Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEGURIDAD PARA LA
INFORMACIÓN PARA LOS
TELETRABAJADORES DE:
WORLD COUNCIL OF CREDIT
UNIONS
WOCCU-INC
Uno de los principales cambios que nos dejó la pandemia en términos laborales es la
modalidad del teletrabajo o trabajo en remoto, que si bien existía desde antes, solo hasta
hace un poco más de dos años (marzo de 2020) fue implementada masivamente por
empresas de todo el mundo, que vieron en esta una rápida solución para continuar con sus
operaciones y la prestación de sus servicios (las que no requerían de la presencialidad).
Y aunque esta modalidad de trabajo, que actualmente sigue siendo implementada por
organizaciones de diferentes sectores y tamaños, representa grandes ventajas tanto para
los directivos como para los empleados, es importante tener en cuenta que sin las medidas
preventivas y de protección adecuadas puede poner en riesgo y generar impactos negativos
en la seguridad de la información.
OBJETIVOS
Conscientes de que el teletrabajo es una modalidad que cada vez se mantendrá más en
muchas organizaciones -algunas con modelos híbridos de trabajo-, es clave poner en claro
los siguientes objetivos :
● Tener actualizado tanto el sistema operativo, los antivirus y las aplicaciones, para
esto es recomendable tener configurado un control de actualizaciones periódicas.
Es importante saber qué hacer para prevenir ataques cibernéticos, el cómo actuar en caso
de que se presente uno, informar oportunamente sobre posibles vulnerabilidades o fallas y
conocer buenas prácticas para proteger y hacer un uso adecuado de los equipos y de la
información a la que tienen acceso.
Esta recomendación nunca sobra, pues aunque se cuente con herramientas y plataformas
de alto nivel para proteger la seguridad, sin un verdadero conocimiento y compromiso de
parte de los colaboradores sobre la seguridad puede verse quebrantada por los
ciberdelincuentes.
Desarrollar un plan de contingencia y continuidad que pueda ser aplicado en caso de ser
víctima de un ciberataque. Hay que ser conscientes de que ninguna empresa u
organización está exenta de esto, por eso es clave estar preparados y ser una organización
ciber resiliente
Algunas buenas prácticas que deberían implementar los empleados para proteger desde
sus roles la seguridad de la información de las empresas son:
Hacer uso de navegadores confiables, por ejemplo Chrome, que ayudan a proteger frente a
sitios que pueden poner en riesgo la seguridad y frente a amenazas como malware.
Cumplir las políticas existentes sobre generación de backups / copias de seguridad. Estas
se deben realizar periódicamente y, sobre todo, de aquella información que es fundamental
para la empresa, hacerlo permite recuperar más fácil los datos que se ven en riesgo en
caso de presentarse una falla o una amenaza cibernética.
Tener cuidado con los mensajes recibidos a través del correo electrónico o mensajes de
textos. Verificar siempre que la dirección o el número del remitente es legítima y no ha sido
alterada. Si hay duda de que la información es verdadera, una buena opción es contactar
con la persona para confirmar que realmente fue quien envió el correo o el mensaje y evitar
así caer en un caso de phishing y suplantación de identidad.
Garantizar que todos los archivos y documentos que se descarguen desde el correo
electrónico sean analizados por el software antivirus que se tiene instalado en el equipo.
Algunas señales de alerta que pueden significar la presencia de un virus informático son:
disminución de la velocidad del equipo, modificación o eliminación repentina de archivos,
inconvenientes con las conexiones de red o aparición en el escritorio de íconos
desconocidos.
Como principal objetivo proteger los datos (información) de WOCCU-INC, es decir, evitar
que estos sean modificados sin autorización, robados o que sufran una pérdida.
Las características que se deben proteger y cómo gestionar eficientemente los activos, así
como los diferentes riesgos a los que estos están expuestos.
ACTIVOS DE INFORMACIÓN
Según la norma ISO 27001, un activo de información es todo aquello que tiene algún valor
para la organización y que por ende, debe protegerse.
Estos activos son elementos valiosos y pueden ser tangibles o intangibles, por ejemplo,
bases de datos, el hardware, el software, dispositivos de red, de almacenamiento y de
seguridad, equipos de cómputo de escritorio y portátiles, el personal que maneja
información muy importante, entre muchos otros.
Sobre estos activos, es importante tener claridad sobre qué tipo de información son. Según
Andrés Olarte, especialista en seguridad de la información, puede ser:
● Información restringida: es de carácter privado o de uso interno solo para las áreas o
proyectos autorizados, es decir, tienen acceso controlado.
● Información pública: es aquella que puede ser distribuida abiertamente al público sin
que cause algún daño a la organización, a sus colaboradores, sus socios o sus
clientes. Esta categoría solo es asignada por el dueño de la información.
Confidencialidad: esta característica se refiere a que la información solo debe ser accesible
para las personas que tengan un rol específico y la autorización. Se debe introducir sistema
de validación de identidades y control de tiempos en los archivos así como también, el uso
de permisos y contraseñas duales para archivos más privados de la organización los cuales
no pueden ser descargados ni copiados en equipos ajenos a la propiedad de WOCCU-INC.
Integridad: tiene que ver con que la información debe ser integral, completa, exacta, es
decir, se debe resguardar correctamente para que no sea modificada o alterada sin
autorización. Para ello, se debe tener un control sobre el acceso a descarga o generar
copias adicionales fuera de los servidores o equipos de propiedad de WOCCU-INC.
Disponibilidad: esta característica significa que la información debe estar siempre disponible
para el personal que tiene el permiso de acceder a ella, previa validación y con un control
de tiempo de permanencia sobre el uso o disponibilidad de visualización del archivo.
Garantizar estas tres características es lo que se busca con una correcta gestión de los
activos de información, elementos esenciales para el adecuado funcionamiento de todas las
organizaciones y, por supuesto, para el logro de los objetivos estratégicos.
Para realizar el inventario de activos es recomendable definir unos elementos claves que
ayudarán a su gestión, por ejemplo:
Para la gestión de estos riesgos hay que tener en cuenta datos como:
Y por supuesto, la gestión incluye el tratamiento de los riesgos a través de controles que
ayuden a mitigar su probabilidad de ocurrencia y su impacto, así como la definición y
creación de planes de acción con actividades y responsables específicos.
Para llevar a cabo la gestión de los activos de información y sus riesgos de manera
eficiente, una buena práctica es apoyarse en herramientas tecnológicas que faciliten esta
labor, reduciendo la operatividad y así mismo, las imprecisiones o errores que se puedan
llegar a cometer.
Identificar, crear y visualizar todos los procesos de tu organización. Pueden ser estratégicos,
misional o de apoyo, además, puedes categorizarlos como macroproceso, proceso o
subproceso.
En la creación de los controles, los criterios que conforman cada control (tipo, frecuencia,
documentación, evidencia, responsable) y su ejecución, esto es, las variables que permiten
determinar si su ejecución es correcta.
Otros datos a considerar dentro de las BPSI son el tipo de control (preventivo, detectivo y
correctivo), la capacidad operativa y el dominio de seguridad (protección, defensa,
resiliencia). Y, muy importante, puedes asociar uno o más controles a los riesgos creados,
así como a los activos y asignar responsables.
Generar fácilmente reportes del perfil de riesgo organizacional tanto inherente como
residual y otros reportes como el mapa de calor y la solidez de los controles. Además,
tienes la opción de crear reportes dinámicos, es decir, personalizar los reportes que
necesites, por ejemplo, de los activos de información, de los incidentes y mucho más.
Crear objetivos y sus indicadores de cumplimiento para un seguimiento eficaz. Cada uno de
estos deben estar asociados a una persona responsable.