La responsabilidad individual es clave en la protección de activos de una empresa. Si bien cualquier compañía dispone de mecanismos y sistemas de seguridad para proteger sus activos, no hay que perder de vista que estos mecanismos son operados por personas.
Al final, para que todos estos mecanismos y sistemas de seguridad funcionen correctamente, los encargados de ellos también tienen que hacer su trabajo. La responsabilidad individual es una parte fundamental para una mejor protección de los activos de la empresa, minimizando así el riesgo.
La seguridad empieza en uno mismo y, a continuación, prosigue en el entorno más inmediato del trabajador.
A lo largo de este artículo veremos más a fondo quién debe ser el responsable del plan de seguridad, buenas prácticas en la protección de activos y cómo actuar ante un intento de ataque.
¿Quién debe ser responsable?
El responsable es el designado en el plan de seguridad de la organización. Esa es la persona que debe velar porque todo el personal disponga de los accesos necesarios y ningún otro más, esté adecuadamente formado, disponga de las herramientas necesarias y aplique las instrucciones que rigen en el ámbito de la seguridad.
Sus responsabilidades van más allá de la simple supervisión y requieren una acción proactiva en varios aspectos:
- Gestión de accesos: Debe asegurarse de que todo el personal tenga los accesos necesarios para realizar su trabajo, sin comprometer la seguridad. Esto implica gestionar permisos y roles de acceso de manera continua, revisando y actualizando estos según las necesidades operativas y los cambios en la estructura organizacional.
- Formación y concienciación: Una parte crucial de sus deberes es garantizar que el personal esté adecuadamente formado en materia de seguridad. Esto incluye no solo la capacitación inicial, sino también la actualización constante sobre nuevas amenazas, mejores prácticas y cualquier cambio en las políticas de seguridad de la organización.
- Provisión de herramientas: El responsable debe velar porque todos los empleados dispongan de las herramientas necesarias para cumplir con sus responsabilidades de manera segura. Esto incluye desde software y hardware adecuados a sus necesidades y actualizados a las últimas versiones, hasta recursos como manuales, guías y soporte técnico especializado.
- Aplicación de políticas y procedimientos: Es su tarea asegurar que se cumplan todas las políticas y procedimientos de seguridad establecidos. Esto no solo implica monitorizar el cumplimiento de las mismas, sino también mejorar y adaptar las políticas a los nuevos desafíos de seguridad que puedan surgir.
- Evaluación y mejora continua: La seguridad no es estática, y el responsable debe estar constantemente evaluando la eficiencia de las medidas implementadas, realizando auditorías periódicas y promoviendo mejoras continuas. Esto incluye identificar vulnerabilidades, analizar incidentes pasados y ajustar estrategias para prevenir futuros riesgos.
¿Por qué hablamos de responsabilidad individual?
Cada empleado, independientemente de su puesto, debe conocer la parte del plan de seguridad que le corresponde. Debe estar debidamente formado y motivado para poder reconocer una amenaza a la seguridad de los activos.
Son los empleados parte fundamental de la defensa de los activos de la empresa. También son parte vulnerable. Mientras que el responsable de seguridad es la persona que se asegura que existen recursos para hacer frente a las amenazas, razón por la que está más concienciado, el resto de empleados son más susceptibles a ataques y engaños (Phishing, vishing, etc.)
Por ello se debe prestar atención a sus rutinas, formas de trabajar, herramientas y equipos y su formación en el ámbito de la seguridad laboral.
La responsabilidad de mantener los activos a salvo empieza en el empleado. Aquel que maneja esos activos es el primero que debe advertir que algo no está como debiera, que ha habido un cambio no notificado o inesperado, y debe saber cómo actuar y a quien reportar en cada momento.
