Este documento tiene como objetivos principales ayudar a los trabajadores a conocer los riesgos que afectan a la seguridad de la información, darles la capacidad de prevenir situaciones de riesgo, y formarlos sobre cómo comportarse ante un incidente de seguridad. También invita a los trabajadores a conocer la política de seguridad de su empresa y crear sus propias normas de seguridad para preservar su información y la de la empresa.
2. www.eset.es
Si estás leyendo esta guía es porque te preocupa la seguridad de tu empresa y la tuya personal, lo cual
es un gran paso. Hace muchos años, el mundo de la seguridad era muy sencillo: existían solo un pu-
ñado de virus y gusanos, era suficiente con contar con un antivirus y la mayoría de los problemas
de seguridad de una empresa venían derivados de no contar con un buen programa de seguridad.
Sin embargo, con el paso de los años y la profesionalización del mundo de los delitos a tra-
vés de Internet, preservar la seguridad corporativa y personal se ha convertido en un auténti-
co reto donde es necesaria una cooperación entre los responsables de informática y los empleados.
Los dispositivos móviles y la deslocalización de trabajadores, las redes socia-
les, el correo electrónico y las aplicaciones de mensajería… Todos y cada uno de ellos
se han convertido en un potencial foco de problemas si no se tiene el debido cuidado.
Tanto si eres un trabajador por cuenta propia como si perteneces a una empresa de cual-
quier tamaño, debes saber que tu información y la de tus clientes tiene un valor económi-
co para los cibercriminales. Las vías para convertir en ingresos tu información, tus cuen-
tas personales o perfiles en redes sociales o incluso tu propio ordenador o dispositivo móvil son
múltiples, y cada día se inventan nuevas formas de sacarle provecho. Por lo tanto, toda precaución es poca.
Esta guía pretende ser una ayuda tanto para ti como para tu jefe, como empleado, y tam-
bién, por supuesto, para las empresas. Solo con una adecuada concienciación y educación
en seguridad se pueden conseguir los resultados más óptimos y una seguridad más eficiente.
INTRODUCCIÓN
3. www.eset.es
1. Introducción
2. Objetivos
• Conocer la política de seguridad y/o las
normas de seguridad de la empresa
• Conocer los riesgos que afectan a la se-
guridad de la información
• Formar a los usuarios sobre cómo com-
portarse ante un incidente de seguridad
3. Seguridad de la información en el trabajo
• Seguridad de la información en el entor-
no de trabajo
• Seguridad de la información en el entor-
no personal (hogar)
• Seguridad de la información de terce-
ros: proveedores de bienes y servicios
4. Lo que debes saber
• Principios de Seguridad aplicables en tu
organización
• Uso seguro de Internet
o Correo electrónico
o Navegación web
o Redes Sociales
o Dispositivos móviles y conexiones con
la empresa
o Redes WiFi públicas
o Contraseñas
• Uso aceptable de la información corpo-
rativa
• Controles de acceso a la información y
aplicaciones
5. Herramientas de seguridad
• Antivirus
• Antispam
• Cortafuegos
• Cifrado de las comunicaciones
• Otras herramientas de seguridad
ÍNDICE
4. www.eset.es
Tanto como si eres un trabajador por cuenta propia como si formas parte de una em-
presa, esta guía tiene como objetivos principales los siguientes puntos:
- Ayudarte a conocer los riesgos que afectan a la seguridad de la información.
- Darte la capacidad de prevenir cualquier situación que pueda poner en riesgo tu
propia seguridad y la de la empresa
- Formarte sobre cómo comportarse ante un incidente de seguridad.
- Invitarte a que conozcas la política de seguridad de tu empresa, sus normas y a
que crees las tuyas propias, con el fin de preservar tu información y tu dinero.
Este cuarto objetivo necesita, obligatoriamente, la colaboración de la empresa, dado
que cada política de seguridad es especial y única en cada entorno corporativo.Así que,
más allá de los consejos que nosotros te podamos dar, te recomendamos que hables
con tu departamento de informática o su responsable para que te guíe acerca de las
normas específicas que operan en tu empresa y así podáis pactar las mejores normas
de actuación y buenas prácticas.
OBJETIVOS
5. www.eset.es
SEGURIDADDELA
INFORMACIÓNENELTRABAJO
Seguridad de la información en el trabajo
Muchas veces manejas tanta información de tu empresa que ni eres consciente del valor que ésta puede tener
en el mercado negro. Las formas de convertir en beneficio económico tus datos o los de tus clientes, tu propio
ordenador o dispositivo móvil controlados remotamente, son múltiples y variadas, y van cambiando en el tiem-
po.
Existen dos aspectos sumamente importantes que debes tener en cuenta cuando se habla de seguridad infor-
mática:
- La seguridad informática en sí misma, que cuenta con múltiples herramientas en el mercado para ayu-
darte a preservarla.
- El secreto de tu información, que tiene una parte de seguridad pero otra muy importante de conciencia-
ción y de sentido común.
Por otro lado, cuando hablamos de seguridad de la información, siempre tenemos que contemplar tres escena-
rios diferentes:
• Seguridad de la Información en el entorno de trabajo,
• Seguridad de la Información en el entorno personal (hogar)
• Seguridad de la Información de terceros: proveedores de bienes y servicios
6. www.eset.es
Seguridad de la Información en el entorno de trabajo
La Seguridad de la Información se encarga de garantizar la integridad, la disponibilidad
y la confidencialidad de la información de la empresa. Cualquier información corporati-
va es sumamente valiosa, tanto si se trata de planes estratégicos, como datos financie-
ros o bases de datos de clientes.
La confidencialidad de la información es la necesidad de que esta solo sea conocida por
personas autorizadas. Muy importante sobre todo en empresas de gran tamaño. Por
ejemplo, si un usuario cualquiera pudiese acceder a la base de datos de un servidor web,
o cualquier empleado pudiera conocer la información contable de la empresa, se estaría
vulnerando la confidencialidad de la información.
La disponibilidad de la información es su capacidad de estar siempre disponible en el momento en que se ne-
cesite, para ser procesada por las personas autorizadas. Imaginemos que un negocio vende online, y que es
atacado de forma que la tienda no está disponible. En este caso, se estaría vulnerando la disponibilidad de la
información.
Por último, la integridad de la información es la característica que hace que su contenido permanezca inalte-
rado, a menos que sea modificado por personal autorizado. Si un ciberdelincuente pudiera modificar los pre-
cios de venta de un sitio web, o un empleado ajeno al área de ventas pudiera hacerlo, se estaría vulnerando la
integridad de la información.
SEGURIDADDELA
INFORMACIÓNENELTRABAJO
7. www.eset.es
Seguridad de la Información en el entorno personal (hogar)
La Seguridad de la Información también es importante en un entorno personal, es decir,
en tu casa. Cada vez contamos con más dispositivos conectados entre sí y cada vez más
los utilizamos de forma indistinta para un uso personal y profesional.
Esto no hace más que incrementar los riesgos de forma exponencial, situación agravada
por el hecho de que muchas veces no valoramos en su justa medida nuestros datos per-
sonales.
Existen tres aspectos que debemos cuidar si queremos preservar nuestra seguridad online en el hogar:
- La seguridad de la información entendida como la preservación de nuestros datos personales y la integri-
dad de nuestros dispositivos y aplicaciones
- El secreto de nuestra información
- Nuestra reputación online
Continuamente habrás oído la frase de“¡Si entran en mi ordenador, que entren, solo tengo fotos!”. Es decir, exis-
te un menor nivel de concienciación sobre el valor que puede tener la información en nuestro hogar que en
nuestra empresa.
Pues bien, muchas veces compramos online, o realizamos transacciones bancarias desde nuestros dispositivos
sin caer en la cuenta de que esta simple acción puede suponer un problema si no hemos tomado las adecuadas
medidas de seguridad.
SEGURIDADDELA
INFORMACIÓNENELTRABAJO
8. www.eset.es
Trabajamos desde nuestro smartphone o tablet conectándonos a nuestra empresa, pen-
sando que además le estamos haciendo un favor a nuestro jefe al emplear nuestros pro-
pios dispositivos para trabajar, algo que seguramente es cierto. Pero al ser dispositivos
que no están incluidos en el plan de seguridad de la empresa, lo que estamos haciendo,
quizá de forma inconsciente, es poner en peligro la Seguridad de la Información de la em-
presa.
Por otro lado, hay otro bien personal que debemos cuidar y preservar: nuestra privacidad
y nuestra reputación. Ambos son muy fáciles de vulnerar si no se toman las medidas de seguridad y de sentido
común adecuadas que reduzcan nuestro umbral de riesgo.
Si utilizamos las redes sociales, deberíamos cuidar la información que damos de nosotros mismos, así como las
fotos o vídeos que compartimos. Igualmente, también debemos de vigilar dónde introducimos nuestros datos
personales y qué tipo de información cedemos a las redes sociales u otro tipo de servicios online.
