Seguridad de la información: factores humanos y organizativos
Seguridad de la información: factores humanos y organizativos
Seguridad de la información: factores humanos y organizativos
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Seguridad</strong> <strong>de</strong> <strong>la</strong><br />
información: <strong>factores</strong><br />
<strong>humanos</strong> y <strong>organizativos</strong><br />
Protección <strong>de</strong> Datos:<br />
sección coordinada por <strong>la</strong><br />
Agencia <strong>de</strong> Protección <strong>de</strong><br />
Datos <strong>de</strong> <strong>la</strong> Comunidad <strong>de</strong><br />
Madrid<br />
José Ramón<br />
<strong>de</strong> Lorza<br />
Consultor<br />
Agencia <strong>de</strong> Protección <strong>de</strong><br />
Datos <strong>de</strong> <strong>la</strong> Comunidad<br />
<strong>de</strong> Madrid<br />
Cuando se aborda <strong>la</strong> seguridad <strong>de</strong><br />
<strong>la</strong> información suele hacerse<br />
<strong>de</strong>s<strong>de</strong> p<strong>la</strong>nteamientos únicamente<br />
técnicos basándo<strong>la</strong> en <strong>la</strong><br />
seguridad <strong>de</strong> los propios sistemas<br />
<strong>de</strong> información, en el hardware, software<br />
y en los locales o insta<strong>la</strong>ciones <strong>de</strong>l tratamiento.<br />
Lo cierto es que focalizar el asunto<br />
<strong>de</strong> <strong>la</strong> seguridad en estos medios resulta<br />
a todas luces insuficiente. Como todos uste<strong>de</strong>s<br />
saben, <strong>la</strong> seguridad es un proceso<br />
–en continúo cambio y avance- y no un producto<br />
que se pueda adquirir en el mercado.<br />
En todo tratamiento <strong>de</strong> información, en<br />
mayor o menor medida, en una u otra fase<br />
<strong>de</strong>l mismo, hay intervención humana. Bien<br />
sea durante el diseño <strong>de</strong> <strong>la</strong> aplicación, en<br />
el suministro <strong>de</strong> <strong>la</strong> información a los sistemas,<br />
en <strong>la</strong> aportación <strong>de</strong> instrucciones al<br />
sistema, en el manejo y uso <strong>de</strong> <strong>la</strong> información<br />
o en cualquier otra fase <strong>de</strong>l tratamiento.<br />
Y es aquí don<strong>de</strong>, aunque se olvi<strong>de</strong> con<br />
<strong>de</strong>masiada frecuencia, hay que poner<br />
atención pues en otro caso, todas <strong>la</strong>s inversiones<br />
realizadas en medidas <strong>de</strong> seguridad<br />
lógicas y físicas pue<strong>de</strong>n resultar<br />
inútiles o, cuando menos, verse socavada<br />
<strong>la</strong> efectividad <strong>de</strong> aquél<strong>la</strong>s medidas.<br />
Aquí se va a poner énfasis en <strong>la</strong> seguridad<br />
aplicada a los datos <strong>de</strong> carácter personal<br />
pues si bien es cierto que no toda información<br />
constituye datos <strong>de</strong> carácter personal no<br />
lo es menos que éstos se encuentran presentes<br />
en casi toda actividad empresarial, administrativa<br />
o <strong>de</strong> otra índole. Al fin y al cabo, <strong>la</strong>s<br />
empresas, <strong>la</strong>s organizaciones, <strong>la</strong>s administraciones<br />
públicas, etc., tienen clientes o administrados<br />
y <strong>la</strong> información re<strong>la</strong>tiva a ellos sí<br />
constituyen datos <strong>de</strong> carácter personal.<br />
Hay que tener en cuenta que los riesgos<br />
y amenazas <strong>de</strong> seguridad se actualizan<br />
constantemente y hay que analizar,<br />
constantemente, cuáles son esos riesgos<br />
y <strong>la</strong>s amenazas, <strong>la</strong>s vulnerabilida<strong>de</strong>s y <strong>la</strong>s<br />
probabilida<strong>de</strong>s <strong>de</strong> que tales riesgos y<br />
amenazas se materialicen.<br />
Des<strong>de</strong> esta perspectiva <strong>de</strong> <strong>la</strong> protección<br />
<strong>de</strong> datos <strong>de</strong> carácter personal, <strong>la</strong> regu<strong>la</strong>ción<br />
legal existente, concretamente el<br />
Real Decreto 1720/2007, <strong>de</strong> 21 <strong>de</strong> diciembre,<br />
por el que se aprueba el Reg<strong>la</strong>mento<br />
<strong>de</strong> Desarrollo <strong>de</strong> <strong>la</strong> Ley Orgánicas <strong>de</strong> Protección<br />