Buenas prácticas de seguridad
Cada puesto es diferente. Desde la directora de RRHH hasta el más junior de los operadores tienen una serie de tareas asignadas. Dada la naturaleza dispar de estas responsabilidades y tareas, cada una de ellas ha de ejecutarse siguiendo una serie de pautas específicas para cada posición. En cada puesto los riesgos de seguridad son diferentes.
Aun así, existen algunas recomendaciones en lo referente a buenas prácticas de seguridad que son de aplicación universal. Como ejemplo, una lista con algunas:
Seguridad de las contraseñas
A la hora de plantear nuevas contraseñas, he aquí algunas recomendaciones para una mayor seguridad:
Únicas: No reusamos ni reciclamos contraseñas. Cada cuenta ha de tener su propia contraseña única, sin excepción. De esta manera evitamos riesgos cuando hay filtrados de contraseñas, algo que está pasando cada vez con más frecuencia.
Robustas: Una contraseña ha de tener un mínimo de 10 caracteres, combinando minúsculas, mayúsculas, números y caracteres especiales. Idealmente, puede utilizarse una frase de contraseña en lugar de una palabra. Todo dependerá de lo que permita la herramienta que vamos a proteger.
Originales: Una contraseña no debe aparecer nunca en un diccionario. De ninguna clase. En ningún idioma. No debe usarse pues una palabra que exista, ni siquiera poniéndola del revés. Una contraseña debe ser original, una combinación aleatoria (o al menos que lo parezca) de caracteres.
Confidencialidad de la contraseña: Una contraseña jamás debería estar apuntada en un post- it y pegada al lado del monitor. Tampoco en un cajón, o en la libreta que está sobre el escritorio. Esto facilita la tarea a un posible intruso, al que estamos facilitando las credenciales de acceso. En esencia, una contraseña no debe apuntarse y si es imposible no hacerlo, lo ideal es usar un gestor de contraseñas.
Doble factor de autenticación
El Doble Factor de Autenticación (2AF por sus siglas en inglés) es una capa de seguridad extra que se aplica a una cuenta.
No basta con saber la contraseña para acceder, además ha de concederse acceso activamente utilizando un segundo dispositivo, habitualmente un teléfono móvil o una cuenta de correo electrónico.
De esta manera, podemos estar protegidos ante filtraciones de contraseñas y ataques por parte de actores de amenazas.
Confidencialidad de los datos
Además de la consabida cláusula de confidencialidad, todo empleado debe ser consciente de la importancia de mantener los datos que maneja en el estricto secreto profesional.
¿Eres consciente de lo fácil que es perder un pendrive? Ahora imagina que en ese pendrive llevas los datos de los principales clientes de la empresa. El riesgo es muy elevado y las consecuencias legales, económicas, de reputación, etc., pueden ser muy graves.
Para evitarlo, lo más recomendable es el uso de correo cifrado para enviar datos sensibles a través de la red y el uso de medidas de control de accesos. En el caso del uso de pendrives, aunque la recomendación principal es no usarlos, se podrían utilizar convenientemente cifrados, con acceso protegido por contraseña.
Bloqueo del equipo
Una buena práctica de seguridad muy fácil de seguir y que, curiosamente, casi nadie realiza es el bloqueo del equipo al ausentarse del puesto de trabajo.
Cada vez que nos levantemos y dejemos nuestro equipo sin nuestra supervisión, aunque sea para ir al cuarto de baño, el terminal se debe bloquear. Es la única manera de evitar accesos no deseados durante nuestra ausencia.
En Windows basta con pulsar simultáneamente las teclas Windows + L para bloquear el equipo de manera inmediata. En equipos Apple podemos hacer lo mismo con Comando + Shift + Q.
Todo empleado debe conocer estas combinaciones y aplicarlas convenientemente. No deben olvidar de que, en caso de problemas, serán responsables de lo ocurrido durante su sesión abierta, aunque no estuviesen físicamente delante en el ordenador.
Orden y limpieza
Aunque parezca que no guarda relación, el orden y la limpieza del puesto de trabajo son parte fundamental en la seguridad de los activos de la empresa.
