El puesto de trabajo es el lugar en el que realizamos nuestras tareas diarias en la universidad. Como parte de estas actividades cotidianas, cualquier usuario requiere acceder a diversos sistemas y manipular diferentes tipos de información. Como consecuencia directa, debemos tener en cuenta que el puesto de trabajo es clave desde un punto de vista de la seguridad de la información [Ref. - 1].

Son varios los riesgos a los que se expone el puesto de trabajo:

• información en papel al alcance de cualquiera;
• la falta de confidencialidad de los medios de comunicación tradicionales como el teléfono;
• accesos no autorizados a los dispositivos;
• infecciones por malware;
• robo de información;
• etc.

 Por ello, es necesario que apliquemos un conjunto de medidas de seguridad que nos garanticen que la información, tanto en papel como en formato electrónico, está correctamente protegida.

Para garantizar un uso adecuado de los dispositivos y medios del entorno de trabajo, y minimizar el impacto que todos estos riesgos pueden tener en la universidad, se deben seguir buenas prácticas para proteger el puesto de trabajo.

En el día a día de la universidad es habitual trabajar con distintos documentos en papel que se dejan encima de la mesa para mayor comodidad o porque son necesarios para las tareas diarias.

Sin embargo, al acabar la jornada se debe guardar la documentación que se encuentre a la vista (información de la universidad, estudiantes, profesores, etc.). Esto es especialmente importante si se trabaja en entornos compartidos. De esta manera, se evitarán miradas indiscretas que puedan derivar en una fuga de información, además del robo de documentos que pueden contener información confidencial.

Se debe prestar especial atención a que:

• el puesto de trabajo esté limpio y ordenado;
• la documentación que no se utilice en un momento determinado debe estar guardada correctamente, especialmente cuando se abandona el puesto de trabajo o se finaliza la jornada;
• no haya usuarios ni contraseñas apuntadas en post-it o similares.

Además, también tendremos que guardar fuera del alcance de terceros, cuando no estemos en nuestro puesto, los dispositivos informáticos que se puedan desconectar, como USB o discos duros.

Cuantas veces nos hemos levantado de nuestro puesto de trabajo y no hemos bloqueado el equipo, incluso cuando estábamos trabajando en un documento muy importante. ¿Y si alguien hubiera accedido al equipo y hubiera copiado el documento, o si hubiera enviado un correo electrónico haciéndose pasar por quien no es? Todas esas situaciones y otras muchas se pueden evitar con un simple bloqueo de sesión.

Los dispositivos, como ordenadores, tablets o móviles, con los que se esté trabajando siempre deben estar bloqueados, a no ser que se esté en presencia de ellos.

En dispositivos de sobremesa y ordenadores portátiles, el bloqueo de pantalla se realiza por medio de los siguientes atajos de teclado:

• Windows: Win + L
• MacOS: Control + Opción + Q
• Linux: Control + Alt + L

 En dispositivos móviles como smartphones o tablets se ha de establecer el bloqueo de pantalla en el menor tiempo posible y preferiblemente por contraseña o biométrico, como la huella dactilar, siempre sin interceder en la actividad laboral.

 También es posible que programemos en los distintos sistemas, con ayuda del soporte informático, si fuera necesario, un bloqueo automático de sesión en caso de inactividad, para que, si no se detecta actividad pasado este tiempo, se bloquee el dispositivo.

 Y, al terminar la jornada, dejaremos siempre los equipos apagados y si fueran portátiles o móviles, bajo llave.

Todos los sistemas de la empresa deben estar actualizados a la última versión disponible, de esta manera estarán protegidos ante nuevas vulnerabilidades descubiertas y contarán con las últimas funcionalidades que haya liberado el fabricante.

 Para que todos los dispositivos estén siempre actualizados es recomendable habilitar las actualizaciones automáticas, tanto en el sistema operativo como en las distintas herramientas que tengan instaladas y que dispongan de esta opción.

