Breaking

24/2/16

Hábitos en el trabajo que colaboran con el cumplimiento de normas y estándares de seguridad

Si nos detenemos a observar detenidamente el día a día en las oficinas, podemos ver que muchas tareas o actividades que realizamos de manera incluso intuitiva pueden colaborar con el cumplimiento de las políticas internas de seguridad de la información o normas y estándares internacionales de seguridad.

Si bien en muchas empresas existen sesiones de capacitación y programas para que el empleado tome conciencia sobre la seguridad de la información, en muchas ocasiones no son suficientes o no logran el objetivo de llegar al personal de la empresa.

Veamos cuatro actividades cotidianas en las que el personal de la empresa puede colaborar con el cumplimiento de normas y estándares relacionadas con la seguridad de la información.

Uso de correo electrónico
Es evidente que el correo es una herramienta de vital importancia durante el día a día en empresas de diversos rubros y tamaños. Es necesario mencionar también que al ser un recurso que es provisto por la empresa, la información que se transmite por este medio es también de la empresa, por lo que el uso de la misma debe ser en función al trabajo que se realiza y no debe utilizarse para el uso personal. Sin ánimos de ingresar en terrenos dictatoriales para con los empleados, debemos concienciar sobre algunas prácticas de seguridad que no son complicadas y simplemente con el transcurso del tiempo se transforma en hábitos.


Una práctica común en las empresas que cuentan con un área o personal encargado de gestionar la seguridad de la información es implementar políticas para el envío y recepción de correos referente al tamaño de archivos adjuntos, también existen controles sobre la información que se transmiten por este medio entre otros.

ISO 27001:
A.10.8.4

PCI DSS:
4.2
12.3


Mantener escritorios de trabajo limpios

Sin lugar a duda uno pasa más tiempo en el escritorio de trabajo que en cualquier otro lugar del hogar, razón por la cual es un lugar donde se acumulan documentos con información que podría clasificarse como confidencial para la empresa y si no existe un resguardo adecuado, personas no autorizadas podrían acceder a dicha información.

ISO 27001:
A.11.3.3

PCI DSS:
9.5

Divulgación de información

Al hablar de divulgación de información hay que tomar en cuenta la clasificación en cuanto a criticidad que la empresa realizó sobre sus activos de información.
Es claro que el personal encargado de la seguridad de la información no puede estar al tanto de las actividades de los funcionarios de la empresa todo el tiempo para controlar la divulgación de la información, es por eso la importancia de este punto.
Una adecuada capacitación de manera periódica sobre los riesgos que conlleva la divulgación de información con ejemplos reales de empresas pares o de la misma empresa es importante, ya que el personal tomará conciencia sobre la información que es prudente divulgar y aquella que por ninguna razón debe divulgarse.

ISO 27001:
A.6.1.5
A.10.7.3
A.10.7.4

PCI DSS:
1.3.8
3.5

Navegación en Internet

Finalmente uno de los temas de mayor insatisfacción por parte de los empleados en las empresas que tienen implementados controles para el acceso a internet, es que de acuerdo al perfil de navegación que tiene el usuario en relación al cargo y las funciones que realiza, es común escuchar quejas de los empleados justamente por las restricciones de no poder navegar por Internet libremente. Este control tiene una base fundamental muy sustentada, y es que la rede de redes ademas de colaborar mucho en diferentes aspectos y necesidades, es también una fuente de amenazas si no se la sabe utilizar con la debida precaución.

ISO 27001:
A.11.4.1
A.11.4.6

PCI DSS:
12.3



No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar