Formación LOPD

SEGURIDAD EN LA INFORMACIÓN
Y EN SU TRATAMIENTO
SEGURIDAD EN LA INFORMACIÓN Y EN SU TRATAMIENTO
En cualquier organización las personas encargadas de gestionar, procesar, almacenar, modificar, transmitir
y eliminar la información (empleados y cualquier persona autorizada) son el engranaje principal para el buen
funcionamiento, por eso deben conocer los riesgos en materia de seguridad de la información, se pueden
presentar en el ejercicio de sus funciones diarias. Ya que puede haber riesgos que por desconocimiento y
desinformación coloquen a nuestra organización en una situación crítica. Y de igual forma conocer las
medidas de seguridad a aplicar para evitar que esos riesgos se materialicen.
Este curso pretende contribuir a mejorar la seguridad de la información en las organizaciones desde el
núcleo de las mismas, esto es las personas autorizadas al tratamiento de esta información, formándolas a
través de la concienciación en materia de seguridad.
Es objetivo de esta obra fomentar la seguridad de la información en las organizaciones a través de la
formación y concienciación de las personas autorizadas al tratamiento en la misma.
Va dirigida a personas autorizadas al tratamiento de la información dentro de las organizaciones.
ÍNDICE
1. La información
1.1. Introducción ................................................................................................................................................. 3
1.2. Importancia de la información ..................................................................................................................... 3
1.3. Seguridad de la información ........................................................................................................................ 3
1.4. Los datos personales .................................................................................................................................... 4
1.5. Cifrado de la información ............................................................................................................................. 4
1.6. Copias de seguridad ..................................................................................................................................... 5
1.7. Clasificación de la información..................................................................................................................... 6
1.8. Borrado seguro de la información................................................................................................................ 6
1.9. Almacenamiento de la información ............................................................................................................. 7
Resumen ............................................................................................................................................................. 8
2. Dispositivos móviles, teletrabajo y BYOD

2.1. Introducción ................................................................................................................................................. 9
2.2. Riesgos de su uso ......................................................................................................................................... 9
2.3. Medidas de seguridad ................................................................................................................................ 10
2.4. BYOD .......................................................................................................................................................... 12
2.5. Robo o pérdida ........................................................................................................................................... 13
2.6. Configuraciones de seguridad .................................................................................................................... 14
2.7. Geolocalización .......................................................................................................................................... 14
Resumen ........................................................................................................................................................... 15
1
Y EN SU TRATAMIENTO
3. El Puesto de Trabajo
3.1. Introducción ............................................................................................................................................... 16
3.2. Gestión de la documentación .................................................................................................................... 16
3.3. Uso adecuado de recursos ......................................................................................................................... 17
3.4. Política de mesas limpias............................................................................................................................ 17
3.5. Bloqueo de sesión ...................................................................................................................................... 18
3.6. Actualización de software .......................................................................................................................... 18
3.7. Antivirus y cortafuegos .............................................................................................................................. 18
3.8. Informar de un incidente de seguridad ...................................................................................................... 19
3.9. Uso seguro de dispositivos de almacenamiento extraíbles ....................................................................... 19
3.10. Ingeniería social ........................................................................................................................................ 19
3.11. Fugas de información ............................................................................................................................... 20
Resumen ........................................................................................................................................................... 21
4. Contraseñas
4.1. Introducción ............................................................................................................................................... 22
4.2. Contraseñas seguras .................................................................................................................................. 22
4.3. A tener en cuenta en el uso de contraseñas .............................................................................................. 22
4.4. Métodos de autenticación ......................................................................................................................... 23
4.5. Doble factor de autenticación .................................................................................................................... 23
Resumen ........................................................................................................................................................... 24
5. Comunicaciones
5.1. Introducción ............................................................................................................................................... 25
5.2. Uso de diferentes cuentas de correo ......................................................................................................... 25
5.3. Información sensible en correos ................................................................................................................ 25
5.4. Opción de copia oculta en correos (CCO)................................................................................................... 26
5.5. Función de autocompletado en correos .................................................................................................... 26
5.6. Descarga automática de imágenes en correos .......................................................................................... 26
5.7. Reenvíos y respuestas en correos .............................................................................................................. 26
5.8. Redes sociales, ventajas ............................................................................................................................. 27
5.9. Redes sociales, riesgos ............................................................................................................................. 27
5.10. Medidas de seguridad en RRSS ................................................................................................................ 28
5.11. Aplicaciones de mensajería instantánea .................................................................................................. 29
5.12. Aplicaciones para videoconferencias ....................................................................................................... 29
Resumen ........................................................................................................................................................... 31
2
Y EN SU TRATAMIENTO
1. La información
1.1. Introducción
Aunque existen diversos enfoques, podríamos definir la información como un conjunto organizado de
datos tratados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema
que lo recibe. Por tanto, su aprovechamiento racional constituye la base del conocimiento.
1.2. Importancia de la información
Las organizaciones deben preocuparse por la información que procesan, tratan o manejan, pues de no estar
disponible, alterarse o difundirse sin consentimiento podría afectar a la buena marcha de la entidad. Si
nuestros diseños, la cartera de clientes o las tarifas internas cayeran en manos de la competencia las
consecuencias podrían ser muy negativas para nuestro negocio y nuestra reputación.
Los incidentes de seguridad que afectan a la información de la entidad pueden ser:
Accidentales: no intencionados, por ejemplo, supresión de un archivo que pensabas que ya no
servía, enviar un correo a un destinatario erróneo o sencillamente una avería en el disco duro.
Intencionados por parte de empleados o insiders: en ocasiones son los propios empleados los que
deciden llevarse información de la organización, causar infecciones o facilitar el acceso a terceros. Lo
hacen por motivos propios, como en el caso de empleados insatisfechos o bajo la influencia o el
soborno de ciberdelincuentes. Un insider (persona o personas que, debido a su posición dentro de
una corporación, normalmente en los órganos de dirección, gozan del conocimiento de información
confidencial o privilegiada) puede causar muchos incidentes pues tiene fácil acceso a la información
de la entidad. En particular, los robos o fugas de información son fáciles de realizar dado el reducido
tamaño de los dispositivos de almacenamiento extraíbles y su creciente capacidad, la accesibilidad a
los servicios de almacenamiento en la nube o debido al acceso generalizado al correo electrónico.
Causados por ciberdelincuentes: utilizando códigos maliciosos o malware que introducen
aprovechando debilidades de nuestros sistemas y en ocasiones nuestra ingenuidad o falta de
preparación, como cuando utilizan ingeniería social para conseguir el acceso a nuestros sistemas y
por tanto a la información que tratamos, y/o a nuestra información personal. El malware puede
robar información como es el caso de los troyanos o hacerla inaccesible para su propietario al que
extorsionan pidiendo un rescate como hacen los llamados ransomware, o hacer que nuestro equipo
esté a las órdenes de una botnet (conjunto o red de robots informáticos o bots, que se ejecutan de
manera autónoma y automática) que realiza cualquier actividad delictiva.
Por tanto, es muy importante que se adopten las decisiones y medidas necesarias antes de que se produzca
un incidente de seguridad que afecte a la información de tu organización.
1.3. Seguridad de la información
La seguridad de la información consiste en proteger tres propiedades o dimensiones de la misma:

Disponibilidad: que la información esté accesible cuando la necesitemos. Fallo de disponibilidad
ocurre por ejemplo cuando es imposible acceder al correo electrónico corporativo debido a un error
de configuración, o bien, cuando se sufre un ataque de ransomware, en el que los archivos son
cifrados impidiéndonos el acceso a los mismos., etc.
3
Y EN SU TRATAMIENTO
Integridad: que la información esté libre de modificaciones y errores que impliquen cambios en su
contenido. Fallo de integridad por ejemplo cuando la información, de un informe de ventas, ha
podido ser alterada intencionadamente y podemos basar nuestras decisiones en ella, o bien el
borrado parcial, ya sea accidental o no, de bases de datos, archivos o programas.
Confidencialidad de la información se podría definir como la propiedad de la información por la que
se garantiza que está accesible únicamente a personal autorizado a ello, es decir que ésta no se pone a
disposición o se revela a individuos, entidades o procesos no autorizados. Por tanto, la información
confidencial es aquella que debemos proteger del acceso de personas no autorizadas. No importa qué
tipo de información sea o en qué soporte está (incluso puede ser verbal). En el otro extremo tenemos
la información de uso público, como por ejemplo cualquier material publicitario que utilicemos con
nuestros clientes.
1.4. Los datos personales
Según la normativa de protección de datos, Reglamento General de Protección de Datos (UE) 2016/679
(GDPR), y Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales 3/2018 (LOPDGDD), un
dato personal es toda información sobre una persona física identificada o identificable.
Es decir, un DNI es un dato personal, una fotografía es un dato personal, y la estatura de alguien es un dato
personal si podemos de alguna forma saber a quién pertenece.
Hemos de tener en cuenta que la normativa de protección de datos es de obligado cumplimiento para
cualquier entidad española que trate datos personales en el ejercicio de sus actividades, y para cumplir con
ella, entre otras cosas se deberán poner en marcha algunas medidas de seguridad básicas.
En nuestro caso, debemos evitar el acceso de personas no autorizadas a los datos personales que tengamos
en nuestra entidad, gestionarlos siempre de la manera adecuada e informarnos cuando tengamos alguna
duda. Llevar a cabo un tratamiento incorrecto sobre los datos personales que gestiona la organización,
puede suponer graves consecuencias para esta y su continuidad en el tiempo. Para ello:
Garantiza la confidencialidad, integridad y disponibilidad de los tratamientos de datos personales.
Garantiza los derechos y libertades de los interesados:
Infórmales de forma visible, accesible, sencilla y transparente.
Obtén el consentimiento inequívoco o expreso, cuando sea necesario.
Permite que puedan ejercer sus derechos acceso, rectificación, supresión, limitación,
portabilidad, oposición y derecho a no ser objeto de decisiones individualizadas.
Infórmales en caso de violaciones de seguridad que pudieran afectarles.
1.5. Cifrado de la información
A la hora de proteger la información en formato electrónico, una de las medidas más eficaces es el cifrado
de la misma. Mediante esta técnica (que utiliza una base matemática) podemos codificar cualquier fichero
o contenido digital y hacerlo inaccesible a otras personas que no sepan la clave de descrifrado. El cifrado es
una de las medidas básicas para la seguridad del tratamiento establecidas por el GDPR.
4
Y EN SU TRATAMIENTO
¿Qué información debemos cifrar?

Toda aquella que sea de vital importancia en nuestro trabajo y sobre todo, si su difusión podría
suponer un problema.
Si trabajamos con datos personales de categoría especial como datos de salud, la legislación requiere
que los almacenemos cifrados en ciertas circunstancias.
También es recomendable cifrar un fichero si lo vamos a enviar a clientes y/o proveedores. Así, aunque
alguien “capture” el fichero, no podrá acceder a su contenido.
Aunque existen múltiples herramientas para el cifrado de información, muchas aplicaciones de compresión
de ficheros y ofimática disponen de la posibilidad de comprimir con contraseña, lo que puede ser suficiente
en la mayoría de los casos. Por ejemplo: www.7-zip.org o https://www.veracrypt.fr/en/Downloads.html
1.6. Copias de seguridad
Las copias de seguridad son uno de los principales elementos para evitar la pérdida de información cuando
tenemos un problema. Hay copias diferenciales, incrementales y completas. Aunque en general los sistemas
de copias de seguridad los gestiona el personal de informática, hay varios aspectos que hay que tener en
cuenta:
Información: debemos asegurarnos de que se está realizando copia de seguridad de toda la
información que utilizamos en nuestro trabajo. Por ejemplo, de la información que guardamos en “Mis
documentos”. Es necesario que almacenemos la información en los sistemas y directorios de los que
sabemos que se hace copia. Si tenemos dudas, podemos consultar con el personal de informática.
Soportes externos: si para trabajar utilizamos soportes como discos duros externos,
USBs,….debemos asegurarnos de que se hace copia de la información que almacenan.
Si las copias las hacemos en soportes externos, debemos siempre almacenarlos en lugares protegidos.
Frecuencia: si hacemos copias periódicas de nuestra información, debemos definir una periodicidad
adecuada para que un problema con nuestro equipo no suponga la pérdida de las últimas semanas o
meses de trabajo. Lo recomendable es al menos una vez a la semana, si bien en entidades con mucho
movimiento de transacciones, se recomienda con una periodicidad diaria.
Salida de copias: si tenemos que trasladar las copias fuera de nuestra entidad, debemos cifrarlas, para
evitar que si las perdemos alguien pueda acceder a su contenido.
Departamento de informática: puesto que los sistemas de copia de seguridad suelen estar
gestionados por el personal responsable de informática, para cualquier duda debemos hablar con
ellos.
Para el sistema de copias de seguridad utilizaremos la regla 3-2-1; esto es: realizar 3 copias de la
información (original y dos copias) en 2 soportes diferentes y alojar una copia en 1 lugar físico
distinto. Por ejemplo, una copia podría estar en un disco duro externo y la otra en el disco duro del
portátil o incluso en un servicio de la nube.
5
Y EN SU TRATAMIENTO
1.7. Clasificación de la información
Cualquiera de nosotros gestiona información de distinta índole durante su trabajo diario: precios o tarifas,
propuestas a clientes, datos personales, planes estratégicos, contabilidad, etc.
Es normal que no toda la información con la que trabajamos tenga la misma importancia. En algunos casos
será información pública, en otros casos será para uso interno y en otros será muy crítica.
Por tanto, cada tipo de información necesitará medidas de seguridad diferentes. Por ejemplo, la información
pública apenas tendrá restricciones de acceso, mientras que el acceso a la información confidencial estará
muy restringido.
En el caso de que nuestra entidad tenga definidos los diferentes tipos de información según su importancia,
debemos aplicar las medidas que nos hayan indicado. Entre otras, debemos tener en cuenta lo siguiente:
Las medidas de seguridad que tengamos que aplicar en cada caso.
Aplica cifrado a los tipos de información más sensible.
Qué tipo de información puede almacenarse en soportes extraíbles o distribuirse por correo
electrónico. Si necesitas hacerlo, que sea siempre utilizando cifrado.
No imprimas aquella información cuya impresión no está permitida.
No intentes acceder a información a la que no tienes acceso.
1.8. Borrado seguro de la información
Existen muchos tipos de datos, contables, fiscales, de videovigilancia, etc., y todos ellos presentan una vida
útil distinta. Cuando estos datos dejen de ser necesarios para la organización deben suprimirse y se debe
garantizar que la información no vuelva a ser accesible para nadie. Cuando la destrucción de la información
no se realiza correctamente se expone a la entidad a sanciones legales y a posibles daños de imagen,
además de aumentar el riesgo de que se produzca una fuga de información.
En los casos en que el dispositivo de almacenamiento, ya sea un ordenador, un smartphone o cualquier
otro, sea retirado de los activos de la organización por el motivo que sea, también debe de pasar por el
proceso de eliminación, de forma segura, de toda la información que contenga.
También se debe tener bajo control la información en formato físico. Para eliminar la información:
en soportes no electrónicos como papel y soportes magnéticos como los DVD o cintas magnéticas, se
deberá utilizar el triturado como modo seguro de eliminación;
los dispositivos de almacenamiento que permitan su reutilización deben ser sobrescritos múltiples
veces para evitar que la información vuelva a ser accesible;
los teléfonos móviles que se vayan a reutilizar, se cifrarán antes de borrarlos y se restaurarán a sus
valores de fábrica;
los soportes de almacenamiento electrónico que no funcionen o se hayan quedado obsoletos, se
deberán borrar por medio de desmagnetización o destrucción física;
6
Y EN SU TRATAMIENTO
habrá que prestar especial atención a los dispositivos móviles, así como a la memoria SD que tienen
algunos modelos en el momento de deshacernos de los mismos, ya que podrían contener
información importante o confidencial.
Será importante hacer uso de herramientas que permitan documentar todas las operaciones de borrado.
También existe la posibilidad de hacer uso de la destrucción certificada. Este tipo de borrado se realiza a
través de una empresa que llevará a cabo los procesos de eliminación de la información, garantizando tanto
la gestión, como el control de recogida, transporte y destrucción del material. Posteriormente, estas
empresas emitirán un certificado que garantizará y legitimará la validez del proceso.
1.9. Almacenamiento de la información
Almacenar la información usada en el día a día de la organización, en el lugar adecuado, es importante, ya

que de esta manera estará protegida.
Supongamos que se guardan ciertos documentos importantes en el almacenamiento local de tu equipo por
comodidad cuando se supone que deberían estar en un servidor interno. Si el ordenador, por el motivo que
fuera, se averiara, todo el trabajo hecho no valdría de nada. De igual forma, sucede si se sube a la nube
información confidencial sin consentimiento y sin las medidas de seguridad adecuadas, ya que se estaría
poniendo en riesgo la información y a la propia entidad. Cada tipo de almacenamiento tiene sus pros y
contras, pero se ha de seguir el criterio establecido por la organización para que ningún archivo pueda
quedar sin protección:
Local:
• Pros: almacenamiento en los propios dispositivos que es de rápido acceso y que siempre
estará accesible a no ser que se produzca un fallo en el equipo.
• Contras: Al ser solo accesible por los usuarios de cada equipo, se producen silos no
compartidos de información y de fallar el equipo, podría perderse definitivamente.
Red:
• Pros: almacenamiento en un equipo de la red interna de la organización que requiere de
acceso a la red y permisos para poder gestionar la información. En caso de que exista esta
opción en la entidad, será la que debamos utilizar, ya que así toda la información estará
centralizada y se podrán aplicar las medidas de seguridad de forma más eficiente.
Nube:
• Pros: almacenamiento que siempre estará accesible si se cuenta con Internet y los permisos
adecuados.
• Contras: Por el contrario, existe la problemática de almacenar información confidencial fuera
de la entidad, por lo que habrá que utilizar herramientas de cifrado para protegerla.
7
Y EN SU TRATAMIENTO
RESUMEN
✓ Podríamos definir la información como un conjunto organizado de datos procesados, que

constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que lo recibe.
✓ Los incidentes de seguridad que afectan a la información de la entidad pueden ser: accidentales,
intencionados y ciberdelincuentes.
✓ La Seguridad de la información consiste en proteger tres dimensiones de la misma, confidencialidad,

integridad y disponibilidad.
✓ Según la legislación en protección de datos, GDPR y LOPDGDD, un dato personal es toda información
sobre una persona física identificada o identificable.
✓ Mediante el cifrado podemos codificar cualquier fichero o contenido digital y hacerlo inaccesible a
otras personas que no sepan la clave de descrifrado.
✓ El cifrado es una de las reglas básicas para la seguridad del tratamiento establecidas por el GDPR (art.
32.1.a).
✓ Las copias de seguridad son uno de los principales elementos para evitar la pérdida de información
cuando tenemos un problema.
✓ Para el sistema de copias de seguridad utilizaremos la regla 3-2-1.
✓ Un ejemplo de clasificación de la información sería: confidencial, restringida, de uso interno y pública.
✓ La política “need-to-know” es la que define que la información debe ser accesible únicamente a las
personas necesarias.
✓ Cuando la información deje de ser necesaria para la organización debe eliminarse y se debe
garantizar que no vuelva a ser accesible para nadie.
✓ Almacenar la información usada en el día a día de la organización, en el lugar adecuado, es