Lo mismo sucede con nuestra reputación. En Internet es muy fácil sobrepasar los límites de la libertad de ex-
presión, y cualquiera puede vulnerar nuestra reputación publicando cosas acerca de nosotros en blogs, foros o
redes sociales. Por lo tanto, una adecuada monitorización y seguimiento en Internet puede alertarnos de con-
tenidos sobre nosotros que pudieran haber sido publicados y tomar las acciones pertinentes.
SEGURIDADDELA
INFORMACIÓNENELTRABAJO
9. www.eset.es
Seguridad de la Información de terceros: proveedores de bienes y servicios
El tercer aspecto que debemos tener en cuenta cuando pensamos en la Seguridad de
la Información, ya sea personal o profesional, contempla las políticas que los provee-
dores de bienes y servicios aplican a la hora de prestar los trabajos contratados.
Si hablamos de un entorno personal, un proveedor de servicios puede ser, por ejem-
plo, tanto Facebook como cualquier servicio online que contratemos o cualquier
tienda online donde adquiramos bienes.
Es sumamente importante leerse la letra pequeña de las condiciones de uso, acuerdo de licencia, condiciones
de venta o de prestación de servicios y ser conscientes de que, cada vez que lo aceptamos, en realidad esta-
mos firmando un contrato virtual y, por tanto, nos sometemos a sus condiciones.
En la inmensa mayoría de las ocasiones nadie se lee estas condiciones, ya que resultan tediosas, liosas y
muchas veces vienen en otro idioma diferente al nuestro. Por lo tanto, no le damos mucho crédito hasta que
tenemos algún problema, cuando ya es tarde para reclamar.
En este sentido, podemos encontrarnos con situaciones en las que una gran red social como Facebook guar-
da todos nuestros datos para trazar un perfil sobre nosotros y, posteriormente, explotarlos publicitariamen-
te. Lo mismo hace Google, quien rastrea y guarda todo lo que hacemos en Internet si tenemos la sesión
abierta en cualquiera de sus servicios.
SEGURIDADDELA
INFORMACIÓNENELTRABAJO
10. www.eset.es
SEGURIDADDELA
INFORMACIÓNENELTRABAJO
También podemos adquirir un bien que, si no nos gusta, no podemos devolver, porque
como tal figuraba en las condiciones de venta. O darnos de alta en un servicio que nos
compromete a una permanencia de un año y del que no nos podemos desligar antes
aunque queramos.
Todas estas situaciones probablemente te resultarán familiares, y se podrían evitar si
tuviéramos la buena costumbre de leer antes y saber las condiciones de cada sitio.
Estos riesgos se agravan cuando hablamos de un entorno profesional o empresarial. Pensemos en servicios
de relaciones con clientes online (en la nube) o de alojamiento de información de una manera externa a la em-
presa, como bases de datos, documentos, información confidencial, etc, o un proveedor de comunicaciones
internas…
Prácticamente todas las grandes y conocidas marcas del mercado suelen ofrecer tanto robustos sistemas de
seguridad como los llamados SLAs, “Service Level Agreement (Acuerdos de nivel de servicio), donde garanti-
zan la disponibilidad de la información e incluso el pago de una indemnización en caso de problemas.
Sin embargo, no existe ningún sistema 100% seguro, y hemos visto a lo largo de los años cómo hasta los más
grandes han sido víctimas, de vez en cuando, de problemas derivados de intrusiones y de robo de información.
Por no mencionar el problema que puede derivar de que un empleado haga un mal uso de la contraseña de
acceso o que pierda un dispositivo con un acceso directo sin“login” y éste caiga en malas manos.
Por tanto, conocer a fondo los proveedores de bienes y servicios con los que trabaja la empresa, averiguar
cuáles son sus niveles de servicio y de seguridad y saber cuál es la política de contraseñas de la compañía ayu-
dará sin duda a situar el nivel de riesgo de la Seguridad de la Información alojada en sitios de terceros.
12. www.eset.es
LOQUEDEBES
SABER
Lo que debes saber
La mejor forma de colaborar en la seguridad de la información de tu empresa es el
conocimiento de todo lo que le afecta y ser conscientes de los riesgos que se pue-
den correr. Solo de esta manera seremos capaces de actuar de forma proactiva
ante situaciones que pudieran poner en peligro la integridad, la disponibilidad y la
confidencialidad de la información.