<strong>de</strong> Datos, exige no sólo medidas<br />
<strong>de</strong> seguridad lógicas –<strong>de</strong> los sistemas- y<br />
físicas –<strong>de</strong> los locales, insta<strong>la</strong>ciones, etc.-<br />
sino también <strong>de</strong> tipo organizativo, lo que, a<br />
su vez, supone implicar en el<strong>la</strong>s también al<br />
factor humano. El factor humano es el es<strong>la</strong>bón<br />
más débil <strong>de</strong> <strong>la</strong> ca<strong>de</strong>na <strong>de</strong> seguridad.<br />
Resulta a todas luces insuficiente aplicar<br />
todo tipo <strong>de</strong> medidas <strong>de</strong> seguridad a<br />
los sistemas, sean éstas <strong>de</strong> <strong>la</strong> naturaleza<br />
que sean, si quien tiene acceso a estos,<br />
julio/agosto 2010 156
protección <strong>de</strong> datos<br />
normas y d-tic<br />
que no <strong>de</strong>ben acce<strong>de</strong>r a el<strong>la</strong>. Una impresora<br />
ubicada en un lugar <strong>de</strong> paso, <strong>de</strong> acceso<br />
público o semipúblico incluso, y en <strong>la</strong> cual<br />
se imprimen documentos que se recogen<br />
<strong>de</strong> el<strong>la</strong> bastante tiempo <strong>de</strong>spués <strong>de</strong> haber<br />
sido generados, constituye una amenaza<br />
<strong>de</strong> seguridad. Lo mismo cabe <strong>de</strong>cir <strong>de</strong> un<br />
monitor ubicado con <strong>la</strong> pantal<strong>la</strong> frente a un<br />
espejo o frente a una ventana en <strong>la</strong> que se<br />
refleja <strong>la</strong> imagen <strong>de</strong>l monitor o en un lugar<br />
don<strong>de</strong> pue<strong>de</strong> ser vista por quien no <strong>de</strong>be<br />
tener acceso a esa información.<br />
quien los maneja habitualmente, no aplica<br />
pautas <strong>de</strong> comportamiento acor<strong>de</strong>s<br />
con <strong>la</strong> seguridad. Y esto requiere, no sólo<br />
concienciar al personal, sino que éste<br />
haga suyas una serie <strong>de</strong> medidas <strong>de</strong><br />
actuación y comportamientos que aseguren<br />
y hagan efectivas <strong>la</strong>s medidas <strong>de</strong><br />
seguridad <strong>de</strong> los sistemas. Es necesario<br />
también tomar medidas organizativas<br />
sobre quién, cuándo y cómo tiene acceso<br />
a <strong>la</strong> información. A qué tipo <strong>de</strong> información<br />
tiene acceso y para qué y cómo se<br />
gestionan los distintos dispositivos. Igualmente<br />
medidas re<strong>la</strong>tivas a cómo y dón<strong>de</strong><br />
se insta<strong>la</strong>n los distintos dispositivos <strong>de</strong><br />
entrada y salida <strong>de</strong> <strong>la</strong> información (impresoras,<br />
monitores, etc.), dón<strong>de</strong> y cómo se<br />
guardan y almacenan los soportes, cómo,<br />
quién y cuándo tiene acceso a Internet y<br />
a qué se tiene acceso y a qué no, qué se<br />
pue<strong>de</strong> hacer y qué no con el correo electrónico<br />
y así una <strong>la</strong>rga lista <strong>de</strong> cuestiones.<br />
Lo mismo cabe <strong>de</strong>cir respecto a los<br />
<strong>de</strong>shechos <strong>de</strong> información que todo tratamiento<br />
genera (en papel, soportes magnéticos,<br />
or<strong>de</strong>nadores obsoletos, etc.). Una<br />
organización en <strong>la</strong> que <strong>la</strong> seguridad <strong>de</strong> <strong>la</strong><br />
información sea correctamente gestionada<br />
tiene que tener reg<strong>la</strong>dos los sistemas o<br />
modos en que ha <strong>de</strong> <strong>de</strong>sechar los soportes<br />
obsoletos: discos, CDs, DVDs, discos<br />
duros, etc. Es <strong>de</strong>cir, <strong>la</strong> organización tiene<br />
que establecer y cumplir, y sus miembros<br />
conocer, qué hacer exactamente ante el<br />
hecho <strong>de</strong> tener que <strong>de</strong>shacerse <strong>de</strong> este tipo<br />
<strong>de</strong> soportes que incluirá, siempre, <strong>la</strong> <strong>de</strong>strucción<br />
perdurable y segura <strong>de</strong> <strong>la</strong> información<br />
que contienen estos dispositivos. Esto<br />
mismo ha <strong>de</strong> estar establecido respecto a<br />
otros soportes que contengan igualmente<br />
información: listados, documentos, dossiers,<br />
etc., sin que <strong>la</strong> misma pueda ser vertida,<br />