importante, ya que de esta manera todos los activos estarán protegidos.
✓ Tipos de almacenamiento: local, red, nube.
8
Y EN SU TRATAMIENTO
2. Dispositivos Móviles, teletrabajo y BYOD
2.1. Introducción
Existen muchos tipos de dispositivos móviles. Hasta hace poco, en las organizaciones sólo se utilizaban los
ordenadores portátiles o fijos, pero actualmente, casi la totalidad de los integrantes de las entidades hacen
uso de smartphones y tablets, ya sea para uso personal o corporativo.
Consultar el correo, acceder a una aplicación o hacer una modificación a última hora de un documento,
desde cualquier lugar, son solo algunas de las tareas que se pueden llevar a cabo desde los dispositivos
móviles. En la actualidad, estos dispositivos se han convertido en herramientas imprescindibles para el
trabajo, gracias a su movilidad y su conexión a Internet. Ordenadores portátiles, smartphones o tablets
permiten al personal de la organización desempeñar su trabajo en cualquier lugar, como si estuviera en las
instalaciones de la entidad, lo que ha abierto un abanico nuevo de posibilidades para el personal de las
entidades, pero también nuevos riesgos para las organizaciones que el propio personal debe tener en
cuenta.
2.2. Riesgos de su uso
Los dispositivos móviles, tablets y portátiles debido a su reducido tamaño y a la capacidad que tienen de
gestionar información de la organización, entrañan nuevos riesgos. También en el teletrabajo, además de
utilizar dispositivos móviles nos conectamos desde el exterior de la red de la organización, utilizamos
servicios para compartir documentos y contamos con riesgos asociados a entornos de trabajo no tan
controlados. El uso de dispositivos particulares para gestiones corporativas (BYOD), también pueden
suponer riesgos adicionales.
Estos son los principales riesgos asociados a los dispositivos móviles y al teletrabajo:
El robo o pérdida de los móviles, tablets, portátiles y dispositivos de almacenamiento como discos
duros externos y pendrives. Este puede ser el riesgo más importante al que se exponen estos
dispositivos debido a su tamaño y en muchos casos, a su elevado coste.
La infección por malware siempre es un riesgo a tener en cuenta, pues el software malicioso puede
robar información confidencial de la organización y credenciales de acceso a diferentes recursos. A
menudo descuidamos la protección antimalware en equipos pequeños.
Los sitios web fraudulentos, la publicidad agresiva o las páginas web de tipo phishing son las
principales amenazas a las que se exponen. Navegar en dispositivos pequeños, particularmente en
móviles, entraña riesgos al ser más difícil “librarse” de esta publicidad.
Utilizar redes wifi inseguras puede poner en riesgo la privacidad de las comunicaciones, ya que los
ciberdelincuentes pueden estar “escuchando” todo lo que se envía y recibe. También podemos
conectarnos a redes wifi que suplantan a redes wifi lícitas.
Instalar aplicaciones que necesitan acceder a determinados permisos del dispositivo, en ocasiones
excesivos o innecesarios (como acceso a la cámara, los contactos o los archivos), para poder
funcionar con normalidad, pudiendo así verse la información corporativa comprometida.
Dispositivos que no cuentan con controles de acceso robustos que los protejan de un descuido, robo
o pérdida. La ausencia de los mismos o el uso de algunos considerados débiles, como el patrón de
bloqueo, son un riesgo para su seguridad.
9
Y EN SU TRATAMIENTO
Tanto el sistema operativo, como las aplicaciones desactualizadas suponen un riesgo para la
seguridad de toda la información que gestionan.
La modificación de los controles de seguridad impuestos por los fabricantes. Algunos usuarios
deciden rootear o hacen jailbreak a sus dispositivos lo que puede suponer un grave riesgo, ya que los
controles de seguridad impuestos por el desarrollador son eliminados.
Establecer que el dispositivo o la aplicación recuerde la contraseña. Si un tercero accede al
dispositivo tendría acceso a todos los servicios en los que estuviera guardada la contraseña.
Utilización de servicios en la nube. La utilización de servicios en la nube o cloud puede suponer un
riesgo, ya que la información de la organización será almacenada por un tercero al que hemos de
trasladar nuestros requisitos de confidencialidad, integridad, disponibilidad y privacidad. Además,
existe el riesgo de que si no fuera posible conectarse a Internet (problemas en la red como
congestión o caída de la misma) la información almacenada en la nube no será accesible.
2.3. Medidas de seguridad
Antimalware y contra sitios web peligrosos. Las infecciones causadas por cualquier tipo de malware,
siempre están presentes. Todo tipo de códigos maliciosos pueden llegar por correo electrónico y
mensajería, en pendrives, a través del navegador o de aplicaciones. Además de entrenarnos para
detectar enlaces y ficheros sospechosos, navegar de forma segura y descargar aplicaciones fiables, es
importante disponer de herramientas que detecten y eliminen el software malicioso. Por otra parte,
los sistemas antivirus siempre deberán estar actualizados a la última versión, algo que propiciará la
identificación del malware más actual.
Es común que los antivirus también cuenten con herramientas que permitan identificar posibles
sitios web fraudulentos o peligrosos, como aquellos utilizados para cometer phishing. Al seleccionar
un antivirus para el móvil verificaremos que disponga de estas funcionalidades.
Contra accesos no autorizados, para evitar que terceros sin permiso accedan a toda la información
que gestiona el dispositivo es necesario implantar una serie de controles:
Contraseña de firmware, si el dispositivo lo permite, sobre todo en ordenadores portátiles. De esta
forma, se evita que otros usuarios arranquen el equipo desde otro disco distinto del especificado.
Creación de cuentas de usuario y permisos. En los sistemas operativos como Windows, MacOS o los
basados en Linux, se permite la creación de distintos usuarios, otorgándoles una serie de privilegios
acordes con su perfil. Es recomendable que cada usuario cuente con los privilegios mínimos y
necesarios que le permitan desempeñar su trabajo, recordemos lo estudiado en el tema anterior
respecto a las políticas "need to know". Además, deberán contar con una contraseña de acceso
robusta.
Bloqueo de dispositivos. En los dispositivos basados en Android o iOS hay que establecer el bloqueo
de pantalla en el menor tiempo posible y una contraseña de desbloqueo robusta. También pueden
utilizarse métodos biométricos como la huella dactilar.
Protección de la información, la información que se gestiona desde los dispositivos móviles o

portátiles que se utilizan para el trabajo diario puede ser de gran importancia para la organización,
por lo que protegerla será prioritario. Para ello, se recomienda seguir las siguientes
recomendaciones:
10
Y EN SU TRATAMIENTO
Activar el cifrado de la información en el dispositivo. Todos los sistemas operativos deberán contar
con herramientas de cifrado que protejan la información en ellos alojada. Los actuales sistemas
operativos móviles como Android e iOS cuentan con cifrado de la información por defecto, pero los
sistemas operativos para ordenador no, por lo que se debe activar.
Existen múltiples herramientas para el cifrado de información, y la mayor parte de fabricantes de
herramientas de seguridad tienen aplicaciones para ello. Además, muchas aplicaciones de
compresión y ofimáticas disponen de funcionalidades específicas para el cifrado, que pueden
resultar útiles para el intercambio de información entre dos partes y suficientes en la mayoría de los
casos.
Establecer cuál será el tratamiento aceptable de la información confidencial. Preferiblemente, se
accederá a la misma por medio de Internet y se evitará siempre descargar en el dispositivo.
Aplicaciones legítimas, las aplicaciones para dispositivos móviles deben ser descargadas,
únicamente, desde la tienda oficial. Para smartphones y tablets estas deben ser descargadas desde la
App Store para Apple o desde Play Store para Android. En caso de ordenadores, deben ser descargas
desde el sitio web oficial.
La organización deberá proveer al personal de software legítimo, es decir, deberá estar en posesión
de una licencia válida, en caso contrario estaría incurriendo en un delito. Todo el software utilizado y
sistemas operativos estarán actualizados a la última versión disponible, además de que será siempre
descargado de fuentes legítimas y contará con las debidas licencias de uso.
No recordar la contraseña, la función de “recordar contraseña” no debe usarse nunca en

dispositivos móviles, ya que ante un acceso no autorizado se podría acceder a todos los servicios
donde se haya activado esta función. En caso de utilizar múltiples servicios, con múltiples
contraseñas, es recomendable utilizar un gestor de contraseñas que ayude en esa tarea.
No utilizar redes wifi inseguras, con frecuencia nos encontramos en distintos establecimientos y
servicios públicos que ofrecen conexión wifi de manera gratuita a sus clientes. A pesar del ahorro que
pueda suponernos, no es recomendable utilizar estas conexiones wifi que nos encontramos en
hoteles, restaurantes, estaciones de tren, aeropuertos, etc., con dispositivos de nuestra organización,
ya que no conocemos su seguridad, ni su legitimidad (podrían fácilmente haberlas suplantado) y la
privacidad de la información que enviamos o recibimos puede verse comprometida.
Siempre es mejor opción utilizar la conectividad móvil 4G/5G que incorporan los dispositivos
(conexión de datos), especialmente cuando se realizan tareas sensibles como acceder a banca
online o a información confidencial.
Si es habitual viajar por motivos de trabajo y es necesario disponer de conectividad se ha de utilizar
una VPN (red privada virtual) que cifre las conexiones extremo a extremo, para acceder a los recursos
de la organización. Se evitará, en la medida de lo posible, utilizar aplicaciones de escritorio remoto
para conectarse a servidores de la organización sin VPN.
Una red privada virtual (RPV), en inglés Virtual Private Network (VPN), es una tecnología de red de
ordenadores que permite una extensión segura de la red de área local (LAN) sobre una red pública o
no controlada como Internet.
11
Y EN SU TRATAMIENTO
Medidas de protección teletrabajo, en ocasiones, las tareas que se realizan en el puesto de trabajo
se tienen que trasladar al hogar. Seguir manteniendo un aceptable nivel de ciberseguridad es
igualmente vital, siendo necesario tomar, además del uso de aplicaciones legítimas, contraseñas,
bloqueo del equipo y cifrado de información confidencial, las siguientes medidas:
no se permitirán usos domésticos (juegos, descargas, etc.) por otros usuarios en el dispositivo
utilizado como puesto de teletrabajo;
se realizarán copias de seguridad de forma periódica;
en caso de utilizar una conexión wifi doméstica que podamos configurar de forma segura
tendremos en cuenta:
▪ utilizar cifrado WPA2 o WPA3 en caso de estar disponible y que los dispositivos sean
compatibles;
▪ utilizar una clave robusta;
▪ desactivar la función WPS en caso de estar activa.
2.4. BYOD
El BYOD, llamado así por sus siglas en inglés Bring Your Own Device (“trae tu propio dispositivo”), es una
tendencia que se basa en que el personal hace uso de sus dispositivos personales en el entorno corporativo.
Esto permite al personal hacer uso de un dispositivo que está adaptado a sus necesidades y a la
organización le supone un ahorro de costes.
Por ejemplo, cada vez es más habitual que el personal pueda acceder a su correo o agenda corporativa
desde su smartphone personal, o incluso gestionar información corporativa desde portátiles personales.
Además de los riesgos mencionados para el uso de dispositivos móviles hay que añadir algunos que son
exclusivos del BYOD como:
Distracciones del personal. Al utilizar un mismo dispositivo para tareas personales y corporativas, la
productividad puede disminuir al acceder a páginas web no relacionadas con su actividad
profesional, redes sociales o la cuenta privada de correo electrónico.
Aumento de las posibilidades de accesos no autorizados a información corporativa, ya que el