Principios de Seguridad aplicables en tu organización
En un mundo ideal, cada empresa debería tener unas políticas de seguridad que rigen las normas de actua-
ción y de funcionamiento interno de la compañía con el objetivo de preservar la seguridad física y lógica.
La seguridad física hace referencia a todo aquello que evite riesgos en el mundo físico, como pudieran ser
robos, seguridad en el puesto de trabajo, incendios, etc. La seguridad lógica es la que se aplica a todos los
sistemas informáticos que utilizados para gestionar la empresa, tanto centralizados como descentralizados,
tanto si están conectados a Internet como si no lo están.
Lo habitual en empresas grandes es que la formación en estas Políticas de Seguridad se haga cuando un tra-
bajador se incorpora a su puesto, entregándole dichas políticas en un documento fácil de leer y de entender.
Este documento debe contener todas las normas relativas a la seguridad de la información, como la gestión
de usuarios y contraseñas, el uso o no de redes sociales u otros servicios de Internet, el poder instalar o no
programas no corporativos en los dispositivos, uso de teléfonos o tabletas, manejo y transporte de la infor-
mación en dispositivos extraíbles o correo electrónico, qué hacer ante un incidente de seguridad y cuál es el
protocolo de actuación en caso de emergencia, entre otras cosas.
13. www.eset.es
Estas normas tienen su razón de ser y existen para ayudar a que, entre todos, la seguridad de la información
se preserve y no haya problemas en la empresa en este sentido. En muchas empresas, el que un empleado se
las salte puede conllevar sanciones o reprimendas.
Sin embargo, aunque este tipo de documentos formales y corporativos existen en la mayoría de las grandes
empresas, en muchas otras de menor tamaño brillan por su ausencia o existen unas normas no escritas pero
pactadas con los trabajadores.
Sea cual sea la situación en la que te encuentres, es recomendable que te intereses por la existencia o no de
este documento o por las normas verbales, y que sepas cuáles son en cada caso para seguirlas al pie de la letra
para evitar riesgos para la empresa y problemas para ti.
Uso seguro de Internet
Cualquier ordenador, teléfono o tableta entraña un riesgo de seguridad. Cada día se
crean más de 250.000 códigos maliciosos (virus, troyanos, ataques de phishing, etc.)
para conseguir engañar a los usuarios. Por lo tanto, utilicemos las herramientas que
utilicemos, vamos a estar expuestos a dichos riesgos. Y estos son más altos si esta-
mos conectados a Internet y navegamos, utilizamos redes sociales, etc.
Conociendo los riesgos, la probabilidad se reduce un 50% de ser víctimas de un frau-
de, un engaño o una infección, porque aprenderemos a reconocerlos y a evitarlos. Y
si completamos nuestras buenas prácticas con la instalación de herramientas de seguridad, no estaremos
exentos, pero al menos reduciremos el umbral de riesgo significativamente.
LOQUEDEBES
SABER
14. www.eset.es
a) Correo electrónico
El uso de un correo electrónico corporativo supone someterse a una serie de nor-
mas de actuación para preservar su seguridad. Aunque la empresa tenga insta-
ladas herramientas de seguridad, muchas veces, sin darnos cuenta, estamos
exponiendo la integridad de nuestro correo a un riesgo innecesario al darnos de
alta con él en redes sociales u otros servicios para un uso personal.
Al hacerlo, no solo estaremos exponiendo nuestra dirección a riesgos, sino al en-
vío de spam, newsletters o incluso ataques de phishing que no hacen más que
mermar la productividad.
Por lo tanto, es recomendable seguir las indicaciones para preservar la seguridad del correo electrónico
corporativo y no utilizarlo para fines personales. Existen multitud de servicios gratuitos, como Gmail o
Yahoo!, en los que podemos crearnos una dirección de correo personal y utilizarla para darnos de alta en
cuantos sitios queramos. Si ya has utilizado tu correo electrónico para darte de alta en estos sitios, todas
las redes sociales y los sitios online te dan la posibilidad de cambiarlo, así que estás a tiempo.
Y si ves que recibes muchos correos o intentos de ataques de phishing, date de baja en los newsletters
que recibas y notifica al servicio de informática de tu empresa el phishing que estás recibiendo, para que
pueda poner los medios para bloquear estos mensajes y así evitar que puedas ser víctima de uno de ellos.
