n En el puesto de trabajo:
- Los puestos de trabajo, pantallas e impresoras deben estar protegidos de las miradas de personas no autorizadas.
- No se deben mantener anotaciones sobre contraseñas u otros aspectos de la seguridad en la mesa de trabajo.
- No se deben mantener copias de ficheros con datos de carácter personal, ya sea en disco, ya sea en otro soporte o listados en la mesa de trabajo, sin estar bajo llave.
- No se debe instalar un software no autorizado, dado el peligro de que contenga programas malignos, como sniffers o “troyanos”.
- No dar nunca las contraseñas a nadie por teléfono ni por cualquier otro medio.
n Evitar técnicas de engaño:
- No dar nunca las contraseñas a nadie por teléfono o por cualquier otro medio.
- Desconfiar de cualquiera que nos pida información interna, aunque parezca inocua.
n Las contraseñas:
- Elegir contraseñas fáciles de recordar para uno mismo pero difíciles de deducir por los demás.
- Cambiar las contraseñas periódicamente. No repetir las ya usadas.
- Avisar en caso de sospecha de que alguien las ha podido conocer.
n En los ordenadores:
- No deben instalarse programas personales o no autorizados en los puestos de trabajo.
- Cualquier dispositivo hardware o programa software que se instale en un puesto de trabajo debe estar previamente autorizado por el departamento central de informática.
- Los usuarios deben ser conscientes de que su puesto de trabajo puede ser una cabeza de puente para ataques al resto de la red o a los servidores.
- En el caso de redes locales inalámbricas, se debe utilizar siempre cifrado y protocolo WPA2, no el protocolo WEP, que ha demostrado ser fácilmente atacable. Imprimir solamente lo imprescindible
- No tirar nunca a la papelera soportes como disquetes o CD
- Contratar a una empresa de destrucción de documentación O tener una máquina destructora de documentación
- “Sanitizar”, es decir, eliminar los datos del disco duro, los ordenadores obsoletos que se vayan a retirar o donar
- Se debe evitar la copia de datos protegidos a ordenadores portátiles o memorias «pendrive»
- Cuando sea necesario su tratamiento o copia a esos dispositivos los ficheros deberán estar cifrados
- Los ordenadores portátiles nunca deben ser el único soporte de datos protegidos y su uso para tratamientos de datos protegidos debe ser estrictamente controlado y supervisado.
n En internet:
- Nunca se debe conectar un servidor o un ordenador que contenga datos protegidos directamente a Internet.
- Cualquier servidor, o incluso cualquier ordenador personal de una organización, debe estar en una red local protegida y aislada de Internet mediante un “cortafuegos” o firewall que le proteja de posibles atacantes
n Con el correo electrónico:
- Nunca ejecutar programas adjuntos a correos de desconocidos.
- No realizar en ningún caso reenvíos masivos que puedan provocar un efecto cascada que colapse las redes.
- Utilizar el campo Copia Oculta (CCO) cuando enviemos un mensaje a varios destinatarios.
- Reenviar, sólo al responsable de seguridad, aquellos correos sospechosos.
- Nunca enviar datos confidenciales o contraseñas por correo electrónico, a no ser que vayan cifrados.
- No proporcionar a desconocidos nuestra dirección de correo para que no caiga en listas de correo basura.
n Ficheros de trabajo temporales.
- Evitar en lo posible estos tratamientos provisionales no predefinidos en la aplicación.
- Si no hay más remedio, o la propia aplicación lo permite, utilizar siempre un mismo fichero temporal (temp), para evitar la proliferación de copias en el disco duro.
- Borrar siempre el fichero temporal al acabar una sesión de trabajo.
n Cifrado y programas de firma electrónica.
- Siempre que se traten datos personales fuera del entorno habitual declarado en el registro del fichero, los datos deberían estar cifrados.
- Aunque esta práctica no es siempre legalmente obligatoria, sin embargo, dada la facilidad con que hoy en día todos los sistemas admiten el cifrado, es una recomendación muy sencilla de aplicar
- Utilizar de forma sistemática el cifrado y la firma electrónica en los correos y en los documentos que contengan datos protegidos de cualquier tipo.
n Antivirus:
- Tener siempre un programa antivirus instalado en nuestro ordenador personal.
- Mantener siempre actualizada la base de datos de patrones de nuestro antivirus. Un antivirus desactualizado no sirve de nada.
- Utilizar la opción de exploración periódica de nuestro antivirus para detectar programas malignos en nuestros discos duros.
- Si se pertenece a una organización, no instalar un antivirus por nuestra cuenta, sino atenerse al que se haya establecido por el departamento central de informática.
n Siempre que recojamos datos, muy importante:
- Calidad de los datos: Los datos recogidos deben de ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades para las que se hayan obtenido. Art. 4 LOPD.
- Deber de Secreto. Es necesario el sigilo profesional de aquellos que intervengan en cualquier fase del tratamiento de los datos. Art. 10 LOPD.
- Información en la recogida de datos: Es necesario informar previamente a la recogida de los datos. De modo expreso e inequívoco de la existencia del fichero, del carácter obligatorio o facultativo de los datos, de las consecuencias de la obtención de los datos, de la posibilida de ejercitar los derechos de acceso, rectificación, cancelación y oposición. De la identidad y dirección del responsable del tratamiento del fichero. Art. 5 LOPD.
- Consentimiento del afectado. Es necesario el consentimiento del afectado salvo que la ley disponga otra cosa. Art. 7 LOPD.
- Comunicación o cesión de datos: solo podrán ser comunicados a terceros para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, siempre con el previo consentimiento del interesado. Art. 11 LOPD.
- Tratamiento por cuenta de terceros. Si un tercero, distinto del cedente y el cesionario; accede a los datos deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.