dispositivo se usa para trabajar y para uso personal. Por lo tanto, las posibilidades de pérdida o robo
aumentan y por consiguiente, también aumentan los accesos no autorizados.
El dispositivo puede ser prestado a un amigo o familiar para realizar cualquier tarea, lo que puede
poner en riesgo la seguridad de la información de la organización.
La relación contractual entre personal y organización puede llegar a su fin pudiendo ser un riesgo
para ambas partes conservar información corporativa una vez ha terminado el contrato.
12
Y EN SU TRATAMIENTO
Sin embargo, este tipo de prácticas BYOD tienen importantes implicaciones desde el punto de vista de la
seguridad de la información, dado que, aunque el dispositivo que utilicemos esté personalizado según
nuestras preferencias, esto no necesariamente significa que tenga las necesarias medidas de seguridad. Por
tanto, debemos poner en marcha e instalar diferentes medidas de seguridad en los dispositivos personales,
que permitan sacar el máximo partido al BYOD de una forma siempre segura. Al ser dispositivos donde el
personal tiene un mayor control sobre ellos, las medidas complementarias a las de cualquier dispositivo
son:
No realizar modificaciones en el software del dispositivo. Los dispositivos Android e iOS cuentan con
restricciones de fábrica que aumentan su seguridad y la de la información que manejan. Nunca hay
que hacer Jailbreak o rootear un smartphone.
El dispositivo se mantendrá siempre bajo custodia, incluso ante amigos y familiares.
La organización debe elaborar una normativa que regule el uso de estos dispositivos, el registro de
dispositivos y aplicaciones autorizadas, las configuraciones de seguridad a aplicar, si será necesaria la
localización por GPS, canales de comunicación seguros, etc.
2.5. Robo o pérdida
La pérdida o el robo es el principal incidente de seguridad que afecta a estos dispositivos, por lo tanto se
debe tener un plan B para que la información de la organización, y la personal en caso de ser BYOD, no se
vean afectadas. Los pasos a seguir son:
Ponerlo en conocimiento de la entidad para que se tomen todas las medidas necesarias que eviten el
uso indebido del dispositivo y de la información que contiene o a la que tiene acceso.
Si el dispositivo ha sido robado, se deberá interponer una denuncia ante las Fuerzas y Cuerpos de
Seguridad del Estado, aportando toda la información posible.
Bloquear el dispositivo de manera remota. La mayoría de sistemas operativos tanto para ordenador,
como para móvil cuentan con herramientas que lo permiten, generalmente a través de un panel de
administración web.
Geolocalizar el dispositivo. Actualmente, los dispositivos con sistema operativo Windows, Mac OS,
Android e iOS cuentan con herramientas que permiten conocer su posicionamiento aproximado.
Siempre que sea necesario se debe tener habilitado en dispositivos corporativos que use el personal.
En caso de no ser posible recuperar el dispositivo, se debe optar por realizar un borrado remoto del
mismo, de tal manera que toda la información que contenga no pueda estar accesible. Para ello,
tendremos habilitada esta opción.
13
Y EN SU TRATAMIENTO
2.6. Configuraciones de seguridad
Por norma general, las configuraciones de seguridad por defecto de los dispositivos móviles no tienen
activadas todas las medidas de seguridad que ofrece el sistema, ya que éstas pueden introducir demasiada
complejidad para algunos usuarios.
Sin embargo, cuando se trata de dispositivos que vamos a utilizar en el entorno corporativo, ya sea BYOD o
dispositivos de la organización, es imperativo que les configuremos y apliquemos las necesarias medidas de
seguridad.
Entre las funcionalidades extras de seguridad que podemos usar, cabe señalar las siguientes:
Cifrado de los soportes de almacenamiento.

Contraseña de acceso al sistema.
Funcionalidad que permita restablecer la configuración por defecto del dispositivo vía remota (también
llamado wipe remoto).
Copias de seguridad periódicas.
Adicionalmente, aquellos dispositivos que disponen de un modo administrador pueden llevar configuradas
contraseñas de acceso genéricas, como admin o 1234. Esta información es pública y es explotada por
delincuentes.
Por tanto, es necesario que antes de utilizar el equipo para el acceso al entorno corporativo, le apliquemos
las principales medidas de seguridad, de modo que ante una pérdida del dispositivo o robo, el impacto sea
mínimo.
2.7. Geolocalización
Llamamos geolocalización o geoposicionamiento a la capacidad de algunos dispositivos de ubicarse

geográficamente. Esta funcionalidad es utilizada por ejemplo por los GPS para guiar al usuario en su
trayecto.
Sin embargo, la información de geolocalización también es utilizada por otros servicios y aplicaciones. Por
ejemplo, en diversas redes sociales existe la posibilidad de que autoricemos a la red a geolocalizarnos, y las
aplicaciones para capturar y editar imágenes también guardan información sobre la ubicación en la que se
hace la fotografía.
El principal riesgo asociado a estos datos de localización es que estamos recabando, almacenando y quizás,
difundiendo, más información de la necesaria. Esto ocurre en la mayor parte de los casos de forma
involuntaria.
Dado que la mayor parte de los dispositivos móviles permiten habilitar y deshabilitar las funciones de
geolocalización, según las preferencias y necesidades del usuario, se recomienda deshabilitar esta
funcionalidad siempre que no sea estrictamente necesario.
14
Y EN SU TRATAMIENTO
RESUMEN
✓ Hasta hace poco, en las organizaciones sólo se utilizaban los ordenadores fijos o portátiles, pero
actualmente, casi la totalidad de los integrantes de las entidades hacen uso de smartphones y
tablets, ya sea para uso personal o corporativo.
✓ Los riesgos más habituales de los dispositivos móviles son la pérdida, el robo y la rotura, destrucción o
avería.
✓ Habitualmente, los dispositivos móviles se utilizan fuera de las dependencias de nuestra

organización, por este motivo, debemos cifrar la información almacenada en estos soportes.
✓ El BYOD, llamado así por sus siglas en inglés Bring Your Own Device (“trae tu propio dispositivo”),
es una tendencia que se basa en que los empleados hacen uso de sus dispositivos personales en el
entorno de trabajo.
✓ Las redes WiFi-públicas presentan diferentes riesgos, siendo el principal no saber quién controla la WiFi.
✓ Cuando se trata de dispositivos que vamos a utilizar en el entorno corporativo, ya sea BYOD o
dispositivos de la empresa, es imperativo que les configuremos y apliquemos las necesarias medidas
de seguridad.
✓ El principal riesgo asociado a los datos de geolocalización es que estamos recabando, almacenando y
quizás, difundiendo, más información de la necesaria. Esto ocurre en la mayor parte de los casos de
forma involuntaria.
15
Y EN SU TRATAMIENTO
3. El Puesto de Trabajo
3.1. Introducción
El puesto de trabajo es el lugar en el que realizamos el trabajo diario. Como parte de las tareas cotidianas,
cualquier usuario requiere acceder a diversos sistemas y manipular diferentes tipos de información. Como
consecuencia directa, debemos tener en cuenta que el puesto de trabajo es un punto clave desde el punto
de vista de la seguridad de la información.
Son varios los riesgos a los que se expone la información en el puesto de trabajo, podríamos destacar:
información en papel al alcance de cualquiera;

la falta de confidencialidad de los medios de comunicación tradicionales como el teléfono;
accesos no autorizados a los dispositivos y/o aplicaciones;
infecciones por malware;
robo de información;
Por ello, es necesario que apliquemos un conjunto de medidas de seguridad que nos garanticen que la
información, tanto en soporte papel como en formato electrónico, está correctamente protegida.
Para garantizar un uso adecuado de los dispositivos y medios del entorno de trabajo, y minimizar el
impacto que todos estos riesgos pueden tener en la organización, se deben seguir buenas prácticas para
proteger el puesto de trabajo.
3.2. Gestión de la documentación
Habitualmente, cuando pensamos en un puesto de trabajo estándar, nos viene a la cabeza un puesto de
trabajo en una oficina, con una mesa de trabajo, cajoneras, etc.
Sin embargo, muchos de nosotros trabajamos también, de manera parcial o total, en puestos de trabajo
con entorno no fijo, que son susceptibles de dañar la información, sobre todo la que se contiene en soporte
papel.
Para evitar esto, debemos tomar una serie de sencillas medidas preventivas:
Almacenar o guardar nuestra información en una ubicación adecuada. Evitar su cercanía a sistemas
de refrigeración, canalizaciones de agua o instalaciones que puedan afectar al papel.
Emplear elementos adecuados para almacenar el papel y los soportes digitales, como por ejemplo
armarios y cajoneras que dispongan de dispositivos de cierre, o cajas fuertes o armarios ignífugos en
caso necesario.
En ciertas ocasiones, bien sea por descuido o por olvido la documentación sensible puede quedar
abandonada en las impresoras y escáneres de la entidad. El usuario ha de prestar especial atención cuando
se utiliza este tipo de dispositivos.
El almacenamiento de documentación puede estar externalizado en un proveedor dedicado a la custodia
documental, como puede ser un asesor contable. En el caso de que exista este servicio se ha de suscribir un
acuerdo de confidencialidad o contrato de encargo del tratamiento y se comprobará que la información está
correctamente custodiada.
16
Y EN SU TRATAMIENTO
De igual forma se debe destruir la información de manera segura. Dependiendo del volumen de papel o
soportes digitales, podemos utilizar destructoras convencionales o subcontratar la retirada y destrucción a
un proveedor. En este último caso no debemos olvidar suscribir también el pertinente contrato de encargo
del tratamiento y solicitar los certificados de destrucción segura.
Como empresa contratada, colaborador o empleado tendremos que suscribir estos acuerdos si vamos a
tratar información personal o confidencial. Este tipo de acuerdos sentarán las bases de la relación que se
establecerá entre ambas partes fijando los compromisos que se adquieren mutuamente.
3.3. Uso adecuado de recursos
Los dispositivos y recursos que la organización ofrece están pensados para que sean utilizados para los fines
establecidos por la misma. Por tanto, no deben ser usados para cuestiones personales o en circunstancias
que puedan afectar a la seguridad de la entidad.
Acceder a sitios de dudosa legitimidad como webs de descargas, juego, adultos, etc., no es un uso lícito de
los recursos de la entidad. Al igual que sucede con Internet, los recursos de la organización como
impresoras, escáneres, ordenadores, teléfonos, etc., deben ser tratados solo para tareas de la organización
y no ser alterados si no estamos autorizados para ello.
Las normas de protección de la propiedad intelectual obligan a las organizaciones a usar en todo momento
software legal. El uso de “programas pirata” o adquiridos de forma fraudulenta podría conllevar sanciones
económicas y penales, nunca se debe instalar software sin licencia en ningún dispositivo de la entidad.
Además, por norma general, instalar software ilegal puede terminar en una infección por malware del
equipo, bien sea por los anuncios de las webs de descargas, porque el programa ha sido modificado
añadiendo código malicioso; o porque se requiere de un crack para que funcione, que también podrá estar
infectado.
3.4. Política de mesas limpias
A diario trabajamos con gran cantidad de documentación, que es habitual que esté distribuida encima de la
mesa, para mayor comodidad o porque es necesaria para las tareas diarias. Sin embargo, al acabar la
jornada debemos guardar la información que se encuentre a la vista (información de la organización,
clientes, proveedores, etc.). Esto es especialmente importante si trabajamos en entornos compartidos, o
incluso públicos (atención al cliente, por ejemplo). De esta manera evitaremos miradas indiscretas que
puedan derivar en una fuga de información, además del robo de documentos que pueden contener
información confidencial.
Una política de mesas limpias requiere que:
El puesto de trabajo esté limpio y ordenado.
La información que no estemos utilizando en un momento determinado debe estar guardada
correctamente, especialmente cuando dejamos nuestro puesto de trabajo y al finalizar la jornada.
No haya usuarios ni contraseñas apuntadas en postits o similares.
También tendremos que guardar fuera del alcance de terceros, cuando no estemos en nuestro puesto, los
dispositivos informáticos que se puedan desconectar, como USB o discos duros.
17
Y EN SU TRATAMIENTO
3.5. Bloqueo de sesión
Si abandonamos el puesto de trabajo, debemos bloquear nuestro equipo para evitar accesos no
autorizados. Los dispositivos, como ordenadores, tablets o móviles, con los que se esté trabajando siempre
deben estar bloqueados, a no ser que se esté en presencia de ellos.
En dispositivos de sobremesa y ordenadores portátiles, el bloqueo de pantalla se realiza por medio de los
siguientes atajos de teclado:
Windows: Win + L
MacOS: Control + Opción + Q

