La mayoría de las empresas olvidan casi siempre que el mantenimiento del nivel de seguridad depende de la actitud y las pautas de actuación de los equipos humanos, tanto o más que de la instalación y actualización de aplicaciones de software de protección.

Una de las empresas líderes en servicios tecnológicos a nivel internacional, recomienda a las organizaciones que asuman y practiquen una cultura de seguridad corporativa generalizada.

• Implementar una cultura de seguridad desde arriba. Los directivos senior deben adoptar una cultura de seguridad y cerciorarse de que los empleados tienen un acceso constante a la información y a cursos de formación en privacidad y seguridad.

• Ofrecer programas anuales de formación. Han de proporcionarse oportunidades de formación anual, así como un fácil acceso a los expertos en seguridad de la organización, lo cual ayudará a mantener la importancia de una cultura de seguridad en la mente de los empleados.

• Fomentar una política clara de mesas de trabajo. Cualquier mesa ubicada en un espacio abierto y cualquier oficina sin cerrar bajo llave es un objetivo fácil para el robo de información. Es conveniente pedir a los empleados que tengan bajo llave la información confidencial cuando no estén cerca de sus mesas -especialmente antes de abandonar la oficina cada día-, ya que ello puede mejorar enormemente la seguridad sobre información altamente delicada.

• Activar una política de clasificación de la información. Designar una clasificación para los diferentes tipos de información puede ayudar a establecer los niveles apropiados de control, tanto para las comunicaciones externas como las internas. Hay que asegurarse de que los empleados entienden las diferencias entre cada clasificación y facilitar ejemplos de los tipos de información que entran en cada categoría. Las interrupciones ocurren con frecuencia cuando los empleados reenvían correos electrónicos que contienen largas cadenas de información altamente confidencial a personas que no pertenecen a la empresa, incluso sin darse cuenta de que esa información formaba parte del correo electrónico. Concienciar sobre qué tipos de información son sólo para la compañía es una sencilla forma de reducir los fallos de seguridad.

• Ordenar la información con seguridad. La información desechada en la papelera de la compañía puede acabar con facilidad en manos equivocadas. Aquí es donde las clasificaciones resultan realmente prácticas. Las trituradoras comerciales o las cajas trituradoras de cada departamento pueden usarse para desechar información altamente confidencial, mientras que la papelera de la empresa se puede destinar a documentos menos delicados.

• Vigilar las conversaciones fuera de las instalaciones de la compañía. Cuando los profesionales y directivos estén en un lugar público, no estarán protegidos por las paredes de su compañía y serán presa fácil de mirones y curiosos, especialmente en salas de espera de aeropuertos y estaciones, lugares en los que hoy día se trabaja frecuentemente con ordenadores portátiles. Hay que recordar constantemente a los directivos y empleados que cualquier discusión o conducta relacionada con el trabajo en un lugar público está expuesta al conocimiento general y a graves fallos de seguridad.

• Asegurarse de que la función de auditoría corporativa incluye una política de seguridad y de revisión de prácticas. Se necesita un proceso de auditoría con definidas políticas de excepción para asegurar que los recursos informáticos de la corporación y las prácticas manuales estén en conformidad con las normas. Controles apropiados, auditorías y procesos de inspección deberían estar en su sitio para responder al sistema, la red y otros eventos y condiciones.

           Rafael Ruiz y Adolfo Agulló 

           Excmo. Colegio Of. de Graduados Sociales de Alicante