alegremente, a contenedores <strong>de</strong> basura<br />
o simi<strong>la</strong>res que se arrojan en <strong>la</strong> vía pública,<br />
si previamente no se ha hecho ilegible e irrecuperable.<br />
Es bien conocido que quienes se<br />
<strong>de</strong>dican a <strong>la</strong> búsqueda <strong>de</strong> información tienen<br />
entre una <strong>de</strong> sus fuentes importantes,<br />
precisamente, <strong>la</strong> basura. Si no se <strong>de</strong>posita<br />
en el<strong>la</strong> información, si se ha <strong>de</strong>struido previamente<br />
y <strong>de</strong> modo total, difícilmente se va<br />
a po<strong>de</strong>r obtener <strong>de</strong> ahí información alguna.<br />
Pongamos algunos ejemplos que nos<br />
permitirán ver a qué me estoy refiriendo. Es<br />
importante, por ejemplo, ubicar en lugares<br />
a<strong>de</strong>cuados los dispositivos <strong>de</strong> salida <strong>de</strong> los<br />
sistemas (pantal<strong>la</strong>s, impresoras, etc.) pues<br />
<strong>de</strong> su ubicación concreta pue<strong>de</strong> <strong>de</strong>pen<strong>de</strong>r<br />
que <strong>la</strong> información mantenga su carácter<br />
confi<strong>de</strong>ncial o sea accedida por personas<br />
Es importante concienciar al personal<br />
para que cuando abandone su puesto <strong>de</strong><br />
trabajo por <strong>la</strong> razón que sea –salida a <strong>de</strong>sayunar,<br />
<strong>de</strong>scansos, interrupción <strong>de</strong> jornada<br />
o cualquier otra circunstancia- bloquee el<br />
sistema pues en otro caso, cualquiera que<br />
entrase en su <strong>de</strong>spacho o se acercase a su<br />
puesto <strong>de</strong> trabajo, podría acce<strong>de</strong>r a <strong>la</strong> información<br />
<strong>de</strong>l sistema y acce<strong>de</strong>r no sólo a <strong>la</strong><br />
que el mismo contiene, sino a mucha otra<br />
ubicada en servidores o discos duros<br />
comunes, a<strong>de</strong>más <strong>de</strong> po<strong>de</strong>r hacer copias<br />
en escaso tiempo en un pendrive u otro dispositivo.<br />
Medidas como ésta, <strong>de</strong> fácil aplicación,<br />
hacen mucho por <strong>la</strong> seguridad <strong>de</strong> <strong>la</strong><br />
información pero no son posibles sin <strong>la</strong><br />
implicación activa <strong>de</strong>l personal que es quien<br />
en <strong>de</strong>finitiva ha <strong>de</strong> bloquear el sistema en<br />
cada momento y reactivarlo a su regreso.<br />
Es igualmente vital concienciar al personal<br />
<strong>de</strong> <strong>la</strong> necesidad <strong>de</strong> mantener secreto<br />
su nombre <strong>de</strong> usuario y c<strong>la</strong>ve <strong>de</strong> acceso o<br />
password, no escribiéndolos en ningún<br />
lugar visible o accesible ni comunicándose<strong>la</strong><br />
a terceros o a sus compañeros. Las c<strong>la</strong>ves<br />
<strong>de</strong> acceso a los sistemas, en el mismo<br />
momento en que <strong>de</strong>jan <strong>de</strong> ser secretas,<br />
pier<strong>de</strong>n toda utilidad puesto que a partir <strong>de</strong><br />
ahí, cualquiera, pue<strong>de</strong> acce<strong>de</strong>r a los sistemas.<br />
Es igualmente importante cambiar<strong>la</strong>s<br />
con regu<strong>la</strong>ridad y difundir entre el personal<br />
<strong>la</strong> i<strong>de</strong>a <strong>de</strong> que <strong>la</strong>s c<strong>la</strong>ves no <strong>de</strong>ben ser nunca<br />
c<strong>la</strong>ves <strong>de</strong> fácil averiguación o intuidas<br />
por cualquiera como pueda ser su nombre<br />
y apellidos, <strong>la</strong> fecha <strong>de</strong> nacimiento, <strong>la</strong> fecha<br />
<strong>de</strong> su boda, <strong>la</strong> matrícu<strong>la</strong> <strong>de</strong>l coche o simi<strong>la</strong>res.<br />
Una c<strong>la</strong>ve <strong>de</strong> acceso con esta composición<br />
o estructura es fácilmente vulnerable.<br />
Por tanto, ha <strong>de</strong> indicarse al personal, que<br />
se abstenga <strong>de</strong> establecer este tipo <strong>de</strong> c<strong>la</strong>ves<br />
y que utilice y genere c<strong>la</strong>ves alfanuméricas<br />
y si es con signos o símbolos especiales<br />
(#,@,€,(,=, etc.), mejor aún.<br />
157 julio/agosto 2010