Linux: Control + Alt + L
También es posible que programemos en los distintos sistemas, con ayuda del soporte informático, si fuera
necesario, un bloqueo automático de sesión en caso de inactividad, para que si no se detecta actividad
pasado este tiempo, se bloquee el dispositivo.
Y, al terminar la jornada, dejaremos siempre los equipos apagados y si fueran portátiles o móviles, bajo llave.
3.6. Actualización de software
Todos los sistemas de la empresa deben estar actualizados a la última versión disponible, de esta manera
estarán protegidos ante nuevas vulnerabilidades descubiertas y contarán con las últimas funcionalidades
que haya liberado el fabricante.
Para que todos los dispositivos estén siempre actualizados es recomendable habilitar las actualizaciones
automáticas, tanto en el sistema operativo como en las distintas herramientas que tengan instaladas y que
dispongan de esta opción.
Un dispositivo desactualizado es un riesgo para la seguridad de la entidad, ya que un ciberdelincuente
puede aprovecharse de vulnerabilidades no parcheadas para acceder a la información de la organización.
3.7. Antivirus y cortafuegos
Tanto el antivirus como el firewall o cortafuegos son las herramientas de seguridad que protegen al equipo
del software malicioso. Ambas herramientas siempre deben estar activadas, ya que son complementarias,
es decir, las tareas que realiza el antivirus no interfieren con las del cortafuegos y viceversa.
El antivirus es un programa informático específicamente diseñado para detectar, bloquear y eliminar
código malicioso, también conocido como malware. Actualmente, incorporan otras herramientas de
seguridad como detección de webs fraudulentas o protección contra ransomware.
El firewall o cortafuegos tienen el objetivo de permitir y limitar, el flujo de tráfico que va desde y hacia
Internet evitando así que el malware pueda comunicarse con el exterior y que ataques procedentes de
internet sean bloqueados.
Como con cualquier tipo de software, ambas herramientas deben estar configuradas y actualizadas a la
última versión, ya que así detectarán un mayor número de amenazas.
18
Y EN SU TRATAMIENTO
3.8. Informar de un incidente de seguridad
Si sufrimos un incidente que pudiera afectar a la seguridad de la información de la organización, poniendo

en práctica los protocolos de actuación para este tipo de situaciones que tenga establecidos nuestra
organización, el primer paso que tenemos que dar es analizar qué ha pasado.
De esta manera, conociendo el tipo de incidente se podrá medir más eficazmente la repercusión en la
organización y cómo actuar. Una clasificación posible de los incidentes es la siguiente:
acceso no autorizado a sistemas o información, como en el caso de robo de un dispositivo o de las
credenciales de acceso;
denegaciones de servicio, en las cuales el incidente impide el correcto funcionamiento de un recurso,
como por ejemplo la página web de la empresa;
infección por malware;
robo de información de la empresa;
Una vez conozcamos qué ha pasado, lo siguiente que tenemos que hacer es avisar a los miembros de la
organización que deban de estar en conocimiento de lo sucedido. Por ejemplo, si hay fuga de información
de carácter personal, lo pondremos en conocimiento del responsable que deba comunicarlo al asesor de
protección de datos y, en su caso a los afectados y a la Agencia Española de Protección de Datos. También
tenemos que conocer que, si necesitamos apoyo en la resolución del incidente, podemos ponernos en
contacto con la Línea de Ayuda en Ciberseguridad que ofrece INCIBE por medio del teléfono gratuito 900
116 117, y del correo electrónico incidencias@incibe-cert.es o el formulario de contacto.
Por último, en caso de que el incidente suponga un delito (falsificación, injurias y calumnias, daños de
propiedad intelectual, sabotaje, piratería, estafa, robo de identidad, etc.) es recomendable interponer una
denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado aportando toda la información que se pueda
de lo sucedido, pero siempre previa valoración, si las circunstancias lo permiten, de la organización.
3.9. Uso seguro de dispositivos de almacenamiento extraíbles
Los dispositivos de almacenamiento extraíbles como memorias USB, discos duros portátiles, tarjetas de
memoria, CD, etc., permiten una transferencia rápida y directa de información. Por ello tenemos que
minimizar las situaciones de riesgo como robo, manipulación, extravío e infección por virus.
En primer lugar, si su uso está permitido en la organización, en caso de que así sea, debemos saber en qué
situaciones se pueden utilizar y qué información se puede almacenar en estos dispositivos. Una buena
práctica cuando se necesita almacenar en estos dispositivos información sensible o confidencial consiste en
cifrar la información. También tendremos que estar atentos ante cualquier incidente como robo o pérdida
de dispositivos con este tipo de información para informar de forma inmediata al responsable.
Otro aspecto importante es asegurarse de que la información que contienen los dispositivos que vamos a
desechar o reutilizar, una vez es borrada, no vuelva a ser accesible, para ello se utilizarán métodos seguros de
borrado y destrucción de soportes.
3.10. Ingeniería social
Los ataques de ingeniería social tienen como objetivo a cualquier empleado, sin importar en el puesto que
esté. A través de ellos un atacante puede obtener información confidencial de las propias víctimas, o utilizar
a ésta para acceder a otras personas de la organización de manera inadvertida.
19
Y EN SU TRATAMIENTO
Existen cuatro pilares (características del atacado) sobre los que se sustentan los ataques de ingeniería
social, que permiten que en muchos casos éstos tengan éxito:
El deseo de ayudar a otras personas.
La confianza de que las personas actúan por buena voluntad.
El no querer decir que no a las peticiones de otras personas.
El deseo de ser halagado.

