Seguridad de la informaciÃ³n: factores humanos y organizativos

Seguridad de la 

información: factores 

humanos y organizativos 

Protección de Datos: 

sección coordinada por la 

Agencia de Protección de 

Datos de la Comunidad de 

Madrid 

José Ramón 

de Lorza 

Consultor 

Agencia de Protección de 

Datos de la Comunidad 

de Madrid 

Cuando se aborda la seguridad de 

la información suele hacerse 

desde planteamientos únicamente 

técnicos basándola en la 

seguridad de los propios sistemas 

de información, en el hardware, software 

y en los locales o instalaciones del tratamiento. 

Lo cierto es que focalizar el asunto 

de la seguridad en estos medios resulta 

a todas luces insuficiente. Como todos ustedes 

saben, la seguridad es un proceso 

–en continúo cambio y avance- y no un producto 

que se pueda adquirir en el mercado. 

En todo tratamiento de información, en 

mayor o menor medida, en una u otra fase 

del mismo, hay intervención humana. Bien 

sea durante el diseño de la aplicación, en 

el suministro de la información a los sistemas, 

en la aportación de instrucciones al 

sistema, en el manejo y uso de la información 

o en cualquier otra fase del tratamiento. 

Y es aquí donde, aunque se olvide con 

demasiada frecuencia, hay que poner 

atención pues en otro caso, todas las inversiones 

realizadas en medidas de seguridad 

lógicas y físicas pueden resultar 

inútiles o, cuando menos, verse socavada 

la efectividad de aquéllas medidas. 

Aquí se va a poner énfasis en la seguridad 

aplicada a los datos de carácter personal 

pues si bien es cierto que no toda información 

constituye datos de carácter personal no 

lo es menos que éstos se encuentran presentes 

en casi toda actividad empresarial, administrativa 

o de otra índole. Al fin y al cabo, las 

empresas, las organizaciones, las administraciones 

públicas, etc., tienen clientes o administrados 

y la información relativa a ellos sí 

constituyen datos de carácter personal. 

Hay que tener en cuenta que los riesgos 

y amenazas de seguridad se actualizan 

constantemente y hay que analizar, 

constantemente, cuáles son esos riesgos 

y las amenazas, las vulnerabilidades y las 

probabilidades de que tales riesgos y 

amenazas se materialicen. 

Desde esta perspectiva de la protección 

de datos de carácter personal, la regulación 

legal existente, concretamente el 

Real Decreto 1720/2007, de 21 de diciembre, 

por el que se aprueba el Reglamento 

de Desarrollo de la Ley Orgánicas de Protección 

de Datos, exige no sólo medidas 

de seguridad lógicas –de los sistemas- y 

físicas –de los locales, instalaciones, etc.- 

sino también de tipo organizativo, lo que, a 

su vez, supone implicar en ellas también al 

factor humano. El factor humano es el eslabón 

más débil de la cadena de seguridad. 

Resulta a todas luces insuficiente aplicar 

todo tipo de medidas de seguridad a 

los sistemas, sean éstas de la naturaleza 

que sean, si quien tiene acceso a estos, 

julio/agosto 2010 156

protección de datos 

normas y d-tic 

que no deben acceder a ella. Una impresora 

ubicada en un lugar de paso, de acceso 

público o semipúblico incluso, y en la cual 

se imprimen documentos que se recogen 

de ella bastante tiempo después de haber 

sido generados, constituye una amenaza 

de seguridad. Lo mismo cabe decir de un 

monitor ubicado con la pantalla frente a un 

espejo o frente a una ventana en la que se 

refleja la imagen del monitor o en un lugar 

donde puede ser vista por quien no debe 

tener acceso a esa información. 

quien los maneja habitualmente, no aplica 

pautas de comportamiento acordes 

con la seguridad. Y esto requiere, no sólo 

concienciar al personal, sino que éste 

haga suyas una serie de medidas de 

actuación y comportamientos que aseguren 

y hagan efectivas las medidas de 

seguridad de los sistemas. Es necesario 

también tomar medidas organizativas 

sobre quién, cuándo y cómo tiene acceso 

a la información. A qué tipo de información 

tiene acceso y para qué y cómo se 

gestionan los distintos dispositivos. Igualmente 

medidas relativas a cómo y dónde 

se instalan los distintos dispositivos de 

entrada y salida de la información (impresoras, 

monitores, etc.), dónde y cómo se 

guardan y almacenan los soportes, cómo, 

quién y cuándo tiene acceso a Internet y 

a qué se tiene acceso y a qué no, qué se 

puede hacer y qué no con el correo electrónico 

y así una larga lista de cuestiones. 