 Un dispositivo desactualizado es un riesgo para la seguridad de la empresa, ya que un ciberdelincuente puede aprovecharse de vulnerabilidades no parcheadas para acceder a la información de la empresa.

Tanto el antivirus como el firewall o cortafuegos son las herramientas de seguridad que protegen al equipo del software malicioso. Ambas herramientas siempre deben estar activadas, ya que son complementarias, es decir, las tareas que realiza el antivirus no interfieren con las del cortafuegos y viceversa.

 El antivirus es un programa informático específicamente diseñado para detectar, bloquear y eliminar código malicioso, también conocido como malware. Actualmente, incorporan otras herramientas de seguridad como detección de webs fraudulentas o protección contra ransomware.

 El firewall o cortafuegos tienen el objetivo de permitir y limitar, el flujo de tráfico que va desde y hacia Internet evitando así que el malware pueda comunicarse con el exterior y que ataques procedentes de Internet sean bloqueados.

 Como con cualquier tipo de software, ambas herramientas deben estar configuradas y actualizadas a la última versión, ya que así detectarán un mayor número de amenazas.

Debido a la actividad de la universidad es común que en ciertas situaciones el personal haga uso de información sensible, por ejemplo, datos de estudiantes, docentes, nóminas, etc.

Por ello, gestionar esta información, de manera adecuada, es imprescindible, ya que un acceso no autorizado a la misma puede suponer un grave perjuicio para la universidad.

Como ya se indicó en el recurso formativo anterior, cuando este tipo de documentación se encuentra en formato físico, debe quedar guardada en un lugar seguro al finalizar la jornada laboral. Pero, ya se encuentre en formato digital o en formatos tradicionales, únicamente debe estar accesible para el personal autorizado, bien sea por medio de permisos de usuario o por cualquier otro método que evite miradas indiscretas.

En ciertas ocasiones, bien sea por descuido o por olvido esta documentación sensible puede quedar abandona- da en las impresoras y escáneres de la universidad. El personal ha de prestar especial atención cuando se utiliza este tipo de dispositivos.

El almacenamiento de documentación también puede estar externalizado en un proveedor dedicado a la custodia documental. En el caso de que exista este servicio se ha de establecer un acuerdo de confidencialidad y se comprobará que la información está correctamente custodiada.

La destrucción de la información al terminar su ciclo de vida también es un proceso crítico, que si no se realiza correctamente puede derivar en una fuga de información. Cuando se destruye información que contiene datos sensibles o confidenciales, debe hacerse de forma segura utilizando destructoras de papel o por medio de em- presas especializadas que ofrezcan garantías.

En muchas ocasiones, bien sea por la necesidad de externalizar servicios o por proteger la información de la universidad, se deben establecer acuerdos de confidencialidad, es decir que se deberán firmar acuerdos si se trata con información confidencial. Este tipo de acuerdos sentarán las bases de la relación que se establecerá entre ambas partes fijando los compromisos que se adquieren mutuamente, en el caso de externalizar los servicios.

Si en la universidad se trata información cuya confidencialidad debe estar garantizada, se han de incluir varias cláusulas en los contratos como:

• indicar qué información se considera confidencial y por lo tanto está protegida por el acuerdo;
• fijar la duración de la relación de confidencialidad, que generalmente será superior al tiempo de prestación del servicio;
• en caso de ser necesario, se indicará la jurisdicción legal a la que se acoge cada una de las partes.

Los dispositivos y recursos que la universidad ofrece están pensados para que sean utilizados para los fines de la institución. Por tanto, no deben ser usados para cuestiones personales o en circunstancias que puedan afectar a la seguridad de la universidad.

Internet ofrece multitud de recursos que pueden ser aprovechados por los usuarios para usos no profesionales en su tiempo o lugar de trabajo o desde sus dispositivos profesionales, pero estos usos también esconden riesgos. Acceder a sitios de dudosa legitimidad como webs de descargas, juego, adultos, etc., no es un uso lícito de los recursos institucionales, pues no solo disminuye la eficiencia de estos recursos y puede ocasionar gastos innecesarios, sino que puede acarrear daños irreparables para la universidad. Muchos de esos sitios pueden no ser seguros o contar con publicidad que puede llevar a situaciones de confusión, resultando en un incidente de seguridad, como una infección por malware del dispositivo o de toda la red.

