Contar con sistemas de protección y sobre todo promover buenas prácticas de seguridad, son algunos de los aspectos claves para cuidar toda información sensible dentro de una empresa. Toma nota de estas recomendaciones y aplícalas en tu lugar de trabajo.
En marzo de este año se promulgó la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información. Esta normativa crea la Agencia Nacional de Ciberseguridad (ANCI), un organismo encargado de regular, fiscalizar y sancionar a organismos públicos y privados que presten servicios esenciales.
El aumento actual de delitos digitales y ciberataques, exige que se norme sobre este tema, pero también impone desafíos a la sociedad civil y a las organizaciones que manejan datos privados.
PROTEGER LA INFORMACIÓN DENTRO DE LA EMPRESA
Todas las empresas manejan datos que deben ser resguardados. En el caso de la protección de la información personal de los trabajadores, por ejemplo, Christian Campodónico, jefe de ciberseguridad de la Achs explica que es una obligación de cada empresa, sin distinción. “Cada empresa actúa como un retenedor de datos de sus clientes y trabajadores, los que sirven para identificarlas. Se debe considerar que con la Futura Ley de Protección de datos Personales las empresas estarán obligadas legalmente a dar buen resguardo y uso a esa información”, afirma.
Las empresas más grandes suelen tener distintos mecanismos para resolver estas temáticas. Para las Pymes o Mipymes esto puede ser más complejo, pero existen opciones asequibles. “Deben invertir en soluciones de ciberseguridad, pero hoy en día hay varios servicios pensados en empresas más pequeñas que permiten mantener información con lo que se conoce como mínimo privilegio, es decir, que no todos los integrantes de una empresa tengan acceso a toda la información disponible”, explica Christian Campodónico.
NIEVELES DE CONTROL DE LA INFORMACIÓN
Existen cuatro tipos de controles básicos que se deben aplicar en las organizaciones:
1. Control de acceso a la información: esto quiere decir que cada persona tenga un determinado usuario y password que le permitan sólo ciertos accesos. Se sugiere habilitar las funciones de múltiple factor de autenticación o segundas claves temporales, siempre que el sistema lo permita.
2. Control de transmisión de la información: implica cuidar el traspaso de datos, para lo que se recomienda usar sólo correos corporativos y no personales. Esto también ayudará a poner en duda cualquier correo que se reciba y que no esté asociado a la empresa.
3. Control de almacenamiento de la información: usar sólo medios corporativos como repositorios, idealmente que estén en línea o “en la nube” y nunca usar discos duros personales o pendrives.
4. Control de eliminación de la información: toda información confidencial, sea física o digital, debe ser eliminada de forma segura evitando que alguien más pueda recuperar esos datos.
PROMOVER PRÁCTICAS SEGURAS
“Cuando hablamos de temas técnicos de seguridad, es importante entender que los controles funcionan en la medida que las personas los hagan funcionar. Por eso es importante que cada empresa refuerce en sus trabajadores y usuarios los comportamientos adecuados para proteger todo tipo de información”, indica el jefe de ciberseguridad Achs.
¿Qué aspectos se deben reforzar? Aquí algunos de ellos:
• Cuidar las contraseñas
No compartirlas, no dejarlas anotadas a la vista de otros, evitar usar palabras o números que sean fácilmente adivinables y cambiarlas periódicamente es básico. Un buen consejo es usar sistemas o apps que permiten administrar contraseñas.
Además, se sugiere usar contraseñas más largas, como una frase, en lugar de aquellas complejas que mezclan símbolos y números que se olvidan con facilidad.
• Aprender más sobre phishing
El phishing es una técnica de suplantación de identidad que busca robar datos personales. Si bien no existen sistemas 100% infalibles para esto, porque las técnicas cambian con mucha rapidez, es importante estar capacitado y atento a posibles fraudes.
Un consejo básico al usar computadoras es pasar siempre el cursor sobre un link sospechoso y así se puede ver dónde dirige el enlace antes de presionarlo. Además, existen plataformas como esta de Google donde se puede testear qué tanto sabemos de este tema.
• Cuidar la segregación de funciones
En empresas pequeñas es común que una misma persona tenga varias funciones y acceso a mucha información a la vez. Lo ideal es evitar esto y que cada trabajador tenga un usuario y password único, que no sea compartido, y así acceda sólo a los datos que le competen a su función.
* Las mutualidades de empleadores son fiscalizadas por la Superintendencia de Seguridad Social (www.suseso.cl).