Supongamos que un empleado sin unas responsabilidades relevantes recibe una llamada de una persona
que le indica que le llama del proveedor habitual de mantenimiento informático, aunque en realidad se
trata del atacante. Tras una breve conversación, el atacante puede solicitarle información sobre su equipo,
la política de actualizaciones, los programas instalados, o incluso solicitarle su usuario y contraseña para
realizar mantenimiento del equipo. A partir de este momento, el atacante podría llevar a cabo acciones
como intentar acceder a los sistemas corporativos, instalar un troyano o registrar todas las pulsaciones del
teclado.
Aunque parezca algo fruto de la casualidad, los ataques de ingeniería social se llevan a cabo de manera
planificada, obteniendo información de múltiples fuentes, lo que permite simular un conocimiento similar
al que tendría alguien que trabajase en la organización.
Uno de los medios más utilizados en la ingeniería social es el correo electrónico. Bajo cualquier pretexto o
excusa invitan al usuario a enviarles información personal o de la empresa, a hacer clic en algún enlace o a
abrir un fichero adjunto infectado. El ataque por correo electrónico se realiza través de una cuenta falsa
con características similares a las cuentas de correo de la organización, para darle más credibilidad en caso
de ser un ataque dirigido contra la misma. Por ejemplo, se envía un correo electrónico con algún archivo
adjunto, con motivo de una auditoría que se está llevando a cabo dentro de la organización en ese
momento. Cualquier pretexto es bueno, para invitar al empleado a ejecutar el archivo que se incluye en el
correo electrónico.
Otra de las técnicas utilizadas y que podemos incluir dentro de este tipo de ataque a entidades, es el uso de
memorias USB “extraviadas” como ataque de ingeniería social. Consiste en dejar en lugares estratégicos
USB con ficheros infectados. Éstos están identificados con nombres atractivos como por ejemplo
NóminasFeb2020, auditoria_interna.exe o similares, con el objetivo de atraer la curiosidad del empleado y
que éstos ejecuten el fichero.
Esto hace que este tipo de ataques sean los más difíciles de prevenir y, por lo tanto, los que mayor
probabilidad de éxito tienen. Debemos estar alerta ante cualquier actividad o solicitud sospechosa. ¿Cuál es
la mejor herramienta contra este tipo de ataques? El sentido común.
3.11. Fugas de información
La mayoría de las fugas de información que se producen en las entidades tienen como origen el puesto de un
empleado. Pueden ser fruto tanto de actos malintencionados por parte de empleados descontentos como
de errores al utilizar los sistemas con los que gestionamos la información.
Para evitar fugas de información, debemos ser muy cautelosos a la hora de usar el correo electrónico y las redes
sociales.
Por ejemplo, las aplicaciones para gestionar el correo electrónico suelen tener la función de autocompletar
la dirección del destino. Si no tenemos la cautela debida, es posible que enviemos accidentalmente
información confidencial a un destino inapropiado.
20
Y EN SU TRATAMIENTO
Por otro lado, en redes sociales profesionales es habitual que algunos usuarios incluyan información sobre
clientes o proyectos en los que están trabajando, proporcionando valiosa información que puede ser
utilizada para organizar un ataque de ingeniería social entre otros.
Actualmente existen soluciones informáticas cuyo objetivo principal es reducir el riesgo de las fugas de
información, sin embargo, debemos tener en cuenta que ninguna herramienta es capaz de sustituir al ya
mencionado sentido común a la hora de gestionar la información.
RESUMEN
✓ En nuestro puesto de trabajo es necesario que apliquemos un conjunto de medidas de seguridad que
nos garanticen que la información, tanto en soporte papel como en formato electrónico, está
correctamente protegida.
✓ Como empresa contratada, colaborador o empleado tendremos que firmar acuerdos de
confidencialidad.
✓ La información que no estemos utilizando en un momento determinado debe estar guardada
correctamente, especialmente cuando dejamos nuestro puesto de trabajo y al finalizar la jornada.
✓ Si abandonamos el puesto de trabajo, debemos bloquear nuestro equipo para evitar accesos no
autorizados.
✓ Los dispositivos y recursos que la organización ofrece están pensados para que sean utilizados para
los fines de la misma.
✓ Todos los sistemas de la empresa deben estar actualizados a la última versión disponible.
✓ Tanto el antivirus como el firewall o cortafuegos son las herramientas de seguridad que protegen al
equipo del software malicioso. Ambas herramientas siempre deben estar activadas.
✓ Si sufrimos un incidente que pudiera afectar a la seguridad de la organización, el primer paso que
tenemos que dar es analizar qué ha pasado, al tiempo que lo comunicamos a la persona responsable
o titular del negocio.
✓ Con los dispositivos extraíbles de almacenamiento tenemos que minimizar las situaciones de riesgo
como robo, manipulación, extravío e infección por virus.
✓ A través de la ingeniería social un atacante puede obtener información confidencial de las propias
víctimas (personas autorizadas al tratamiento de la información), o utilizar a ésta para acceder a
otras personas de la organización de manera inadvertida. La mejor herramienta contra este tipo de
ataques es el sentido común.
✓ La mayoría de las fugas de información que se producen en las entidades tienen como origen el
puesto de un empleado. Pueden ser fruto tanto de actos malintencionados por parte de empleados
descontentos como de errores.
21
Y EN SU TRATAMIENTO
4. Contraseñas
4.1. Introducción
En el trabajo diario se requiere el acceso a distintos servicios, dispositivos, softwares y aplicaciones para
los cuales utilizamos unas credenciales de acceso, usuario y contraseña.
Garantizar una buena gestión y la seguridad de estas credenciales es fundamental para la organización, ya
que su conocimiento por parte de terceros no autorizados podría suponer graves problemas, y de toda
índole para la entidad.
4.2. Contraseñas seguras
La primera medida de seguridad a tomar es utilizar contraseñas seguras. En muchas ocasiones, se eligen
contraseñas débiles fáciles de recordar para acceder a los servicios de la entidad. Esto supone un riesgo, ya
que los ciberdelincuentes pueden adivinarlas muy rápido, por ejemplo, una contraseña basada en un
nombre de persona o el comúnmente usado 123456 es descubierta en segundos. Para conseguir una
contraseña robusta se han de seguir las siguientes recomendaciones:
Longitud mínima de 8 caracteres ya que cuanto más larga seaa, más tiempo se tardará en descubrirla.
Utilizar minúsculas, mayúsculas, números y símbolos.

Periodicidad con la que se debe cambiar la contraseña.
Una forma segura de obtener una contraseña robusta es utilizar un generador de contraseñas que nos
permita elegir, longitud, tipo de caracteres, etc. No obstante, cuanto más complejas sean, mayor será la
dificultad para recordarlas. Por ello, lo más recomendable es utilizar un gestor de contraseñas y así solo
tener que recordar y conservar la clave maestra, la que abre el gestor. Estos gestores también pueden ser
multiplataforma, por lo que desde cualquier lugar y desde cualquier dispositivo puedes tener acceso a
todas tus credenciales de acceso.
Los gestores de contraseñas suelen contar con una característica que permite crear contraseñas aleatorias
robustas lo que aumenta considerablemente la seguridad de los servicios donde se implemente. Como
único requisito a tener en cuenta es utilizar una contraseña maestra lo más robusta posible, ya que si esta no
es lo suficientemente segura el resto de servicios tampoco lo serán.
4.3. A tener en cuenta en el uso de contraseñas
También debemos recordar que las contraseñas son personales, secretas e intransferibles. No debemos
compartirlas con nadie, ni debemos apuntarlas en posits, libretas, documentos de texto o cualquier otro
medio que permita acceder fácilmente a ellas. En el caso de que necesitemos que un compañero acceda a
información que gestionamos, podemos poner en funcionamiento medidas alternativas, como utilizar
repositorios compartidos o informar a los clientes de un segundo contacto. Si otra persona conocedora de
tu contraseña hiciera algo con tus credenciales de acceso, podrías ser responsable pues aparecerá
registrado como si lo hubieses hecho tú.
22
Y EN SU TRATAMIENTO
Utilizar la misma clave para acceder al correo electrónico, redes sociales, tiendas online, etc., no es una
práctica segura. La reutilización de las contraseñas es uno de los errores más comunes que se cometen.
El uso de la contraseña es el método más utilizado para el acceso a sistemas, software, aplicaciones, o
incluso accesos físicos, esto significa que su gestión es uno de los aspectos más importantes para asegurar
los sistemas de la organización. Las contraseñas deficientes o mal custodiadas pueden favorecer el acceso y
el uso no autorizado de los datos y servicios.
Los ciberdelincuentes saben que el uso de la contraseña es el método más extendido para acceder a
muchos de los sistemas y servicios utilizados en el día a día, como redes sociales, correo electrónico o
banca digital. Con una simple contraseña pueden tener en su poder el futuro de la entidad, por lo que
protegerlas debidamente es esencial para salvaguardar la continuidad de esta.
Si un ciberdelincuente consigue hacerse con la contraseña en uno de estos servicios, por ejemplo, por
medio de un phishing o de una fuga de información, todos los servicios que utilizan la misma contraseña se
verían comprometidos. Cada servicio debe tener su propia contraseña de acceso.
4.4. Métodos de autenticación
En el control de accesos, el nombre de usuario nos identifica y la contraseña nos autentica, con ella se
comprueba que somos quienes decimos ser. Todo sistema de autenticación de usuarios (procedimiento
utilizado para verificar que un usuario es quien dice ser) se basa en la utilización de uno, o varios, de los
siguientes factores:
Los basados en algo que sabemos. El caso más evidente es la utilización de contraseñas, preguntas
personales, etc.
Los basados en algo que poseemos, como por ejemplo, una tarjeta de acceso magnética, tarjeta de
coordenadas, etc.
Los basados en una característica física de la persona, como por ejemplo, su huella dactilar, retina o
rasgos faciales.
Cuantos más métodos combinemos para el acceso a un sistema, más robusto y fiable será éste. Es decir, más
difícil será falsearlo y romperlo.
Un ejemplo de método de autenticación combinado sería establecer un control de acceso al sistema en el
que el usuario deba hacer uso de una tarjeta magnética (algo que tiene) y, adicionalmente, deba introducir
un pin o contraseña (algo que sabe).
4.5. Doble factor de autenticación
El doble factor de autenticación es un mecanismo que añade una capa extra de seguridad a los servicios que
requieren de usuario y contraseña para su uso. Esto se consigue por medio de una nueva clave que,
generalmente, es de un solo uso. Normalmente, este segundo factor de autenticación está vinculado a un
teléfono móvil, por medio de una aplicación específica, aunque también existen dispositivos hardware
conocidos como tokens (*).
Son varias las compañías que han desarrollado sistemas de doble autenticación basados en software y que
suelen utilizar una aplicación específica para su uso como: Google Authenticator y Amazon AWS MFA.
Siempre que sea posible se ha de habilitar el doble factor de autenticación para todos los servicios que se
utilizan en Internet.
23
Y EN SU TRATAMIENTO
Ejemplos de doble factor:

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=es
https://onetimesecret.com/
(*) Es el proceso de sustitución de un elemento de datos sensible por un equivalente no sensible,

denominado token, que no tiene un significado o valor extrínseco o explotable. El token es una
referencia (es decir, un identificador) que regresa a los datos sensibles a través de un sistema de
tokenización.
RESUMEN
✓ Debemos hacer uso de una política de contraseñas seguras, y recordar que son personales e
intransferibles.
✓ Debemos utilizar contraseñas robustas: mínimo 8 caracteres, mayúsculas, minúsculas, números y

signos, y cambiarlas periódicamente.
✓ Utilizar gestores de contraseñas facilita el uso de múltiples contraseñas.

