Español | English
rss facebook linkedin Twitter

Soporte papel: el gran arrinconado en la seguridad de la información.

En prácticamente todas las empresas actualmente podemos encontrar la aplicación de controles para el acceso a la información en soporte magnético, es decir, a la información que reside en archivos y ficheros informáticos. La funcionalidad relacionada con el control de acceso está `presente en prácticamente todos los sistemas operativos, aplicaciones, programas de gestión de BDD, etc.

La automatización en la gestión de accesos viene facilitada por la existencia de software específico pensado para realizar dicha labor como, por ejemplo, las aplicaciones de gestión de identidades.

En el “mundo físico” no obstante la realidad es bastante distinta: el control de acceso a la documentación es soporte papel debe realizarse mediante la aplicación de controles físicos, lo cual dificulta tanto la aplicación de los controles como la continuidad en el tiempo de la aplicación de las medidas que se apliquen. Otro de los inconvenientes del soporte papel es la dificultad de controlar la trazabilidad de un documento, es decir, el circuito que sigue desde su creación hasta su archivo definitivo y los posteriores accesos para su consulta una vez archivado: un documento que es extraído del archivo y no devuelto o que es fotocopiado, con lo cual se generan múltiples copias en soporte papel sobre las que también se deberá controlar su trazabilidad y circuito de distribución.

El marco legal vigente, en mi modesta opinión, ofrece motivos suficientes que justifican la aplicación de mecanismos de salvaguarda para proteger la información en soporte papel. Dentro de este marco legal podríamos destacar:

  • La ley de competencia desleal: dónde se establece que se considera desleal la divulgación o explotación, sin autorización del titular, de secretos industriales o de cualquier otra especie de secretos empresariales a los que se haya tenido acceso legítima o ilegítimamente.
  • El propio código penal: en el artículo 197 se establecen penas de prisión al que, con el fin de descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento se apodere de sus papeles, cartas o cualesquiera otros documentos (...).
  • El nuevo reglamento de seguridad de la LOPD: que establece las medidas que las empresas deberán aplicar a los datos en soporte papel.

Una vez vistas las dificultades principales veamos las alternativas posibles para superar estos inconvenientes. Veamos, pues, qué controles podemos aplicar sobre el soporte papel:

  1. Política específica de tratamiento de documentos confidenciales: No presuponer que el número de personas que acceden a documentos confidenciales en soporte papel es acotado o reducido, siempre existe el riesgo de divulgación no autorizada. Se deberá elaborar, aprobar, difundir e implantar una política dirigida especialmente a establecer las directrices para el tratamiento de los documentos en soporte papel que contenga información confidencial. Esto nos lleva de forma natural al siguiente punto.....
  2. Identificación de los documentos con información confidencial: Este punto es bastante más sencillo de los que pueda parecer: Fácilmente podemos intuir los departamentos dónde existen documentos confidenciales (Dirección General, RRHH, área Jurídica). Si no conocemos qué es importante (confidencial), no sabremos qué es lo que tenemos que proteger. Una vez identificada la documentación con requisitos de confidencialidad el siguiente control seria disponer de.....
  3. Metodología de clasificación y almacenamiento de los documentos confidenciales: En este punto juega un papel clave una interpretación libre del concepto “oficina sin papeles”: escanear los documentos y almacenarlos digitalmente aprovechando así, por un lado, la automatización de los controles de acceso del “mundo digital” y, por otro, disponiendo de una copia de seguridad.
  4. Disponer de contenedores específicos para la destrucción de documentos confidenciales: Dichos contenedores sería recomendable que estuvieran cerrados con llave evitando que queden abierto pues, en ese caso, serían equivalentes a una papelera convencional.
  5. Disponer de destructoras de papel (trituradoras) que garanticen la imposibilidad de recuperar la información. Estas destructoras pueden ser personales, departamentales o compartidas por varios departamentos de la empresa.
  6. Externalizar el servicio de destrucción de documentos en soporte papel: En este caso es aconsejable que se establezcan cláusulas orientadas a garantizar la confidencialidad durante la recogida y transporte de los documentos, establecer contractualmente el tamaño del residuo una vez destruidos los documentos y, como e todo contrato de externalización de servicios, tener potestad auditora sobre el prestador.
  7. Incluir cláusulas de confidencialidad con la empresa de limpieza: El personal de limpieza accede a aquellas áreas o zonas restringidas al resto del personal de la empresa, por ejemplo, el despacho del Director General en cuyo escritorio está el Plan Estratégico de negocio o el acuerdo de fusión con la competencia.....
  8. Revisión continua de la aplicación de los controles: El seguimiento continuo es lo que nos dará garantías que las iniciativas anteriores no se afrontan de forma puntual, ayudando así a crear la concienciación necesaria en todo el staff.

Joan Ayerbe
Manager de Consultoría, CISM.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login