Un escritorio desordenado, con papeles de diferentes asuntos a la vista y una papelera llena de documentación que podría ser confidencial son una fuente de información excelente para un potencial intruso.
Los documentos que no se estén utilizando deben ser archivados en un cajón fuera de la vista y bajo llave, y se deben utilizar las destructoras de documentación para desechar papeles obsoletos o software de borrado para archivos digitales. En caso de contar con un archivo de la empresa, el archivero nos indicará cómo guardar la documentación, durante qué plazos de tiempo y cuándo destruirla y bajo qué circunstancias.
Si fuese necesario, puede recurrirse a los servicios de empresas especializadas en la destrucción masiva de documentación.
Cultura de empresa
Es una buena práctica el propiciar y fomentar un ambiente de responsabilidad en lo que al ejercicio de la seguridad se refiere.
La empresa puede y debe alentar y facilitar la adopción de pautas y costumbres que ayuden a mantener los activos seguros.
Una buena cultura de empresa en el que cada persona es responsable ayudará a mantener los activos seguros.
Sentido común
Por último, no es menos importante utilizar el sentido común. Cualquier empleado que conoce su puesto pueda entender que algo está fuera de lugar o es inusual. Si recibimos una petición fuera de lo común (por ejemplo, un CEO que nos llama para pedirnos una transferencia a una cuenta que no conocemos, o un cambio inesperado en la cuenta de pago de un proveedor) debemos sospechar.
Una sencilla pregunta acerca de la última conversación informal que mantuvimos con este responsable puede desbaratar un intento de estafa. Por ejemplo, ¿qué libro me recomendaste leer? o ¿cómo te gustaba el café?
Debería existir un protocolo de actuación para cubrir la adecuada realización de movimientos de activos, sean datos sensibles o dinero.
Debe detallarse cómo se hacen, quién puede pedirlo y los mecanismos de seguridad que se estimen oportunos para autenticar la comunicación. De hecho, la palabra clave es un mecanismo que se usa en infinidad de escenarios y es muy eficaz.
Esta palabra ha de cambiar con frecuencia -mayor cuanto más importante es el activo que protege- y, obviamente, es una información que debe estar al alcance de muy pocos, los estrictamente interesados en la gestión del activo o stakeholders.
Aunque hay más formas, pero el mero hecho de tener un Santo y Seña es suficiente para desarmar la mayoría de intentos de suplantación.
He detectado un intento de ataque. Y, ahora, ¿qué?
La empresa ha de poner a disposición de los empleados un medio de comunicación claro y directo para reportar incidentes de seguridad.
Además, la política general de la empresa debería dar las pautas y procedimientos a seguir en caso de detectar un ataque e, incluso, en caso de haber sido víctima de uno, para tratar de contener y mitigar las consecuencias derivadas de esa acción.
Por otra parte, sería recomendable la realización de simulacros, en especial para los puestos que manejen activos más sensibles.
En conclusión, la protección de los activos de una empresa es una responsabilidad compartida que comienza con la responsabilidad individual de cada empleado. Aunque existan sistemas y mecanismos de seguridad sofisticados, su efectividad depende del compromiso y la correcta actuación de las personas que los operan.
Cada trabajador, independientemente de su nivel jerárquico, debe estar debidamente formado, consciente de los riesgos y preparado para actuar ante posibles amenazas.
Además, la implementación de buenas prácticas es esencial para fortalecer la defensa de los activos empresariales. La creación de una cultura organizacional que fomente la seguridad y el sentido común en la detección y respuesta ante anomalías también es fundamental. Al fin y al cabo, cada empleado es la primera línea de defensa de la organización y su forma de actuar puede marcar la diferencia en la protección de los activos de la empresa.
Iván Navas Freije
Consultor Senior en Serbatic, coordinador de servicio de Soporte