Lo mismo cabe decir respecto a los 

deshechos de información que todo tratamiento 

genera (en papel, soportes magnéticos, 

ordenadores obsoletos, etc.). Una 

organización en la que la seguridad de la 

información sea correctamente gestionada 

tiene que tener reglados los sistemas o 

modos en que ha de desechar los soportes 

obsoletos: discos, CDs, DVDs, discos 

duros, etc. Es decir, la organización tiene 

que establecer y cumplir, y sus miembros 

conocer, qué hacer exactamente ante el 

hecho de tener que deshacerse de este tipo 

de soportes que incluirá, siempre, la destrucción 

perdurable y segura de la información 

que contienen estos dispositivos. Esto 

mismo ha de estar establecido respecto a 

otros soportes que contengan igualmente 

información: listados, documentos, dossiers, 

etc., sin que la misma pueda ser vertida, 

alegremente, a contenedores de basura 

o similares que se arrojan en la vía pública, 

si previamente no se ha hecho ilegible e irrecuperable. 

Es bien conocido que quienes se 

dedican a la búsqueda de información tienen 

entre una de sus fuentes importantes, 

precisamente, la basura. Si no se deposita 

en ella información, si se ha destruido previamente 

y de modo total, difícilmente se va 

a poder obtener de ahí información alguna. 

Pongamos algunos ejemplos que nos 

permitirán ver a qué me estoy refiriendo. Es 

importante, por ejemplo, ubicar en lugares 

adecuados los dispositivos de salida de los 

sistemas (pantallas, impresoras, etc.) pues 

de su ubicación concreta puede depender 

que la información mantenga su carácter 

confidencial o sea accedida por personas 

Es importante concienciar al personal 

para que cuando abandone su puesto de 

trabajo por la razón que sea –salida a desayunar, 

descansos, interrupción de jornada 

o cualquier otra circunstancia- bloquee el 

sistema pues en otro caso, cualquiera que 

entrase en su despacho o se acercase a su 

puesto de trabajo, podría acceder a la información 

del sistema y acceder no sólo a la 

que el mismo contiene, sino a mucha otra 

ubicada en servidores o discos duros 

comunes, además de poder hacer copias 

en escaso tiempo en un pendrive u otro dispositivo. 

Medidas como ésta, de fácil aplicación, 

hacen mucho por la seguridad de la 

información pero no son posibles sin la 

implicación activa del personal que es quien 

en definitiva ha de bloquear el sistema en 

cada momento y reactivarlo a su regreso. 

Es igualmente vital concienciar al personal 

de la necesidad de mantener secreto 

su nombre de usuario y clave de acceso o 

password, no escribiéndolos en ningún 

lugar visible o accesible ni comunicándosela 

a terceros o a sus compañeros. Las claves 

de acceso a los sistemas, en el mismo 

momento en que dejan de ser secretas, 

pierden toda utilidad puesto que a partir de 

ahí, cualquiera, puede acceder a los sistemas. 

Es igualmente importante cambiarlas 

con regularidad y difundir entre el personal 

la idea de que las claves no deben ser nunca 

claves de fácil averiguación o intuidas 

por cualquiera como pueda ser su nombre 

y apellidos, la fecha de nacimiento, la fecha 

de su boda, la matrícula del coche o similares. 

Una clave de acceso con esta composición 

o estructura es fácilmente vulnerable. 

Por tanto, ha de indicarse al personal, que 

se abstenga de establecer este tipo de claves 

y que utilice y genere claves alfanuméricas 

y si es con signos o símbolos especiales 

(#,@,€,(,=, etc.), mejor aún. 

157 julio/agosto 2010

Seguridad de la informaciÃ³n: factores humanos y organizativos

Create successful ePaper yourself

Delete template?

Save as template?