El concepto de «puesto de trabajo» va más allá de la ubicación física donde el usuario desempeña sus funciones diarias. Dentro de dicho entorno podemos identificar elementos con relación directa con la seguridad de la información: ordenadores, tabletas, smartphones, dispositivos de almacenamiento extraíbles, impresoras, escáneres, archivadores, etc.
Mitigar los riesgos de un puesto de trabajo de una forma significativa no requiere la implantación de grandes medidas técnicas, sino establecer una cultura de la seguridad de la información mediante la implantación de un protocolo de seguridad que transmita a los empleados las obligaciones y buenas prácticas en relación con la seguridad de la información.
Las medidas planteadas en la política y normativas de seguridad deben trasladarse a los usuarios de la manera adecuada. La información debe estar disponible para todos los usuarios, recordarse mediante comunicaciones de manera periódica y firmarse al comienzo de la relación laboral. Ni la política ni las normativas internas deben trasladarse al usuario como un descargo de responsabilidad de la empresa o como un medio con el fin exclusivo de adoptar medidas disciplinarias. Su finalidad es informativa y debe cumplirse la misma.
Cada puesto de trabajo está adecuado a un perfil profesional, por tanto, las amenazas a las que está expuesto son distintas según las funciones que desempeñe el trabajador dentro de la organización. Un administrativo no tendrá el mismo nivel de acceso que el director financiero, ni dispondrá de los mismos medios.
Medidas de seguridad transversales a toda la organización
Si bien hemos de atender a la casuística de cada puesto para evaluar la necesidad de medidas de seguridad adicionales a cada perfil de trabajo, cabe la implantación de medidas transversales como:
- Obligación de guardar cualquier documentación al ausentarse del puesto de trabajo y al finalizar la jornada laboral (política de mesas limpias).
- Obligación de no abandonar la documentación en las impresoras o escáneres.
- Obligación de destruir la documentación mediante mecanismos seguros.
- Prohibición de compartir las contraseñas.
- Prohibición de la alteración de la configuración del equipo y la instalación de aplicaciones no autorizadas.
- Obligación de bloquear las sesiones de trabajo al ausentarse del puesto.
- Uso responsable de Internet y el correo electrónico corporativo.
Si quieren ampliar la información les recomiendo la guía del Instituto Nacional de Ciberseguridad (INCIBE) titulada “Protección del puesto de trabajo” que dejo enlazada aquí.