Si te preguntas qué es el phishing, es una amenaza que en la mayoría de las ocasiones viene en un correo
electrónico simulando ser tu banco o tu red social e invitándote a que introduzcas tus datos de acceso
en el sistema porque se han detectado problemas de seguridad. Cuando accedes, probablemente el sitio
que veas sea igual que Amazon, Facebook o tu banco, pero fíjate en la barra de dirección de tu navega-
dor, porque casi siempre es una página clonada pero alojada en otro sitio diferente. Si introduces tus
datos, éstos caerán en manos indeseadas que pueden hacer un uso indebido de ellos.
LOQUEDEBES
SABER
15. www.eset.es
b) Navegación web
Muchas empresas tienen bloqueada la posibilidad de navegación de sus em-
pleados, más por precaución que por distracción de sus obligaciones. Pero esta
medida termina siendo contraproducente a la larga, porque es indudable que
Internet es una gran herramienta de trabajo con la que un comercial puede lo-
calizar nuevos clientes o una central de compras, a nuevos proveedores.
También existen muchas empresas que contemplan en su política de seguridad
una forma de navegación restringida, donde el usuario puede utilizar Internet pero no entrar a determi-
nados sitios, como a redes sociales, por ejemplo.
En otras ocasiones, no existe ninguna restricción.
Sea cual sea tu situación, debes saber que si utilizas Internet en el trabajo es recomendable hacerlo con
un uso profesional, y no personal, para evitar problemas laborales. Pero además, también debes saber
que tienes entre manos una gran herramienta con algunos riesgos, entre los que se incluyen infectar el
parque de ordenadores de tu empresa por navegar por sitios inadecuados, por ejemplo.
Así que nuestra recomendación es que apliques el sentido común, hagas un uso profesional de la nave-
gación, evites ir a sitios de contenido dudoso y que hagas caso de los avisos que algunos navegadores te
muestran cuando intentas visitar un sitio que pudiera contener algún tipo de amenaza.
LOQUEDEBES
SABER
16. www.eset.es
c) Redes sociales
Tal y como hemos comentado anteriormente, algunas empresas tienen res-
tringido el uso de redes sociales en el trabajo con el objetivo de que la produc-
tividad no disminuya. Sin embargo, otras muchas han descubierto el gran po-
tencial que desde el punto de vista de marketing y promoción tiene el que los
trabajadores hablen en nombre de la empresa en las redes sociales, promocio-
nen sus productos y servicios, etc.A fin de cuentas, pueden más 10 voces que 1.
Si este fuera el caso, la empresa debería tener un código de conducta en las redes sociales donde se nor-
maliza de qué se puede hablar y de qué no, o cuándo se solicita la ayuda y cooperación de los trabajado-
res para la promoción de un determinado producto o servicio.
Si la empresa tiene este código de buenas prácticas, el sentido común te dirá que las sigas. De esta ma-
nera, contribuirás a que tu empresa crezca promoviendo sus productos y servicios, y tú estarás desarro-
llando una práctica de buena reputación profesional.
Hay que tener especial cuidado con lo que se puede contar o no de la empresa. Muchas veces no somos
capaces de distinguir si una información interna es confidencial o no, o hasta qué punto se puede contar
algo. Si tienes dudas, dirígete al departamento de marketing o comunicación a preguntar (y si no lo hay,
a tu jefe más directo), ya que más vale prevenir.
Por otro lado, si utilizamos nuestros perfiles de redes sociales desde los dispositivos de la empresa, de-
bemos tener especial cuidado con aquellos mensajes privados o públicos que pudieran resultar sospe-
chosos y que suelen venir acompañados de rimbombantes titulares como“El mejor vídeo que jamás has
visto”. La mayoría de las amenazas que se distribuyen a través de las redes sociales vienen asociadas con
la descarga de un troyano u otro código malicioso que podría infectar el ordenador corporativo y, por lo
tanto, poner en riesgo la integridad de la red.
LOQUEDEBES
SABER
17. www.eset.es
Por último, si eres la persona encargada de gestionar las redes sociales de la
empresa, tienes que tener en consideración otra serie de buenas prácticas:
- Sigue siempre las normas en cuanto al lenguaje corporativo a aplicar y el tipo de información
que puedes compartir con tus comunidades.
- Protege el usuario y la contraseña de tus canales oficiales y encárgate de cambiarlo al menos
cada tres meses.
- Ante cualquier sospecha de que la cuenta haya sido secuestrada o vulnerada, informa inme-
diatamente a tus superiores y al departamento de informática, y procede a intentar recuperar la
cuenta. Si ves actividad sospechosa en la cuenta, avisa a tu comunidad (desde el blog corporati-
vo, por ejemplo).
