Mesas limpias, información a salvo

Los arboles me miran mal... Mesa llena de papeles
FacebooktwitterinstagramFacebooktwitterinstagram

Esta mañana he ido al banco y encima de la mesa de la persona que me atendió, se apilaban decenas de documentos con información sobre cuentas, movimientos y un listado de bajas de libretas (…) con los nombres y las cantidades liquidadas.

Esto no es un caso aislado. En mi periplo de consultas médicas y hospitales que he tenido en el segundo semestre del pasado año, puedo recordar mesas llenas de documentos y algún que otro CD/DVD con resultados médicos, apuntes, recetarios, sellos de caucho, etc. En dos médicos incluso he visto una memoria USB situada en la parte posterior de la torre, casi al alcance de la mano de cualquiera que quisiera cogerla.

Los arboles me miran mal... Mesa llena de papeles

Los arboles me miran mal…

En mi trabajo habitualmente me enfrento a situaciones parecidas. En las visitas que hago a muchos de mis clientes, los papeles y dispositivos de almacenamiento masivo, reposan sin ningún tipo de control y al alcance de cualquiera que quiera hacerse con uno de ellos. Incluso los recintos dedicados a la impresión de documentos, están abiertos a que cualquiera se pueda hacer con información de la empresa visitada.

Política de «Mesas limpias»

Debemos marcarnos como uno de los objetivos de 2014 que nuestra información esté en lugar seguro, tanto la personal como la de nuestra empresa. Con ello debemos implementar una política de control de la información que podemos dejar al alcance de terceros no autorizados. Es importante que si estamos trabajando con información confidencial, nunca dejemos este material sin vigilancia, teniendo a mano un cajón con llave para cuando nos tengamos que ausentar.

Impresión de papel: Di NO a las montañas de papeles de tu mesa. Seguro que te proporcionan un lugar mucho más seguro o debes solicitarlo. Limita la impresión de documentos a lo imprescindible. La información en papel es más complicada de securizar más allá del entorno físico y salvo excepciones, suele terminar en la mesa, en archivadores colocados en armarios sin llave. Todo aquello que se imprime de una forma innecesaria o por error, suele acabar en una papelera. Procura ir a por los documentos inmediatamente después de imprimirlos y si hay contenedores para documentación sensible, úsalos. Una alternativa más económica son las destructoras/trituradoras de papel.

Memoras USB y otros dispositivos: Las memorias USB, tarjetas SD y similares, o CDs y DVDs también campan a sus anchas por mesas y estanterías. En cualquier dispositivo pueden caber cientos de documentos, bases de datos, hojas de cálculo, listados, etc. Representan un peligro importante en el tratamiento de datos y suelen ser una importante fuente de problemas, tanto de robos de información, como de entrada de virus y troyanos. En algunas empresas incluso han desactivado o protegido todas los puertos USB, prohibiendo radicalmente el uso de estos, a favor de entornos de almacenamiento mucho más seguros. La adopción de un sistema DLP, Data Loss Prevention o Sistema de prevención de pérdida de datos, puede ser la mejor solución.

Logo de MyDLPLlaves, tarjetas de identificación, calculadoras RSA, etc.: Los sistemas de acceso que requieran un token físico, son personales e intransferibles. Procura llevarlo en un lugar visible y no dejarlo en un lugar accesible por terceros o susceptible de perderse. Debes tener un procedimiento para actuar rápido en caso de pérdida. En el transcurso de las auditorías suelo encontrar tarjetas de este tipo en percheros, respaldo de sillas o colgando de las llaves (puestas) de un armario.

Token RSA

Token RSA

Regulación

Prácticamente todas las normativas de seguridad contienen directa o indirectamente referencias en materia de Escritorio limpio. Es muy recomendable que cualquier empresa tenga su propia política en este sentido, que la aplique, la evalúe y la evolucione para mantener a salvo los datos de sus clientes. Si algo no está en la normativa o política de seguridad de una empresa, no hay nada que nos asegure el cumplimiento de esto y menos la posibilidad de pedir responsabilidades en el caso de cualquier percance.

La política de mesas limpias debe incluir indicaciones que aseguren la información que se pueda encontrar en nuestro puesto de trabajo. Así mismo no debemos olvidar otros elementos que, sin ser contenedores necesarios de la información se encuentran en nuestro escritorio y que pueden dar acceso a esta, tal y como pantallas de aplicaciones sin proteger, teclados inalámbricos que no cuentan con un nivel aceptable de seguridad en la comunicación pudiéndose capturar las pulsaciones y los tokens de seguridad comentados anteriormente.

Según los distintos niveles de la LOPD española, los soportes (incluyendo papel) que contengan información de carácter personal, deberán almacenarse de la siguiente forma:

  • Nivel Básico: Según recoge el reglamento todo soporte que contenga datos de carácter personal bajo «deberá disponer de mecanismos que obstaculicen su apertura, tales como llaves, cerrojos, candados, etc.»
  • Nivel Medio: Los mismos que nivel básico.
  • Nivel Alto: «Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas e las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero».

Normativas como PCI DSS (req 9.6) o ISO27001 (objetivos 15.1, entre otros) también recogen directrices sobre la necesidad de mantener el puesto de trabajo despejado de información.

Un Saludo,

Autor: Jesus D. Muñoz

 

FacebooktwitterredditlinkedinmailFacebooktwitterredditlinkedinmail
enero 2, 2014

Etiquetas: , , , , , ,
  • Pingback: Bitacoras.com
  • Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *