Gestión de Riesgos con Terceros
En el entorno académico actual, las universidades colaboran frecuentemente con terceros, ya sean otras instituciones educativas, organizaciones de investigación, o proveedores de servicios. Estas colaboraciones, aunque beneficiosas, también presentan riesgos significativos en términos de seguridad de la información. Este artículo está diseñado para sensibilizar al personal y a los investigadores sobre la gestión de riesgos con terceros y proporcionar directrices claras para proteger los datos y la información sensible.
Intercambio de Archivos y de Información
El intercambio de archivos y de información con terceros debe gestionarse con cuidado para evitar la exposición no autorizada de datos sensibles. Aquí hay algunas directrices clave:
- Utilizar siempre canales seguros para el intercambio de información, como OneDrive cifrado proporcionado por la Universidad o plataformas colaborativas con cifrado de extremo a extremo.
- No enviar información sensible por correos electrónicos no cifrados.
- Verificar la identidad del destinatario antes de compartir información confidencial.
Uso del Etiquetado de Información en Outlook
El etiquetado de información es una herramienta esencial para clasificar y proteger los datos según su nivel de sensibilidad. En el entorno de Outlook, se deben utilizar las siguientes etiquetas:
-> Confidential - Básico
Esta etiqueta se debe utilizar para información sensible que, aunque no crítica y no cifrada, debe ser manejada con cuidado. Ejemplos incluyen documentos internos, reportes de progreso, y comunicaciones administrativas que contienen datos no públicos.
-> Confidential - Cifrado
Esta etiqueta es para información altamente sensible que requiere cifrado para su protección. Ejemplos incluyen datos personales de estudiantes y empleados, resultados de investigación no publicados, y cualquier otra información cuya divulgación no autorizada podría tener consecuencias graves.
Para poder leer el email, el tercero deberá identificarse con una cuenta de Microsoft o con un código temporal enviado a su dirección de email.
Es importante recordar que la etiqueta "2 - Interno Solo" no debe utilizarse con terceros.
Buenas Prácticas de Seguridad Informática
Aplicar buenas prácticas de seguridad informática en el trabajo diario con terceros es crucial para proteger la información de la universidad. A continuación, se presentan algunas recomendaciones:
- Actualizar y parchear regularmente todos los sistemas y software utilizados.
- Utilizar autenticación de dos factores (2FA) para acceder a sistemas y aplicaciones críticas.
- Implementar políticas de contraseñas fuertes y exigir cambios periódicos de las mismas.
- Realizar copias de seguridad regulares de los datos importantes y almacenarlas de manera segura.
- Formar y sensibilizar al personal sobre las amenazas de seguridad, como phishing y malware.
- Limitar el acceso a la información según el principio de privilegio mínimo, es decir, cada usuario debe tener acceso solo a la información necesaria para desempeñar su trabajo.
- Monitorear regularmente los sistemas y redes para detectar actividades sospechosas.
- Establecer un plan de respuesta a incidentes para manejar rápidamente cualquier brecha de seguridad.