El concepto de «puesto de trabajo» va más allá de la ubicación física donde el empleado desempeña sus funciones diarias. En dicho entorno podemos identificar numerosos elementos con relación directa con la seguridad de la información: ordenadores, tabletas, smartphones, dispositivos de almacenamiento extraíbles, impresoras, escáneres, archivadores, etc.
Mitigar de forma significativa los riesgos asociados al puesto de trabajo no requiere necesariamente la implantación de grandes medidas técnicas, sino el establecimiento de una verdadera cultura de seguridad de la información. Esto se consigue mediante la definición e implantación de un protocolo de seguridad claro que transmita a los empleados sus obligaciones y las buenas prácticas en materia de protección de la información.
Las medidas contempladas en la política y en las normativas internas de seguridad deben comunicarse a los usuarios de manera adecuada y comprensible. Esta información debe estar siempre disponible, recordarse periódicamente mediante comunicaciones internas y aceptarse por escrito al inicio de la relación laboral (y en cada actualización relevante). Ni la política ni las normativas deben presentarse como un mero descargo de responsabilidad de la empresa o como un instrumento destinado exclusivamente a justificar medidas disciplinarias. Su finalidad es esencialmente informativa y preventiva, y su cumplimiento es obligatorio para todos.
Cada puesto de trabajo está asociado a un perfil profesional concreto; por tanto, las amenazas a las que está expuesto varían en función de las responsabilidades y funciones del trabajador dentro de la organización. Un administrativo no dispondrá del mismo nivel de acceso ni manejará la misma información que, por ejemplo, el director financiero.
Medidas de seguridad transversales en el puesto de trabajo
Aunque debemos analizar la casuística de cada puesto para determinar medidas de seguridad específicas adicionales, existen una serie de medidas transversales de obligado cumplimiento para toda la plantilla:
- Obligación de guardar cualquier documentación al ausentarse del puesto de trabajo (aunque sea momentáneamente) y al finalizar la jornada laboral (política de mesa limpia).
- Obligación de no abandonar documentación en impresoras, escáneres o fotocopiadoras.
- Obligación de destruir la documentación confidencial o sensible mediante mecanismos seguros (destructoras de nivel adecuado o servicios certificados).
- Prohibición absoluta de compartir contraseñas o credenciales de acceso.
- Prohibición de alterar la configuración de los equipos o instalar aplicaciones y programas no autorizados por el departamento de TI.
- Obligación de bloquear la sesión del ordenador al ausentarse del puesto de trabajo.
- Uso responsable de Internet y del correo electrónico corporativo, conforme a la política de uso de recursos tecnológicos.
Recomendación oficial de INCIBE
Para ampliar información, recomiendo la guía oficial del Instituto Nacional de Ciberseguridad (INCIBE) titulada Protección del puesto de trabajo.
Conclusión
Para afrontar con éxito los desafíos futuros, las medidas de seguridad en los puestos de trabajo deben revisarse y actualizarse de forma continua, garantizando así una protección eficaz frente a las amenazas presentes y emergentes.
Cumplir con estas buenas prácticas no solo reduce riesgos de fugas de datos, sino que demuestra diligencia en el cumplimiento del RGPD y la LOPDGDD.
No se pierda nuestro podcast sobre el artículo
