EC.
3- No tires información confidencial a la papelera, destruye la información en las trizadoras que se encuentran junto a las impresoras o, si se trata de grandes volúmenes, tíralos en los cubículos cerrados habilitados para información confidencial que después es destruida de forma segura por los proveedores de EC.
Se entiende por información confidencial, entre otras:
  • información que contiene datos personales.
  • datos relativos a ofertas y estrategia de la compañía.
  • informes de auditoría.
  • información específicamente clasificada como confidencial por clientes.
4- Está prohibido anotar contraseñas en post its, notas, agendas o similar que permitan fácil acceso a las mismas. No las compartas con nadie.
5- Si estás ubicado en un despacho o sala de reunión ciérralo con llave cuando salgas.
6- Si utilizas las pizarras en las salas de reuniones, borra la información escrita en ellas antes de abandonar la sala y no olvides la documentación o dispositivos (PC’s u otros que contengan información).
7- No utilices dispositivos personales extraíbles (smarthphone, disco duro, pen dirve, etc) para extraer información de tu compañía. Si se requiere utilizar estos dispositivos, deben estar autorizados y cifrados, siguiendo las políticas de EC.
8- Sé cuidadoso cuando hables por teléfono en la calle o en espacios de EC en relación con la información que comentas, no divulgues información confidencial de EC o sus clientes.
9- Evita dejar tu PC desatendido en el coche si tienes que hacer una parada de camino a casa, suele ser el caso más habitual de robo, incluso si lo metes en el maletero.
10- Mantente alerta sobre los correos de phishing e intentos de ingeniería social (suplantación de la personalidad).
Algunos de los intentos de fraude más recientes corresponden a suplantaciones de identidad de entidades públicas que supuestamente solicitan el envío de una factura correspondiente a un expediente de licitación.
Si observas información confidencial tirada en la papelera, sufres un robo de portátil, detectas actividad sospechosa en tu PC (fruto de un phishing, virus o similar) o cualquier otro tipo de incidente, por favor repórtalo a InfoSec, tu oficina de Seguridad de la Información.

Tal vez te interese conocer algunos de estos temas:



Jose Maria Acuña Morgado - Web Developer - Ethical Hacking