LOQUEDEBES
SABER
18. www.eset.es
Dispositivos móviles y conexiones con la empresa
Puede que en tu empresa te hayan proporcionado un teléfono y/o tableta como
herramientas de trabajo. Estos dispositivos suponen una gran ventaja, ya que
permiten el acceso a la información en todo momento. Pero transportar infor-
mación sensible de la empresa en un dispositivo móvil puede entrañar un ries-
go, ya que puede abrir las puertas a la fuga o al robo de información. ¿Qué pa-
saría si el dispositivo se pierde? ¿O si te lo roban?
Por eso, aunque el dispositivo no sea nuestro, es necesario cuidarlo como si lo fuera, tomando precauciones
proactivas, como utilizarlo solo con fines laborales, no compartirlo con personas ajenas a la organización y
mantener las mejores prácticas de seguridad.
Entre estas, te recomendamos las siguientes:
- Coloca una contraseña de acceso al teléfono. De esta manera, si te lo roban, dificultarás el acceso a la
información que contiene.
- Descarga aplicaciones solo desde sitios oficiales y de confianza. Sigue siempre la normativa corporati-
va y averigua si puedes hacerlo.
- Instala un software de seguridad en el dispositivo en caso de no tenerlo. Eso sí, consulta antes al de-
partamento de informática.
- Por último, cifra la información almacenada en tu dispositivo. Existen muchas aplicaciones para ha-
cerlo. Consúltalo también a tu departamento de informática.
Si la empresa no te proporciona estos dispositivos, probablemente acabarás utilizando los tuyos propios. Esto
es lo que en informática se llama ahora BYOD, siglas en inglés de Bring Your Own Device o lo que es lo mis-
mo, utiliza tus propios dispositivos.
LOQUEDEBES
SABER
19. www.eset.es
Redes Wi-Fi públicas
Es común utilizar el equipo portátil de trabajo para conectarse a redes Wi-Fi pú-
blicas como, por ejemplo, redes de bares, cafés, aeropuertos, etc. En estos casos
debe considerarse que la seguridad estará ligada a los controles existentes en di-
cha red. En muchos casos, estos controles son inexistentes, tales como la ausen-
cia de contraseña para realizar la conexión Wi-Fi, o permitir que los dispositivos
se vean entre sí.
Por ello, recomendamos no realizar conexiones importantes, como por ejemplo acceder al correo corpora-
tivo, ya que la red puede estar expuesta y que la información viaje sin ningún tipo de cifrado, haciendo que
muchos de los datos enviados puedan ser vistos por otra persona que esté conectada a la misma red.
En el caso de que utilices un equipo público para conectarte con tu empresa, evita abrir archivos con informa-
ción confidencial de forma local, ya que estos archivos pueden quedar accesibles en ese equipo y ser vistos por
cualquier persona que utilice el mismo equipo en un futuro.
Si vas a utilizar este tipo de redes, consulta con el departamento de informática para que, si es posible, te ha-
biliten una red VPN (Virtual Private Network o red privada virtual). De esta manera, cada vez que te conectes
con la empresa, estarás navegando de forma segura y con la información protegida.
LOQUEDEBES
SABER
20. www.eset.es
Contraseñas
Dada la cantidad de sistemas, plataformas, correos electrónicos y otros servicios de la
empresa existentes, cada integrante de la compañía suele tener varias contraseñas.
Sin embargo, una única contraseña débil puede significar el acceso a información con-
fidencial o a un sistema por parte de un atacante o un código malicioso.
Entendemos como contraseñas débiles aquellas que no combinan letras, números,
símbolos y mayúsculas y minúsculas, como mínimo, y que son de menos de 10 caracteres. Una contraseña
débil es, por ejemplo, 1111111.
Teniendo en cuenta esto, es importante que las contraseñas que se utilizan dentro de la empresa (y también
a nivel personal) sean fuertes: es decir, fáciles de recordar y difíciles de descifrar.
Muchas veces la motivación de crear contraseñas fuertes contrae el riesgo de que sean olvidadas. Debido a
esto, la utilización de un software para la gestión de contraseñas es la alternativa más adecuada, no siendo
así la utilización de cuadernos o papeles pegados en el escritorio para anotarlas. Además, la utilización de
contraseñas diferentes para los distintos servicios corporativos claves es también muy importante.