  Al igual que sucede con Internet, los recursos de la universidad como impresoras, escáneres, ordenadores, teléfonos, etc., deben ser tratados solamente para tareas institucionales y no ser alterados si no estamos autorizados para ello.

Las normas de protección de la propiedad intelectual obligan a las universidades a usar en todo momento software legal. El uso de «programas piratas» o adquiridos de forma fraudulenta podría conllevar sanciones económicas y penales, nunca se debe instalar software sin licencia en ningún dispositivo de la universidad.

 Además, por norma general, instalar software ilegal puede terminar en una infección por malware del equipo, bien sea por los anuncios de las webs de descargas, porque el programa ha sido modificado añadiendo código malicioso; o porque se requiere de un crack para que funcione, que también podrá estar infectado.

Si sufrimos un incidente que pudiera afectar a la seguridad de la universidad, el primer paso que tenemos que dar es analizar qué ha pasado. De esta manera, conociendo el tipo de incidente se podrá medir más eficazmente la repercusión en la institución y cómo actuar. Una clasificación posible de los incidentes es la siguiente:

• acceso no autorizado a sistemas o información, como en el caso de robo de un dispositivo o de las credenciales de acceso;
• denegaciones de servicio, en las cuales el incidente impide el correcto funcionamiento de un recurso, como por ejemplo la página web de la universidad;
• infección por malware;
• robo de información de la universidad;

Una vez conozcamos qué ha pasado, lo siguiente que tenemos que hacer es avisar al personal de la universidad, encargados del tema de seguridad de la información para que estén informados de lo sucedido. Por ejemplo, si hay fuga de información de carácter personal, lo pondremos en conocimiento del responsable que deba comunicarlo a los afectados y a los organismos oficiales dedicados a la seguridad de la información.

 En caso de que el incidente suponga un delito (falsificación, injurias y calumnias, daños de propiedad intelectual, sabotaje, piratería, estafa, robo de identidad, etc.) es recomendable interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado aportando toda la información que se pueda de lo sucedido.

Los dispositivos de almacenamiento extraíbles como memorias USB, discos duros portátiles, tarjetas de memoria, CD, etc., permiten una transferencia rápida y directa de información. Hoy en día son muy utilizados, por ello tenemos que minimizar las situaciones de riesgo como robo, manipulación, extravío e infección por virus.

En primer lugar, si su uso está permitido en la universidad, en caso de que así sea, debemos saber en qué situaciones se pueden utilizar y qué información se puede llevar en estos dispositivos. Una buena práctica cuando se necesita almacenar en estos dispositivos información sensible o confidencial consiste en cifrar la información. También tendremos que estar atentos ante cualquier incidente como robo o pérdida de dispositivos con este tipo de información para informar de forma inmediata al responsable.

Otro aspecto importante es asegurarse de que la información que contienen los dispositivos que vamos a des- echar o reutilizar, una vez es borrada, no vuelva a ser accesible, para ello se utilizarán métodos seguros de borrado y destrucción de soportes.

1. INCIBE – Protege tu empresa – Herramientas - Políticas de seguridad para la pyme - Protección del puesto de trabajo. Políticas de seguridad para la pyme - https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/proteccion-puesto-trabajo.pdf
2. INCIBE – Protege tu empresa - ¿Qué te interesa? - Protección del puesto de trabajo - https://www.incibe.es/empresas/que-te-interesa/proteccion-puesto-trabajo
3. INCIBE – Protege tu empresa – Blog - ¿Qué hace un antivirus para detectar el malware? - https://www.incibe.es/empresas/blog/hace-antivirus-detectar-el-malware