✓ No debemos compartir nuestra contraseña.
✓ Un método de autenticación es la técnica o el procedimiento que un sistema utiliza para verificar que
un usuario es quien dice ser, basándose para ello en algo que sabe (contraseña); en algo que posee
(tarjeta), o en una característica física (huella).
✓ El doble factor de autenticación es un mecanismo que añade una capa extra de seguridad a los
servicios que requieren de usuario y contraseña para su uso.
24
Y EN SU TRATAMIENTO
5. COMUNICACIONES
5.1. Introducción
Cada vez es más frecuente que las comunicaciones entre organizaciones, se lleve a cabo a través
del correo electrónico, la mensajería instantánea, las RRSS, y las videoconferencias, etc.
El correo electrónico es una herramienta de comunicación imprescindible para el funcionamiento de una
entidad. Sus beneficios son evidentes: accesibilidad, rapidez, posibilidad de enviar documentos adjuntos,
etc., aunque cuando se creó, no se hizo pensando en su uso actual, ni en la seguridad, y se ha convertido en
uno de los medios que utilizan los ciberdelincuentes para llevar a cabo sus ataques, a través de técnicas de
ingeniería social (obtención de información confidencial a través de la manipulación de usuarios legítimos).
Gracias a las ventajas de conectividad que nos aportan las aplicaciones de mensajería instantánea y de
videoconferencias en nuestro día a día, son muchas las organizaciones que las utilizan en algunas
ocasiones para comunicarse con clientes, proveedores, empleados, etc. (individualmente o mediante
la creación de grupos).
Las redes sociales se han convertido en una herramienta muy importante para las organizaciones,
permitiendo dar a conocer sus productos o servicios y un trato más cercano con los clientes o posibles
clientes.
5.2. Uso de diferentes cuentas de correo
Se recomienda usar una cuenta corporativa para las cuestiones relacionadas con el desempeño de nuestras
funciones, otra para uso personal y una tercera que puede hacerse pública (formularios internet, etc.), para
suscripciones y recepción de información comercial.
En esta tercera cuenta será donde recibiremos la mayor parte del SPAM y las otras dos las tendremos más
protegidas; ya que una de las formas más comunes que tienen los ciberdelincuentes de obtener direcciones
de correo para el envío de correo basura es utilizando aplicaciones que rastrean todas las páginas web y
buscan direcciones de correo electrónico dentro de la misma. Y no solo rastrean páginas web, también las
redes sociales son una gran fuente de información para ellos.
Para las empresas que desean disponer de una cuenta de correo de contacto o para la resolución de
incidencias, una alternativa puede ser la publicación de un formulario web que, a través de código, reenvíe
el texto introducido en el formulario a una cuenta de correo electrónico.
5.3. Información sensible en correos
El correo electrónico, si no va cifrado, viaja “en claro” a través de internet, esto quiere decir que cualquiera,
a través de técnicas no muy complejas, podría leer el contenido de nuestros mails. No uses de forma
habitual el correo electrónico para enviar y recibir información importante o sensible, y si tienes que
hacerlo utiliza técnicas de cifrado de la misma, toma cuantas medidas de seguridad sean necesarias para
minimizar las posibilidades de que sea controlado por intrusos.
Debes prever la posibilidad de que alguna otra persona esté controlando lo que entre y salga de tu equipo,
de esta forma si van cifrados no podrán acceder a lo que estás enviando. Además, ofreceremos una mejor
imagen en cuanto al cuidado de la información por nuestra parte frente al destinario de la misma.
25
Y EN SU TRATAMIENTO
5.4. Opción de copia oculta en correos (CCO)
Las direcciones de correo electrónico, cuando identifican directa o indirectamente a una persona, son un
dato personal que es necesario proteger. Puede haber destinatarios que no quieran que su dirección de
correo electrónico se haga pública. Por respeto a ellos se recomienda usar siempre copia oculta (BCC o
CCO) cuando se envíen direcciones a múltiples destinatarios.
Cuando enviamos un correo electrónico este deja de estar bajo nuestro control desde el mismo momento
que sale de nuestro ordenador. No sabemos si será reenviado o publicado por uno de los destinatarios,
dejando así accesible no solo nuestra dirección de correo si no la de todos los destinatarios. Esta es la razón
por la que siempre es recomendable la utilización de copia oculta para que las direcciones de tus contactos
no sean visibles y puedan ser objeto de spam.
5.5. Función de autocompletado en correos
Puede jugar malas pasadas. En ocasiones cuando se pretende enviar un correo electrónico a un destinatario
no habitual, puede suceder que la función de autocompletado ponga un correo similar y no nos demos
cuenta. Es recomendable deshabilitarla cuando se pueda y en caso de no tener alternativa, revisar bien el
destinatario antes de enviar.
5.6. Descarga automática de imágenes en correos
Tener habilitado en el cliente de correo la descarga automática de imágenes es un riesgo para tu privacidad y
seguridad. Las imágenes son usadas para monitorizar si un correo ha sido abierto o no, reduciendo así la
privacidad en el uso de esta herramienta de trabajo. Además, dándose las circunstancias adecuadas, la
carga automática de imágenes puede ser la puerta de entrada de malware a la organización. Siempre es
recomendable desactivar esta opción cuando sea posible.
5.7. Reenvíos y respuestas en correos
En muchos casos, el SPAM proviene del reenvío de correo electrónico. El reenviar correos puede ser una
excelente vía para comunicarse con alguien sin tener que escribir algo muy extenso.
Pero cuando un correo electrónico se reenvía, los receptores del correo son añadidos de forma automática
al listado en el cuerpo del mensaje. Como la cadena permanece continuamente en movimiento, cada vez se
añaden más y más receptores a la lista.
Si ese correo finalmente llega a un spammer puede hacerse con una gran cantidad de direcciones de forma
inmediata. Sólo se necesitan unos pocos segundos para borrar todas las direcciones de mail recibidas antes
de reenviar una parte o la totalidad del correo. Y ello puede evitar que, por nuestra culpa, nuestros
contactos sean víctimas de SPAM o phishing (obtener información confidencial de forma fraudulenta, a
través de ingeniería social). Además, que estaríamos divulgando un dato personal (dirección mail) sin el
consentimiento del titular del mismo, y por tanto incumpliendo la normativa.
En lo referente a las respuestas, aunque los clientes de correo suelen tener por defecto la opción de
contestar sólo al remitente, a veces por error podemos seleccionar la opción de “Contestar a todos”. E
incluir a todos los que estaban en el correo electrónico original en la respuesta, con las consecuencias que
ello pueda tener.
26
Y EN SU TRATAMIENTO
Los spammers (individuos o empresas que envían spam - correo basura) solicitan a menudo respuestas
respecto al contenido de sus mensajes, o incluso llegan a pedir el envío de un correo electrónico para evitar
recibir más spam. Nunca se debe caer en estas trampas, porque con ellas estamos confirmando al spammer
que la cuenta de correo está activa y que hay alguien leyendo el correo. Por tanto, no debemos responder al
correo no solicitado.
5.8. Redes sociales, ventajas
Son muchas las ventajas que aportan las redes sociales a una entidad:
Mediante la analítica del uso de las redes sociales se pueden obtener datos sobre las características
de los seguidores como género, edad o ubicación y sus preferencias de uso, que pueden ser útiles a
la hora de lanzar una determinada campaña comercial, maximizando los beneficios de esta.
También son una buena herramienta para captar nuevos clientes y conocer lo que piensan sobre tus
servicios o productos.
Permiten aumentar el tráfico web haciendo que la web de la organización se posicione mejor en los
buscadores y aumentando así su visibilidad.
Sirven para potenciar la marca con la colaboración de los propios usuarios de la red social.
5.9. Redes sociales, riesgos
No obstante, las redes sociales también pueden suponer un riesgo para la entidad, una mala gestión de las
mismas, un comentario inoportuno o los ciberdelincuentes pueden afectar negativamente a la imagen o a
la reputación de tu organización.
Las siguientes circunstancias suponen riesgos para la entidad en el uso de las redes sociales.
Error humano. Muchos de los incidentes que afectan a la reputación y a la seguridad de la

organización en las redes sociales tienen su origen en el error humano:
Publicar juicios de valor personal en representación de la entidad
Intercambio de comentarios con un tono elevado.
Hacer pública información que debería ser privada, por ejemplo publicar en el estado fotos
del lugar de trabajo en una farmacia y que sea visibles y legibles recetas de pacientes.
Publicar detalles sobre la organización o sobre un evento al que se va a acudir y del que se
pueda aprovechar un ciberdelincuente.
Configuración de privacidad débil.

Cada red social tiene opciones de privacidad que deben ser revisadas.
Utilizar contraseña débil.
Permitir que cualquier miembro de la organización pueda publicar. Se debe definir la imagen
que se quiere dar, qué se publica y qué no, en qué tono o lenguaje, solo personal autorizado
y conocedor de ello debe publicar contenidos.
27
Y EN SU TRATAMIENTO
Campañas de fraude: suplantación, malware y phising. Los ciberdelincuentes también acechan en

las redes sociales mediante diferentes tipos de campañas. Los fraudes que realizan pueden ser
llevados a cabo de varias formas, pero el objetivo final siempre será su propio beneficio económico.
Fraude por suplantación de clientes o proveedores.
Campañas de malware. Envío de software malicioso por medio de los perfiles en redes sociales.
Campañas de phishing. Los ciberdelincuentes pueden hacerse pasar por una marca conocida y
redirigir a la víctima a una página web fraudulenta donde robar información personal, bancaria y
datos de la empresa.
5.10. Medidas de seguridad en RRSS
Los riesgos anteriores pueden afectar a la reputación de la organización, además de causar infecciones por
malware, fugas de información y otros incidentes de seguridad. Para evitarlos tendremos que tomar algunas
medidas.
Contraseña de acceso.
Sentido común. Debemos evitar:
lanzar comentarios inoportunos, negativos o inapropiados, como quejas laborales;
emitir juicios de valor;

enfrascarnos en discusiones sin sentido, insultar, amenazar o acosar;
propagar noticias falsas;
dar información confidencial o sujeta a propiedad intelectual, etc.
Privacidad. Configurar correctamente las opciones de privacidad de los diferentes perfiles.