LOQUEDEBES
SABER
22. www.eset.es
Uso aceptable de la información corporativa
El uso aceptable de la información corporativa es una política interna que de-
fine el uso apropiado de los recursos informáticos. Esta se refiere a la informa-
ción almacenada o transferida por medio de redes informáticas, teléfonos u
otros dispositivos de comunicaciones, así como al uso y protección de los ac-
tivos físicos en sí mismos.
Esta política regula el uso de ordenadores, redes, teléfonos y demás dispositivos y tiene como fin último asegu-
rarse de que todos los recursos informáticos y de comunicaciones son utilizados solamente para fines laborales
y que la información contenida o transmitida por estos medios esté protegida contra usos no autorizados,
apropiación o corrupción.
Cada política interna será diferente para cada empresa, pero suelen tener algunos puntos en común como los
siguientes:
- La conectividad a Internet se dará a los trabajadores solo con fines laborales y se otorga para llevar a
cabo actividades directamente relacionadas con sus responsabilidades dentro de la organización.
- Los usuarios deben estar al tanto de los riesgos asociados al acceso a Internet, incluyendo la falta de
confidencialidad e integridad de la información enviada vía Internet.
- Los usuarios no deben divulgar en Internet información clasificada como reservada o confidencial.
- No se debe enviar vía correo electrónico ninguna comunicación considerada crítica, a menos que se
realicen esfuerzos suficientes para asegurar la entrega y la transmisión de la misma en forma segura.
- Los usuarios no deben utilizar direcciones de la organización para publicar información en sitios de In-
ternet públicos.
- Cualquier información publicada en grupos de discusión, redes sociales, etc., no debe divulgar ningún
tipo de información de la organización que no esté previamente aprobada.
- Los usuarios deben saber que cuando se navega en Internet, cada servidor web puede obtener informa-
ción relativa al sistema que se esté utilizando, incluyendo en algunos casos información al respecto de las
preferencias de la persona y otros sitios de Internet visitados durante la sesión.
Es recomendable siempre preguntar por la política interna al respecto y actuar en consecuencia.
LOQUEDEBES
SABER
23. www.eset.es
Control de acceso a la información y aplicaciones
Este suele ser uno de los“caballos de batalla” de cualquier organización, sea cual
sea su tamaño. Hay que tener claras las reglas del juego, y aunque ya hemos ha-
blado anteriormente sobre las contraseñas, recomendamos seguir unas pautas
de comportamiento y sentido común que pueden evitar más de un quebradero
de cabeza a la organización.
1. Control de accesos
a. Debes tener acceso a la información y aplicaciones corporativas que necesites para tu trabajo.
Dicho acceso te lo debería dar el departamento de informática. Si en algún momento hay algún
tipo de acceso que ya no utilices, es recomendable notificarlo para que revoquen dicho permiso.
b. Si eres responsable de dar accesos y permisos a otros usuarios, el criterio que debería prevale-
cer es que solo se debe conceder dichos privilegios a la información y aplicaciones que el usuario
necesite para su trabajo.
c. Recuerda que en la mayoría de los sitios, los procedimientos de alta están claros, pero no así
los de baja en el sistema. Es totalmente recomendable dar de baja a los usuarios si ya no se utili-
za una aplicación o el trabajador ya no continúa en la empresa.
2. Administración de cuentas y contraseñas
a. Los accesos mediante usuarios y contraseña son personales. Esto quiere decir que eres res-
ponsable del uso que haces de dichos accesos. Esto es lo que deberías evitar:
a.i. Compartirlo con otras personas.
a.ii. Exponerlo públicamente. Un claro y clásico ejemplo sería apuntarlo en una nota de papel
para no olvidarlo.
a.iii.Cambiar la contraseña que te han proporcionado por otra menos robusta porque“así la
recordarás mejor”.
b. Debes recordar, además, cambiar todas tus contraseñas al menos cada tres meses, a no ser
que las políticas de tu empresa tengan otra normativa diferente.
LOQUEDEBES
SABER
24. www.eset.es
Herramientas de seguridad
Ahora que has llegado a este punto de esta guía, habrás visto que la mayoría de las me-
didas proactivas de seguridad son de sentido común. Pero ni siquiera el estar conciencia-
dos sobre seguridad y tomar todas las precauciones del mundo nos va a garantizar el
estar 100% exentos de correr riesgos, dado que muchas veces el peligro puede estar en
algo que ni podemos ver .
