Stefano Gazzella : 15 septiembre 2025 07:32
Al hablar de seguridad de la información, primero debemos tomarnos un respiro y darnos cuenta de que necesitamos profundizar más allá de los sistemas informáticos y la información expresada directamente. Afecta a toda la información y a todos los sistemas de información. Así que, sin duda, debemos respirar hondo, porque de lo contrario es natural sentirnos un poco mareados, lo que nos lleva a ignorar lo que se comunica verbalmente, todo lo que se puede deducir, por ejemplo.
Y si nos falta oxígeno, quienes planean un ataque contra nosotros —o mejor dicho, contra un grupo en el que, por desgracia, estamos incluidos, porque rara vez podríamos ser copos de nieve especiales para un ciberdelincuente, y de todos modos no sería bueno— ya lo han pensado. Y cuando recopila información con ciertas técnicas de OSINT, no aplica nada esotérico, sino que, en pocas palabras, toma lo que hemos dejado a nuestro alcance y lo usa en nuestra contra.
De hecho, nuestra idea fundamental para protegernos siempre y planificar un sistema de defensa eficaz debería ser: ¿Cuál es el peor uso que se le puede dar a esta información? Y dejar que nuestros pensamientos divaguen hacia aquellos escenarios que combinan lo indeseable con lo posible, permitiéndonos así adoptar las precauciones necesarias.
Puede que parezca obvio, pero vale la pena repetirlo: cualquier información cuenta.
Si no es por nosotros, entonces por quienes podrían usarlo en nuestra contra.
Con este preámbulo, veamos qué tiene que ver con el mensaje de fuera de la oficina, es decir, ese mensaje de respuesta automática que notifica la indisponibilidad temporal de un usuario.
La información que debe transmitirse con un mensaje de fuera de la oficina es que no estamos disponibles. Posiblemente, también proporcione una dirección para gestionar asuntos pendientes y enviar comunicaciones.
Hasta ahora, todo bien. Pero a menudo necesitamos decir algo más. Desde indicar el periodo de indisponibilidad hasta el motivo de nuestra ausencia. Y si bien lo primero puede ser, si no necesario, exigido por el contexto, el motivo de la ausencia puede suponer un problema de seguridad, pero también de privacidad.
Por lo tanto, el contenido de la carta de ausencia no debe exceder los objetivos, por lo que es mejor indicar el periodo de ausencia y, si no es extremadamente importante, el motivo. Sea cual sea el motivo, desde quedarse sin gasolina, una rueda pinchada, un derrumbe de una casa, una inundación o una plaga de langostas… bueno, comunicarlo va más allá del alcance del proceso de ausencia.
Desde la perspectiva del RGPD, viola el principio de minimización y también podría revelar cierta información de los empleados que no debería divulgarse (por ejemplo, su estado de salud). Desde la perspectiva de la seguridad, consulte más arriba sobre proporcionar información excesiva y la capacidad de un atacante para mezclarla en un cóctel letal. O peligroso.
Diría que no está mal. En la práctica, una simple medida como la implementación deficiente del trabajo fuera de la oficina afecta tanto al trabajador como a la organización.
Las directrices de la Autoridad Italiana de Protección de Datos para el correo electrónico e internet en el lugar de trabajo, que datan de 2007, indican la inclusión de una especificación sobre lo siguiente como parte de la normativa interna:
las soluciones previstas para garantizar, con la cooperación del trabajador, la continuidad de la actividad laboral en caso de Ausencia del empleado (especialmente si es planificada), con especial referencia a la activación de sistemas de respuesta automática a los correos electrónicos entrantes;
Esto incluye poner a disposición del empleado la función de respuesta automática, dejando la excepción a la intervención del empleador a través de un administrador del sistema u otra persona designada (por ejemplo, en caso de ausencias prolongadas o imprevistas).
Esta es una forma de proporcionar información transparente al empleado e instrucciones completas para garantizar que la ausencia se gestione de forma segura. Claras y precisas, por supuesto. Y no con juegos de espejos y palancas que sabemos muy bien cómo terminan.
¿Y si no somos una empresa ni una organización? No será necesario elaborar un reglamento interno, sino actuar con disciplina. Es decir, considerar estos factores de riesgo y nunca abandonar las conductas seguras recitando la máxima de «lo que me pueda pasar», que a menudo desafía la morfología.
Lo cual, recuerden, incluye un axioma fundamental: «Si algo puede salir mal, saldrá mal».
Realidad: Esto también aplica a las operaciones fuera de la oficina mal gestionadas.
A partir del martes 12 de noviembre de 2025, entrarán en vigor nuevas disposiciones de la Autoridad Reguladora de las Comunicaciones Italiana (AGCOM), que exigirán un sistema de verificación de eda...
AzureHound, que forma parte de la suite BloodHound , nació como una herramienta de código abierto para ayudar a los equipos de seguridad y a los equipos rojos a identificar vulnerabilidades y rutas ...
La puntualidad es clave en ciberseguridad. Red Hot Cyber lanzó recientemente un servicio completamente gratuito que permite a los profesionales de TI, analistas de seguridad y entusiastas monitorear ...
Jen-Hsun Huang soltó una bomba: Nvidia habría invertido mil millones de dólares en Nokia. Sí, Nokia es la compañía que popularizó los teléfonos Symbian hace 20 años. En su discurso, Jensen Hu...
El equipo de programación ruso responsable del malware Medusa ha sido arrestado por funcionarios del Ministerio del Interior ruso, con el apoyo de la policía de la región de Astracán. Según los i...