Antimalware y enlaces. Los ciberdelincuentes tienen dos métodos, principalmente, para difundir
este tipo de software malicioso, mediante documentos adjuntos en mensajes dentro de la propia red
o por medio de sitios web de terceros.
Cualquier tipo de documento adjunto enviado por la red social se ha de considerar como una
potencial amenaza y se tomarán todas las medidas de seguridad necesarias como analizarlo con el
antivirus o con herramientas como Virustotal. También se prestará especial atención a la extensión
del archivo, como ya se indicó en temas anteriores.
Ante la menor duda no se ejecutará el archivo adjunto. Además, los dispositivos desde los que se
utilicen redes sociales, como sucede con cualquier otro dispositivo, siempre deben contar con
soluciones antimalware, sistema operativo y otro software actualizado.
De manera similar, sucede con los enlaces, estos pueden redirigir a sitios web fraudulentos de tipo
phishing o a sitios web donde descargar archivos infectados. Ante la menor duda con el enlace se
evitará acceder al sitio web.
28
Y EN SU TRATAMIENTO
5.11. Aplicaciones de mensajería instantánea
Gracias a las ventajas de conectividad que nos aportan estas herramientas en nuestro día a día, son
muchas las organizaciones que las utilizan en algunas ocasiones para comunicarse con clientes,
proveedores, empleados, etc. (individualmente o mediante la creación de grupos).
Proporcionan funcionalidad e inmediatez en nuestro trabajo diario, pero debemos tener siempre en
cuenta, y por tanto no podemos olvidar, que cuando las usemos, debemos hacerlo cumpliendo con la
normativa en materia de privacidad.
Se debe insistir en nuestras organizaciones en las medidas de seguridad que se deben tomar para
cumplir con el GDPR, por este motivo, exponemos a continuación algunas pautas básicas a seguir para
un uso correcto de estas aplicaciones en vuestra organización, que deben conocer todo el personal de
la misma:
La difusión de información personal (sanitaria, jurídica, sindical, financiera, académica, identificativa,
…) por medio de estas aplicaciones está estrictamente limitada y condicionada al cumplimiento de la
normativa en materia de privacidad (GDPR y LOPDGDD), por tanto se debe utilizar solo como canal
de comunicación a nivel informativo, no como medio para compartir datos personales o
información confidencial.
Las versiones de uso personal y no corporativo se deben utilizar solo para fines personales por lo que
un uso indebido por parte de los integrantes de cualquier organización puede acarrear graves
sanciones económicas. Por ello, cuando se utilice se debe evitar comunicar información personal
(sindical, sanitaria, jurídica, financiera, académica, identificativa, …) o información confidencial
interna de nuestra organización, incluso a otros compañeros, por este medio, ya que no garantiza ni
la integridad ni la confidencialidad de dicha información.
En lo concerniente a la información que tratamos (personal o interna de la propia organización),
porque estemos autorizados para ello, debemos ser conscientes de que somos responsables de su
control, por tanto, somos responsables de utilizar un medio seguro para compartirla, ser
consecuentes con el contenido, con quien la compartimos y, sobre todo, con cuál es el fin para el que
se comparte y las consecuencias que puede implicar compartirla.
Existen versiones para organizaciones, como el WhatsApp Business en las que la entidad propietaria
de la plataforma actúa como encargado del tratamiento (art. 28 GDPR), tal y como exige el GDPR
5.12. Aplicaciones para videoconferencias
Entre los tipos de videoconferencia por los que podemos optar tenemos, por un lado, las videoconferencias
tradicionales, que utilizan equipos físicos específicos dedicados a ello, o que utilizan software instalado en
ordenadores.
Y por otro lado tenemos multitud de herramientas como servicio móvil en la nube, donde podemos contratar
el servicio de videoconferencia a la medida de nuestra organización sin necesidad de mantener ni instalar la
infraestructura de videoconferencia. Estas herramientas pueden ser gratuitas o de pago, pero en cualquier
caso siempre debemos utilizar la versión profesional, es decir la versión para organizaciones, ya que es la
que ofrece las funcionalidades y la seguridad que requieren la mayoría de las entidades.
Es posible que utilicemos estas aplicaciones para contactar con proveedores o colaboradores o incluso para
recibir formación de empresas externas.
29
Y EN SU TRATAMIENTO
En todas ellas hay que extremar la seguridad para prevenir la intrusión y garantizar la confidencialidad de
las conversaciones y de la información que tratamos en ellas, ya que podrían estar expuestas a las
siguientes amenazas:
Las inherentes a las redes inalámbricas e internet.
Las originadas por una configuración errónea de la sesión.
Las asociadas a las carencias de seguridad de la propia herramienta.
Para garantizar una seguridad mínima en estas comunicaciones, debemos conocer y establecer unas pautas
generales de seguridad, como las siguientes:
Utilizar siempre el sistema de videoconferencias indicado por nuestra organización.
Caso de utilizar los sistemas tradicionales de videoconferencia cifrar por defecto todas las
comunicaciones, utilizando el protocolo SSL, para establecer un canal seguro. Se debe realizar
siempre, aunque hay que ser especialmente precavidos cuando se estén utilizando redes cuya
seguridad desconocemos.
Si tenemos contratado el servicio con un proveedor externo, asegurarnos que este cumpla con todos
los requisitos legales y de seguridad para que nuestras conferencias sean seguras.
Verificar que la herramienta utilizada incluya funcionalidades para el cifrado de datos, así como
funciones antimalware.
No establecer comunicaciones con desconocidos o que no estén dentro de nuestra lista de contactos,
añadir únicamente a contactos conocidos y de confianza, verificando su identidad por otros medios.
Utilizar perfiles de usuario con autenticación mediante contraseña segura, para evitar el acceso por
usuarios no autorizados.
Mantener actualizado el software de los sistemas de videoconferencia.
Deshabilitar la opción de compartir escritorio o de recepción de video por defecto, y habilitarla solo
cuando sea necesario.
Cubrir la cámara cuando el sistema no está en uso. También, configuraremos la cámara para que, al
comenzar una videoconferencia, muestre una imagen neutra que no muestre información
comprometida, en caso de establecer una conexión errónea.
Apagar o silenciar los micrófonos cuando el sistema no está en uso.
Tomando estas medidas de seguridad, podemos asegurar unas videoconferencias que resulten seguras y
sin sobresaltos. Protegiendo la confidencialidad de la comunicación y de la información que transmitimos,
protegemos nuestra organización.
30
Y EN SU TRATAMIENTO
RESUMEN
✓ Hoy el uso del correo electrónico es casi imprescindible, proporciona accesibilidad, rapidez,
posibilidad de adjuntar archivos, etc., aunque está expuestos a los ataques con ingeniería social
(phishing, ransomware, …)
✓ Se recomienda al menos dos cuentas una privada y otra corporativa, y en el caso de las corporativas
tener una cuenta para el spam, o una alternativa a esta cuenta para spam puede ser la publicación de
un formulario web.
✓ Si vamos a enviar información sensible a través del correo electrónico, se debe cifrar.
✓ Cuando enviemos correos a múltiples destinatarios, hacerlo utilizando la opción copia oculta.
✓ No debemos abrir correos de remitentes desconocidos, que incluyan adjuntos o links para clicar.
✓ No debemos contestar a correo no solicitado o spam, ni reenviar este tipo de correos.
✓ No se debe divulgar una dirección de correo electrónico, que es un dato de carácter personal sin el
consentimiento de su titular.
✓ Cuando damos a la opción responder a todos, debemos vigilar que vamos a enviar esa respuesta a
todas las direcciones de remitentes y CC.
✓ Debemos sospechar de un correo electrónico recibido cuando presente cambios de aspecto respecto
a otros anteriores del mismo remitente, cuando inciten a alguna acción, no habitual, o cuando nos
soliciten credenciales nuestras.
✓ Las redes sociales pueden suponer un riesgo para la entidad, una mala gestión de las mismas, un
comentario inoportuno o los ciberdelincuentes pueden afectar negativamente a la imagen o a la
reputación de tu organización.
✓ Muchos de los incidentes que afectan a la reputación y a la seguridad de la empresa en las redes
sociales tienen su origen en el error humano.
✓ Tener una configuración de privacidad débil en los perfiles profesionales de redes sociales, es un
riesgo para la seguridad de la organización.
✓ Los ciberdelincuentes también acechan en las redes sociales mediante diferentes tipos de campañas.
✓ Para evitarlos tendremos que tomar algunas medidas: contraseña de acceso robusta, sentido común,
configurar opciones de privacidad adecuadamente.
✓ Cualquier tipo de documento adjunto enviado por la red social se ha de considerar como una potencial
amenaza.
✓ Las aplicaciones de mensajería instantánea se deben utilizar solo como canal de comunicación a nivel
informativo, no como medio para compartir datos personales o información confidencial.
✓ En lo referente a las aplicaciones para videoconferencias siempre debemos utilizar la versión
profesional (business), ya que es la que ofrece las funcionalidades y la seguridad que requieren la
mayoría de las entidades.
31

Formación LOPD

Cargado por

Copyright:

Formatos disponibles

Formación LOPD

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Formación LOPD

Cargado por

Copyright:

Formatos disponibles

SEGURIDAD EN LA INFORMACIÓN

SEGURIDAD EN LA INFORMACIÓN Y EN SU TRATAMIENTO

2. Dispositivos móviles, teletrabajo y BYOD

1.2. Importancia de la información

1.3. Seguridad de la información

La seguridad de la información consiste en proteger tres propiedades o dimensiones de la misma:

1.4. Los datos personales

1.5. Cifrado de la información

¿Qué información debemos cifrar?

1.6. Copias de seguridad

1.7. Clasificación de la información

1.8. Borrado seguro de la información

1.9. Almacenamiento de la información

Almacenar la información usada en el día a día de la organización, en el lugar adecuado, es importante, ya

✓ Podríamos definir la información como un conjunto organizado de datos procesados, que

✓ La Seguridad de la información consiste en proteger tres dimensiones de la misma, confidencialidad,

✓ Para el sistema de copias de seguridad utilizaremos la regla 3-2-1.

✓ Un ejemplo de clasificación de la información sería: confidencial, restringida, de uso interno y pública.

✓ Almacenar la información usada en el día a día de la organización, en el lugar adecuado, es

✓ Tipos de almacenamiento: local, red, nube.

2. Dispositivos Móviles, teletrabajo y BYOD

2.2. Riesgos de su uso

2.3. Medidas de seguridad

Protección de la información, la información que se gestiona desde los dispositivos móviles o

No recordar la contraseña, la función de “recordar contraseña” no debe usarse nunca en

Aumento de las posibilidades de accesos no autorizados a información corporativa, ya que el

2.5. Robo o pérdida

2.6. Configuraciones de seguridad

Cifrado de los soportes de almacenamiento.

Llamamos geolocalización o geoposicionamiento a la capacidad de algunos dispositivos de ubicarse

✓ Habitualmente, los dispositivos móviles se utilizan fuera de las dependencias de nuestra

información en papel al alcance de cualquiera;

3.2. Gestión de la documentación

3.3. Uso adecuado de recursos

3.4. Política de mesas limpias

3.5. Bloqueo de sesión

MacOS: Control + Opción + Q

3.6. Actualización de software

3.7. Antivirus y cortafuegos

3.8. Informar de un incidente de seguridad

Si sufrimos un incidente que pudiera afectar a la seguridad de la información de la organización, poniendo

3.9. Uso seguro de dispositivos de almacenamiento extraíbles

3.10. Ingeniería social

El no querer decir que no a las peticiones de otras personas.

El deseo de ser halagado.

3.11. Fugas de información

4.2. Contraseñas seguras

Utilizar minúsculas, mayúsculas, números y símbolos.

4.3. A tener en cuenta en el uso de contraseñas

4.4. Métodos de autenticación

4.5. Doble factor de autenticación

Ejemplos de doble factor:

(*) Es el proceso de sustitución de un elemento de datos sensible por un equivalente no sensible,

✓ Debemos utilizar contraseñas robustas: mínimo 8 caracteres, mayúsculas, minúsculas, números y

✓ Utilizar gestores de contraseñas facilita el uso de múltiples contraseñas.

5.2. Uso de diferentes cuentas de correo

5.3. Información sensible en correos

5.4. Opción de copia oculta en correos (CCO)

5.5. Función de autocompletado en correos

5.6. Descarga automática de imágenes en correos