La política de mesas limpias, esa gran olvidada de la Seguridad

Documentos de citas médicas abandonadas en una fotocopiadoraPequeños detalles, como mantener las mesas ordenadas y no dejar en ellas documentos o listados, pueden marcar una gran diferencia en materia de Seguridad de la Información. Si quieres aprender más sobre qué es una política de mesas limpias, sigue leyendo…

Por Aurelio Holgado Ramos, Responsable de Seguridad TIC y Delegado de Protección de Datos del Servicio Andaluz de Empleo

 

Experiencias personales

Cuando en la Administración Pública hablamos de seguridad y protección de datos uno de los grandes olvidados es la política de mesas limpias. Y es que aunque la seguridad bien entendida empieza por todos y cada uno de los empleados que constituyen nuestra organización, muchas veces eso se nos olvida.

Tengo “la mala costumbre” de pasearme por mi organización visualizando las mesas de mis compañeros e incluso me he parado más de una vez a fotografiar aquello que me encuentro y que pone en riesgo muchas veces la seguridad de los datos de nuestros usuarios o incluso la seguridad de los datos de los propios empleados. Quizás porque cuando estaba en el colegio tenía un maestro que insistía muchísimo sobre este tema de tener las mesas limpias y los antiguos pupitres bien ordenados. Yo, sin embargo, me empeñaba en ir guardando bajo el pupitre todos y cada uno de los bocadillos, de chorizo (no me gustaban) que me ponía mi madre para desayunar, hasta que un día, aquel maestro se olió (nunca mejor dicho) el problema y no veas la bronca que me cayó.

En mi escaneo habitual de las mesas de mis compañeros, he visto cosas que vosotros no creeríais (…atacar naves en llamas más allá de Orión): post-it con contraseñas de sistemas oficiales y de correos personales, documentación relativa a subvenciones varias, muchas veces con datos del más alto de los niveles, móviles esparcidos por todas partes con los que se podría proveer cualquier franquicia de telefonía al menos durante un año, citas médicas olvidadas en fotocopiadoras (como la de la imagen que aparece al inicio de este artículo), contraseñas de administradores de sistemas, por supuesto llaves que abren armarios o cajones con datos confidenciales, etc. etc., etc.

Además, tengo la mala costumbre de esconderle a mis compañeros el móvil cuando se levantan y lo dejan sobre la mesa con toda la confianza del mundo y sin pensar siquiera que podrían robárselo. Más de uno se han llevado un gran susto. Sobre todo la primera vez…

Importancia de la política de mesas limpias

El problema se torna aún más grave cuando estos empleados trabajan de cara al público y es habitual que reciban visitas donde cualquiera puede tener acceso a simple vista a datos personales, ya que no se pone ningún cuidado en ocultarlos.

O cuando estas oficinas y despachos están a pie de calle en los que los empleados trabajan de espaldas a una cristalera, donde cualquiera que se pare detrás de ellos puede leer lo que están haciendo en sus ordenadores, en estas pantallas que cada día son más grandes y con más definición.

Otra mala costumbre muy habitual es dejar la sesión del PC abierta cuando nos levantamos para cualquier cosa, incluso para salir afuera a desayunar, dejando a simple vista todo tipo de datos o dando opción a que cualquiera se pueda sentar en nuestra mesa y trastear nuestro equipo y desde ahí la propia red en general.

Un problema organizativo

Todo esto refleja un claro problema de concienciación. Por un lado, el papel se sigue utilizando mucho más de lo que se debería y la mayoría de las veces se nos olvida implantar las medidas de seguridad necesarias. En la normativa actual, tanto en el Esquema Nacional de Seguridad, como en el Reglamento Europeo de Protección de Datos se hace alusión a este tema, dejándolo dentro de sus competencias y estableciendo medidas concretas al respecto. Un ejemplo puede encontrarse en el Anexo II del Esquema Nacional de Seguridad (el enlace se abre en una nueva página) y las medias de protección mp.eq.1, “Puesto de trabajo despejado”, y mp.eq.2, “Bloqueo de puesto de trabajo”.

Por otro lado, existe un claro problema de formación. Puede parecer un asunto trivial, pero si un día un ciudadano nos denuncia o se filtran datos confidenciales de alto nivel por estas causas, nos vamos a encontrar con un grave problema. Todo por no tomar las medidas oportunas para mantener la privacidad de los datos. Como responsables de seguridad y privacidad tenemos la obligación de hacer hincapié en este tema y de sensibilizar a nuestros empleados para evitar males mayores.

Desde luego, se trata de un tema en el que todos y todas formamos parte de la solución. No olvidemos que como decía una antigua campaña de sensibilización en esta materia, “el mejor sistema de seguridad eres Tú“.

 


Puedes encontrar más artículos sobre Seguridad en el monográfico de nuestro número 3. Y un montón de cosas más en cada uno de nuestros números.