Así que utilices Linux, Mac o Windows en tu ordenador o bien tengas un smartphone o una tablet Android o
iOS (Apple), es imprescindible contar con un buen software de protección antivirus que sea capaz de bloquear
y neutralizar lo que a ti se te pueda pasar o no veas, que te proteja contra el spam, contra el phishing, etc.
Hay muchas herramientas de seguridad en el mercado. La elección, como siempre, a gusto del consumidor.
Pero sea cual sea, estos son los criterios que debes sopesar por encima de otros:
- Elige un software de seguridad que no consuma demasiada memoria. Si lo haces, tu ordenador se-
guramente estará muy protegido, pero no podrás hacer nada más porque el antivirus se llevará todos
los recursos del ordenador. Este punto es especialmente crítico en caso de ordenadores antiguos con
procesadores lentos.
- Escoge un software de seguridad que sea rápido en hacer lo que tiene que hacer. Un antivirus va a
analizar cada elemento que te descargues o recibas por correo, cada conexión de red, cada fichero que
crees, cada sitio por el que navegas... Este análisis tiene que ser capaz de hacerlo en milésimas de se-
gundo, sin que lo notes. En caso contrario, te impedirá un desempeño normal de tu trabajo, ya que
tendrás que esperar a cada momento que el antivirus haga sus análisis.
- Por último, aunque todos los antivirus parecen iguales en cuanto a detección y bloqueo o eliminación
de amenazas informáticas, en realidad hay muchas diferencias.Así que instala un buen software antivi-
rus capaz de hacer frente a las más de 250.000 nuevas amenazas informáticas que cada día aparecen.
LOQUEDEBES
SABER
25. www.eset.es
Así que para estar tranquilo, te recomendamos que instales, como mínimo, las siguientes herramientas en tu
ordenador, que pueden ir separadas o juntas (mucho mejor esta última opción para asegurar un mejor rendi-
miento y compatibilidad):
Antivirus
- Protege los equipos y su información de distintos ataques de códigos maliciosos. Los antivirus más
efectivos incluso protegen proactivamente ante malware nuevo o desconocido.
- Para smartphones o tablets, a pesar de que la creencia es que no existen amenazas para ellos, sí las
hay y proliferarán en el futuro. Pero el principal riesgo, como ya hemos visto, es la pérdida o el robo
del terminal. Este tipo de software es capaz de geolocalizar el dispositivo, bloquearlo, etc. Por eso
recomendamos su instalación.
Cortafuegos
- Puede estar integrado con el antivirus y protege al equipo informático de las conexiones de Internet
entrantes y salientes que se quieren realizar en diversos tipos de ataque o también las automáticas
que se intentan realizar desde el equipo.
Antispam
- Es un software que muchas veces está integrado con la solución antivirus o con el cliente de correo
y permite a la persona no recibir spam o correos no deseados en su bandeja de entrada corporativa.
Software para el cifrado de las comunicaciones
- Evita que toda la información que viaja a través de la red sea comprensible para un ciberdelincuente
que pudiera interceptarla, protegiendo así los datos.
Otras herramientas de seguridad
Además, hay muchas otras herramientas que suelen ser implementadas por las empresas en el perí-
metro de la red o directamente en los servidores para proteger al negocio y que no son visibles para los
integrantes de la compañía, como por ejemplo: proxy, IDPS, IPS, firewall perimetral, entre otras.
Te invitamos a que pruebes las soluciones de ESET que puedes descargar gratis en www.eset.es.
LOQUEDEBES
SABER
26. www.eset.es
¡¡SÍGUENOSENLASREDES!!
SOBRE ESET
Fundada en 1992, ESET es un proveedor global de software de seguridad para empresas y consumidores.
El líder de la industria en detección proactiva de malware, ESET NOD32 Antivirus, posee el récord mundial en nú-
mero de premios VB100 de Virus Bulletin, sin haber dejado de detectar nunca ni un solo gusano o virus“in the wild”
(activo en el mundo real) desde la fundación de las pruebas en 1998.
ESET tiene sus oficinas centrales en Bratislava (Eslovaquia) y oficinas en San Diego (EE.UU.), Buenos Aires (Argen-
tina), Praga (República Checa) y una amplia red de partners en 160 países. En 2008, ESET abrió un nuevo centro de
investigación en Cracovia (Polonia).
ESET fue incluida en la listaTechnology Fast 500 de Deloitte como una de las compañías tecnológicas de más rápido
crecimiento en la región de Europa, Oriente Medio y África.